Über­ein­stim­mend mel­den meh­re­re Medi­en, dass die neue bri­ti­sche Regie­rung an einer „No-Deal-Brexit“-Lösung arbei­ten wür­de. Staats­mi­nis­ter Micha­el Gove wird mit den Wor­ten zitiert, „…ein No Deal ist jetzt eine rea­lis­ti­sche Annah­me und dar­auf müs­sen wir vor­be­rei­tet sein. Die gesam­te Maschi­ne­rie der Regie­rung wird auf Hoch­tou­ren arbei­ten“.

Unter­neh­men ist des­halb drin­gend zu emp­feh­len, sich auf die­se Situa­ti­on auch unter daten­schutz­recht­li­chen Gesichts­punk­ten vor­zu­be­rei­ten. Soll­te das Ver­ei­nig­te König­reich ohne eine Ver­ein­ba­rung mit der EU aus­tre­ten, wür­de dies bedeu­ten, dass es zum Dritt­land i.S.d. der DSGVO wer­den wür­de, mit allen dras­ti­schen Kon­se­quen­zen. Auch eine Über­gangs­frist für die Gel­tung der DSGVO im VK wäre unter die­sen Vor­aus­set­zun­gen nicht anzu­neh­men.

In ihrem Beschluss vom 8. März 2019 hat die Kon­fe­renz der unab­hän­gi­gen Daten­schutz­auf­sichts­be­hör­den des Bun­des und der Län­der bereits klar­ge­stellt, dass eine Daten­über­mitt­lung per­so­nen­be­zo­ge­ner Daten in das VK dann nur noch unter Maß­ga­be der für Dritt­län­der in der DSGVO vor­ge­se­hen Mecha­nis­men mög­lich sei, zumal  ein Ange­mes­sen­heits­be­schluss der Euro­päi­schen Kom­mis­si­on nach Art. 45 DSGVO der­zeit für das VK nicht exis­tiert. Der Euro­päi­sche Daten­schutz­aus­schuss (EDSA) ver­öf­fent­lich­te eine  Infor­ma­ti­on , die von allen daten­über­mit­teln­den Stel­len unbe­dingt zu beach­ten ist. Zur Sicher­stel­lung der Ein­hal­tung eines ange­mes­senen Daten­schutz­ni­veaus muss dem­nach eine der fol­gen­den Garan­ti­en die Grund­la­ge der Daten­ver­ar­bei­tung bzw. –über­tra­gung bil­den:

  • Stan­dard­da­ten­schutz­klau­seln (Art. 46 Abs. 2 lit. c) und d) DSGVO)

Unter­neh­men kön­nen hier­für die drei durch die Euro­päi­sche Kom­mis­si­on bereits ver­öf­fent­lich­ten Stan­dard­da­ten­schutz­klau­seln (Doku­ment 32001D0497Doku­ment 32004D0915Doku­ment 32010D0087) ver­wen­den. Aller­dings muss dar­auf hin­ge­wie­sen wer­den, dass der Euro­päi­sche Gerichts­hof (EuGH) aktu­ell die Recht­mä­ßig­keit der EU-Stan­dard­ver­trags­klau­seln immer noch über­prüft. Die Ver­wen­dung der Klau­seln ist bis zu einer Ent­schei­dung noch mög­lich, aller­dings muss die Recht­mä­ßig­keit der Stan­dard­ver­trags­klau­seln wei­ter beob­ach­tet und gege­be­nen­falls ange­passt wer­den.

  • ver­bind­li­che inter­ne Daten­schutz­vor­schrif­ten (Art. 46 Abs. 2 lit. b) DSGVO)

Die­se sind für mul­ti­na­tio­na­le Kon­zer­ne und eine Über­tra­gung per­so­nen­be­zo­ge­ner Daten inner­halb der Kon­zern­struk­tu­ren vor­ge­se­hen

  • Ver­hal­tens­re­geln und Zer­ti­fi­zie­rungs­me­cha­nis­men (Art. 46 Abs. 2 lit. e) und f) DSGVO)

Lei­der muss in Bezug auf die ange­spro­che­nen Zer­ti­fi­zie­rungs­me­cha­nis­men (Art. 42 DSGVO) ange­merkt wer­den, dass die­ses Ver­fah­ren von Sei­ten der zustän­di­gen Insti­tu­tio­nen und Behör­den erst auf­ge­setzt wird (in Deutsch­land: Dakks sowie die Lan­des­auf­sichts­be­hör­den), d.h. eine aner­kann­te Zer­ti­fi­zie­rung nach Art. 42 DSGVO exis­tiert in Deutsch­land noch nicht.

  • Zutref­fen einer Aus­nah­me­re­ge­lung nach Art. 49 DSGVO, dies sind:
    • Ein­wil­li­gung der Betrof­fe­nen (Art. 49 Abs. 1 lit. a) DSGVO)
    • Über­mitt­lung zur Erfül­lung eines Ver­trags (Art. 49 Abs. 1 lit. b) DSGVO)
    • zur Gel­tend­ma­chung, Aus­übung oder Ver­tei­di­gung von Rechts­an­sprü­chen (Art. 49 Abs.1 lit. e) DSGVO)
    • aus Grün­den des öffent­li­chen Inter­es­ses (Art. 49 Abs.1 lit. d) DSGVO)

In jedem Fall müs­sen auch die Infor­ma­ti­ons­pflich­ten nach Art 13. und Art. 14 DSGVO, d.h. auch die Daten­schutz­er­klä­rung im Fal­le dass das VK ein Dritt­land wird, spä­tes­tens am Stich­tag ange­passt und aktua­li­siert wer­den (Über­mitt­lung in ein Dritt­land). Für bri­ti­sche Unter­neh­men hat die die bri­ti­sche Auf­sichts­be­hör­de (ICO – Infor­ma­ti­on Commissioner‘s Office) einen Leit­fa­den  für den Fall eines No-Deal-Bre­xits aus der EU ver­öf­fent­licht: https://edpb.europa.eu/our-work-tools/our-documents/other/information-note-bcrs-companies-which-have-ico-bcr-lead_en

Auf die Unter­neh­men bei­der Län­der kommt damit eine sehr unge­wis­se Situa­ti­on zu. Man kann Unter­neh­men, die per­so­nen­be­zo­ge­ne Daten in das VK nur anra­ten, sich frü­hest­mög­lich auf die sehr wahr­schein­li­che Lage eines No-Deal-Bre­x­it ein­zu­stel­len und not­wen­di­ge Schrit­te frü­hest­mög­lich ein­zu­lei­ten.