Der externe Datenschutzbeauftragte

Als Dienstleister übernehmen wir alle Aufgaben des betrieblichen Datenschutzbeauftragten für Ihr Unternehmen.

Mehr Informationen

Datenschutz-Audits

Mit einer Zertifizierung nach dem Standard DS-BvD-GDD-01 kann Ihr Unternehmen nach außen dokumentieren, dass Sie den Datenschutz ernst nehmen und die Daten Ihrer Kunden bei Ihnen sicher sind.

Mehr Informationen

Computerforensik

Wer hat wann welche Tätigkeiten am PC oder Smartphone durchgeführt? Die Computerforensik findet die Antworten...

Mehr Informationen

Datenschutzbeauftragter

Ein hohes Datenschutzniveau ist heute ein wichtiges Qualitätsmerkmal für viele Unternehmen. Ein zertifizierter externer Datenschutzbeauftragter gewährleistet die Umsetzung der gesetzlichen Vorgaben.

Mehr Informationen

Datenschutz-Audits

Mit einem Datenschutz-Audit kann ein Unternehmen die Einhaltung der datenschutzrechtlichen Vorschriften nach außen dokumentieren. Für Auftragsdatenverarbeitungen ist insbesondere der Standard DS-BvD-GDD-01 interessant.

Mehr Informationen

Gutachten

Ob zur Strafverfolgung durch die Behörden, zur Beweisführung in zivilrechtlichen Verfahren oder zur Bewertung von Hard- und Software - häufig kann ein IT-Gutachen die benötigten Nachweise liefern.

Mehr Informationen

Computer-Forensik

Computerstraftaten haben in den letzten Jahren enorm zugenommen. Zur Beweisführung aber auch zur Verteidigung gegen unberechtigte Beschuldigungen können computerforensische Gutachten den entscheidenden Beitrag liefern.

Mehr Informationen

gdd-mitglied-pos
2016_01_29_Logo_Mitglieder_lowres

Brexit – handeln Sie jetzt!

13. August 2019

Der aktuelle und nach den Aussagen des derzeitigen britischen Premierministers Boris Johnson wohl auch endgültige Brexit-Termin ist der 31.10.2019. Ab dem 01.11.2019 ist Großbritannien dann nicht mehr Mitglied der EU. Um es mit Herrn Johnsons (auf Deutsch übersetzten) Worten zu sagen: „Koste es was es wolle“. Sofern bis Ende Oktober kein neues Abkommen zwischen der EU und dem Vereinigten Königreich (nachfolgend UK) ausgehandelt wird, wird es also zum sogenannten No-Deal-Brexit kommen.

Diese Aussage ist durchaus erschreckend, wären alle dem UK angehörenden Länder doch von heute auf morgen auch aus Datenschutzsicht Drittländer mit allen Konsequenzen, die für Drittländer gelten.

Neben einem neuen Abkommen (das alte scheint für die Regierung des UK keine Option zu sein) und einem vollkommen ungeregelten Austritt gibt es jedoch noch mindestens zwei weitere Szenarien, die denkbar wären.

Verbleib im EWR

So könnte UK beispielsweise im EWR (Europäischer Wirtschaftsraum, siehe hier) verbleiben. Für diesen gelten zahlreiche sogenannte Binnenmarktregeln analog zu denen der EU und die Rechtsprechung des EuGH ist ebenfalls von Relevanz. Zu den geltenden Regeln gehört auch die DSGVO.

Sofern UK sich für einen Verbleib im EWR entschiede, würde sich aus Datenschutzsicht also gar nicht so viel ändern. Wie wahrscheinlich dieses Szenario ist, mögen wir nicht beurteilen. Bislang hat man davon in den Nachrichten zumindest noch nicht allzu viel gehört.

UK erklärt die DSGVO für nationales Recht

Möglich wäre auch, dass UK nationale Datenschutzgesetze erlässt, welche die DSGVO (nahezu wortgleich) abbilden. Das liest sich zunächst zwar vielversprechend, hilft aber nicht weiter. Denn Drittland wäre UK weiterhin. Egal, wie gut das Datenschutz-Niveau ist – solange für ein Land die formale Zugehörigkeit zu EU oder EWR mit den sich daraus ergebenden Konsequenzen (unmittelbare Wirksamkeit der DSGVO, Bindungswirkung von Entscheidungen des EuGH), nicht gegeben ist, solange sind weitere Garantien notwendig, um Datenaustausch mit diesem Land treiben zu dürfen.

Es wäre also weiterhin ein Angemessenheitsbeschluss der EU-Kommission notwendig, damit der Datenaustausch ungehindert erfolgen kann. Uns wäre derzeit nicht bekannt, dass die EU-Kommission an einem entsprechenden Beschluss arbeiten würde. Und sind wir mal ganz ehrlich: Das Fehlen eines solchen Beschlusses ist ja auch durchaus ein Druckmittel für die EU – warum also sollte man sich diesem Trumpf zum jetzigen Zeitpunkt nehmen lassen?

