Übereinstimmend melden mehrere Medien, dass die neue britische Regierung an einer „No-Deal-Brexit“-Lösung arbeiten würde. Staatsminister Michael Gove wird mit den Worten zitiert, „…ein No Deal ist jetzt eine realistische Annahme und darauf müssen wir vorbereitet sein. Die gesamte Maschinerie der Regierung wird auf Hochtouren arbeiten“.

Unternehmen ist deshalb dringend zu empfehlen, sich auf diese Situation auch unter datenschutzrechtlichen Gesichtspunkten vorzubereiten. Sollte das Vereinigte Königreich ohne eine Vereinbarung mit der EU austreten, würde dies bedeuten, dass es zum Drittland i.S.d. der DSGVO werden würde, mit allen drastischen Konsequenzen. Auch eine Übergangsfrist für die Geltung der DSGVO im VK wäre unter diesen Voraussetzungen nicht anzunehmen.

In ihrem Beschluss vom 8. März 2019 hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder bereits klargestellt, dass eine Datenübermittlung personenbezogener Daten in das VK dann nur noch unter Maßgabe der für Drittländer in der DSGVO vorgesehen Mechanismen möglich sei, zumal  ein Angemessenheitsbeschluss der Europäischen Kommission nach Art. 45 DSGVO derzeit für das VK nicht existiert. Der Europäische Datenschutzausschuss (EDSA) veröffentlichte eine  Information , die von allen datenübermittelnden Stellen unbedingt zu beachten ist. Zur Sicherstellung der Einhaltung eines angemessenen Datenschutzniveaus muss demnach eine der folgenden Garantien die Grundlage der Datenverarbeitung bzw. –übertragung bilden:

  • Standarddatenschutzklauseln (Art. 46 Abs. 2 lit. c) und d) DSGVO)

Unternehmen können hierfür die drei durch die Europäische Kommission bereits veröffentlichten Standarddatenschutzklauseln (Dokument 32001D0497Dokument 32004D0915Dokument 32010D0087) verwenden. Allerdings muss darauf hingewiesen werden, dass der Europäische Gerichtshof (EuGH) aktuell die Rechtmäßigkeit der EU-Standardvertragsklauseln immer noch überprüft. Die Verwendung der Klauseln ist bis zu einer Entscheidung noch möglich, allerdings muss die Rechtmäßigkeit der Standardvertragsklauseln weiter beobachtet und gegebenenfalls angepasst werden.

  • verbindliche interne Datenschutzvorschriften (Art. 46 Abs. 2 lit. b) DSGVO)

Diese sind für multinationale Konzerne und eine Übertragung personenbezogener Daten innerhalb der Konzernstrukturen vorgesehen

  • Verhaltensregeln und Zertifizierungsmechanismen (Art. 46 Abs. 2 lit. e) und f) DSGVO)

Leider muss in Bezug auf die angesprochenen Zertifizierungsmechanismen (Art. 42 DSGVO) angemerkt werden, dass dieses Verfahren von Seiten der zuständigen Institutionen und Behörden erst aufgesetzt wird (in Deutschland: Dakks sowie die Landesaufsichtsbehörden), d.h. eine anerkannte Zertifizierung nach Art. 42 DSGVO existiert in Deutschland noch nicht.

  • Zutreffen einer Ausnahmeregelung nach Art. 49 DSGVO, dies sind:
    • Einwilligung der Betroffenen (Art. 49 Abs. 1 lit. a) DSGVO)
    • Übermittlung zur Erfüllung eines Vertrags (Art. 49 Abs. 1 lit. b) DSGVO)
    • zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen (Art. 49 Abs.1 lit. e) DSGVO)
    • aus Gründen des öffentlichen Interesses (Art. 49 Abs.1 lit. d) DSGVO)

In jedem Fall müssen auch die Informationspflichten nach Art 13. und Art. 14 DSGVO, d.h. auch die Datenschutzerklärung im Falle dass das VK ein Drittland wird, spätestens am Stichtag angepasst und aktualisiert werden (Übermittlung in ein Drittland). Für britische Unternehmen hat die die britische Aufsichtsbehörde (ICO – Information Commissioner‘s Office) einen Leitfaden  für den Fall eines No-Deal-Brexits aus der EU veröffentlicht: https://edpb.europa.eu/our-work-tools/our-documents/other/information-note-bcrs-companies-which-have-ico-bcr-lead_en

Auf die Unternehmen beider Länder kommt damit eine sehr ungewisse Situation zu. Man kann Unternehmen, die personenbezogene Daten in das VK nur anraten, sich frühestmöglich auf die sehr wahrscheinliche Lage eines No-Deal-Brexit einzustellen und notwendige Schritte frühestmöglich einzuleiten.