de en
Nexia Ebner Stolz

Themen

DSGVO in UK Vergangenheit?

Der Schutz personenbezogener Daten beschäftigt nach wie vor viele Unternehmen, zumal Sanktionen wegen Verstößen im In- und Ausland von sich reden machen. Doch was gilt im Vereinigten Königreich nach seinem Ausscheiden aus der EU?

Auf diese Fra­gen geht Lau­rent Meis­ter ein, der sich als Rechts­an­walt und Fach­an­walt für IT-Recht täg­lich mit daten­schutz­recht­li­chen The­men sei­ner Man­dan­ten beschäf­tigt.

Laurent Meister LL.M. (Suffolk), Rechtsanwalt, Fachanwalt für Informationstechnologierecht, Ebner Stolz, Kronenstraße 30, 70174 Stuttgart

Herr Meis­ter, die Daten­schutz-Grund­ver­ord­nung beschäf­tigt euro­pa­weit die Unter­neh­men. Kön­nen sich Unter­neh­men in UK ab 1.2.2020 ent­spannt zurück­leh­nen bzw. müs­sen deren Kun­den in Europa sich dann Sor­gen um die Nut­zung ihrer per­so­nen­be­zo­ge­nen Daten machen?

Zum 1.2.2020 ändert sich grund­sätz­lich noch nichts. Denn laut dem Aus­tritts­ab­kom­men unter­lie­gen per­so­nen­be­zo­gene Daten, die vor dem Ablauf des im Aus­tritts­ab­kom­men vor­ge­se­he­nen Über­gangs­zei­traums ver­ar­bei­tet wur­den, dem­sel­ben Schutz wie bis­lang. Auch wenn das Ver­ei­nigte Kön­ig­reich ab 1.2.2020 for­mal nicht mehr zur EU gehört, bleibt dort die DSGVO wei­ter­hin bin­dend. Damit stellt sich früh­es­tens ab 1.1.2021 die Frage des Daten­schut­zes.

Bedeu­tet das dann, ab 2021 ist Vor­sicht ange­zeigt in Geschäfts­be­zie­hun­gen mit UK-Unter­neh­men, da dort per­so­nen­be­zo­gene Daten nicht mehr aus­rei­chend geschützt wer­den?

Das Ver­ei­nigte Kön­ig­reich schei­det zwar aus der EU aus, so dass nach Ablauf der Über­gangs­frist laut Aus­tritts­ab­kom­men EU-Recht grund­sätz­lich nicht mehr anwend­bar ist. Jedoch ist UK natür­lich wei­ter­hin ein hoch­ent­wi­ckel­ter Wirt­schafts­stand­ort mit durch­aus mit der EU ver­g­leich­ba­ren Rechts­stan­dards. Die DSGVO sieht jedoch den Grund­satz vor, dass alle Nicht-EU Län­der kein ange­mes­se­nes Daten­schutz­ni­veau haben. Dass ein der EU gleich­wer­ti­ges Daten­schutz­ni­veau vor­liegt, muss for­mal von der EU fest­ge­s­tellt wer­den (so etwa für die Schweiz). Ob und wann dies für das Ver­ei­nigte Kön­ig­reich der Fall sein wird, ist der­zeit unklar.

Um trotz­dem Daten in das Ver­ei­nigte Kön­ig­reich zu über­mit­teln und dort ver­ar­bei­ten zu las­sen, müs­sen dann indi­vi­dual­ver­trag­lich mit den bri­ti­schen Geschäft­s­part­nern daten­schutz­recht­li­che Ver­ein­ba­run­gen getrof­fen wer­den. Letzt­lich bie­tet es sich an, die ver­b­lei­bende Zeit in 2020 dazu zu nut­zen, etwai­gen Schutz­be­darf in der Zukunft zu prü­fen und sich ent­sp­re­chend vor­zu­be­rei­ten.

Und ent­sp­re­chen­des dürfte dann wohl künf­tig auch gel­ten, wenn z. B. die bri­ti­sche Toch­ter­ge­sell­schaft als Ver­triebs- oder Ein­kaufs­ge­sell­schaft im EU-Raum fun­giert und dem­ent­sp­re­chend per­so­nen­be­zo­gene Daten ver­ar­bei­tet?

Auch hier ist zunächst zu klä­ren, wie der Daten­schutz in UK kon­k­ret ab 2021 aus­sieht und ob ent­sp­re­chend Hand­lungs­be­darf besteht. Rich­tet sich das Ange­bot einer Ver­triebs­ge­sell­schaft in UK an Kun­den inn­er­halb der EU, so muss die Ver­triebs­ge­sell­schaft neben den bri­ti­schen Daten­schutz­ge­set­zen auch künf­tig die DSGVO beach­ten. Rein wirt­schaft­lich betrach­tet dürfte aber ins­ge­s­amt künf­tig die Zen­tra­li­sie­rung von Ver­trieb oder Ein­kauf eines Kon­zerns bei einer UK-Toch­ter­ge­sell­schaft an Attrak­ti­vi­tät ver­lie­ren. Denn sch­ließ­lich würde man sich dann nicht mehr im EU-Raum mit all sei­nen Frei­heits­rech­ten bewe­gen, son­dern wäre auf die in einem noch zu ver­han­deln­den Frei­han­dels­ab­kom­men gere­gel­ten Vor­ga­ben ver­wie­sen.

Was Unter­neh­men in Deut­sch­land oder ande­ren EU-Staa­ten zudem ab 2021 beach­ten soll­ten: nut­zen sie einen Clou­dan­bie­ter im Ver­ei­nig­ten Kön­ig­reich, stellt sich in glei­cher Weise wie bei einer UK-Toch­ter­ge­sell­schaft die Frage des dann noch beste­hen­den aus­rei­chen­den Daten­schut­zes.

Es gilt also ins­ge­s­amt: 2020 sollte genutzt wer­den, um etwaige daten­schutz­recht­li­che Lücken in der Zukunft zu erken­nen und mög­lichst zu ver­mei­den.

nach oben