Dennoch wäre diese Möglichkeit zumindest eine Art Zwischenstufe zwischen Austritt mit Abkommen und völlig ungeregeltem Austritt. Allerdings dauert der Erlass solcher Angemessenheitsbeschlüsse in der Regel recht lange. Der letzte (der für Japan) brauchte mehrere Jahre. Daher ist selbst bei einem Umschwenken der EU nicht damit zu rechnen, dass rechtzeitig zum (aktuellen) Brexit-Termin ein Angemessenheitsbeschluss existieren kann.

Die Hoffnung bleibt…

Bleibt doch noch die Hoffnung, dass das aktuell ausgehandelte Abkommen zur Grundlage des nahenden Brexits werden wird. In diesem ist nämlich auch geregelt, dass es eine Übergangszeit von über zwei Jahren geben: Das Ende der Übergangsphase soll am 31.12.2020 sein. Bis zu diesem Zeitpunkt wären keine weiteren Garantien für den Datenaustausch mit UK notwendig.

… und ist ungewiss …

Allerdings ist die Wahrscheinlichkeit, dass UK mit einem entsprechenden Abkommen und damit mit einer solchen Übergangsregelung aus der EU ausscheidet unseres Erachtens nicht sehr hoch. Auch das EWR-Szenario erscheint uns als nicht sehr wahrscheinlich, würde dies doch den Aussagen des Herrn Johnson zuwiderlaufen.

Was nun?

Es ist an der Zeit, für Sicherheit zu sorgen. Wirklich viele Optionen gibt es dafür aufgrund der nur noch sehr kurzen verbleibenden Zeitspanne nicht. Zur Auswahl stünden:

Binding Corporate Rules (BCR)

Hierbei handelt es sich um konzernweite Regeln zum Datenschutz. Diese müssen allerdings von den Aufsichtsbehörden abgenommen werden und sind auch nicht mal eben in zwei Monaten entwickelt. Zudem können BCR nur innerhalb von verbundenen Unternehmen zum Einsatz kommen.

Einsatz von EU-Standardvertragsklauseln

Ein „einfacher“ Weg, da die Vertragstexte von der EU-Kommission vorgegeben sind, welches sich auch in der kurzen verbleibenden Zeit umsetzen ließe. Allerdings verbleibt ein gewisses Restrisiko, da die bisherigen (nach Richtlinie 95/46/EG erlassenen) Standardverträge in der DSGVO nur Übergangslösung sind und zumindest in der Theorie jederzeit von der Kommission widerrufen werden könnten.

Sonderregelungen des Art. 49 DSGVO

Auch die Sonderregelungen des Art. 49 DSGVO („Ausnahmen für bestimmte Fälle“) könnten zumindest in Ausnahmesituationen eine Lösung sein. Insbesondere die in Art. 45 Abs. 1 lit. a DSGVO geregelte Einwilligung (Achtung: Es wird die ausdrückliche Einwilligung gefordert) wäre gegebenenfalls als Notlösung nutzbar.

Fazit und Empfehlung

Wir sind der Meinung, dass die einzige schnell und halbwegs sicher zu schaffende Möglichkeit, der Abschluss der EU-Standardverträge ist. Ja, wir haben gerade im vorletzten Absatz darauf hingewiesen, dass auch die Standardverträge nicht auf ewig in Stein gemeißelt sind, allerdings würde beispielsweise ein Widerruf der Verträge durch die EU-Kommission alle Drittlandstransfers betreffen und nicht nur die nach UK. Insofern halten wie die Wahrscheinlichkeit des Widerrufs zumindest kurzfristig nicht für sehr wahrscheinlich.

Wichtig ist es unseres Erachtens, bis zum Austrittstermin die Drittlandstransfers auf rechtlich tragfähige Füße zu stellen. Dabei muss Wert darauf gelegt werden, dass die gewählte Lösung bei jedem der möglichen Szenarien wirksam und zulässig ist. Es geht uns also derzeit nicht darum, die beste Lösung zu schaffen, sondern überhaupt eine.

Dabei darf nicht vergessen werden, dass die EU-Kommission die Aufgabe hat, einen Ersatz für die alten Standardverträge zu entwickeln. Selbst wenn die Verträge also nicht von der Kommission widerrufen werden, so wird dennoch irgendwann der Zeitpunkt kommen, an dem die alten Verträge durch neue ersetzt werden müssen. Eine Lösung für die Ewigkeit sind die Standardverträge also keinesfalls…

Benötigen Sie Unterstützung beim Aushandeln oder Abschließen von EU-Standardverträgen? Melden Sie sich bei uns, wir helfen Ihnen!