DSGVO in UK Vergangenheit?

Auf diese Fra­gen geht Lau­rent Meis­ter ein, der sich als Rechts­an­walt und Fach­an­walt für IT-Recht täglich mit da­ten­schutz­recht­li­chen The­men sei­ner Man­dan­ten be­schäftigt.

Herr Meis­ter, die Da­ten­schutz-Grund­ver­ord­nung be­schäftigt eu­ro­pa­weit die Un­ter­neh­men. Können sich Un­ter­neh­men in UK ab 1.2.2020 ent­spannt zurück­leh­nen bzw. müssen de­ren Kun­den in Eu­ropa sich dann Sor­gen um die Nut­zung ih­rer per­so­nen­be­zo­ge­nen Da­ten ma­chen?

Zum 1.2.2020 ändert sich grundsätz­lich noch nichts. Denn laut dem Aus­tritts­ab­kom­men un­ter­lie­gen per­so­nen­be­zo­gene Da­ten, die vor dem Ab­lauf des im Aus­tritts­ab­kom­men vor­ge­se­he­nen Überg­angs­zeit­raums ver­ar­bei­tet wur­den, dem­sel­ben Schutz wie bis­lang. Auch wenn das Ver­ei­nigte König­reich ab 1.2.2020 for­mal nicht mehr zur EU gehört, bleibt dort die DS­GVO wei­ter­hin bin­dend. Da­mit stellt sich frühes­tens ab 1.1.2021 die Frage des Da­ten­schut­zes.

Be­deu­tet das dann, ab 2021 ist Vor­sicht an­ge­zeigt in Ge­schäfts­be­zie­hun­gen mit UK-Un­ter­neh­men, da dort per­so­nen­be­zo­gene Da­ten nicht mehr aus­rei­chend ge­schützt wer­den?

Das Ver­ei­nigte König­reich schei­det zwar aus der EU aus, so dass nach Ab­lauf der Überg­angs­frist laut Aus­tritts­ab­kom­men EU-Recht grundsätz­lich nicht mehr an­wend­bar ist. Je­doch ist UK natürlich wei­ter­hin ein hoch­ent­wi­ckel­ter Wirt­schafts­stand­ort mit durch­aus mit der EU ver­gleich­ba­ren Rechts­stan­dards. Die DS­GVO sieht je­doch den Grund­satz vor, dass alle Nicht-EU Länder kein an­ge­mes­se­nes Da­ten­schutz­ni­veau ha­ben. Dass ein der EU gleich­wer­ti­ges Da­ten­schutz­ni­veau vor­liegt, muss for­mal von der EU fest­ge­stellt wer­den (so etwa für die Schweiz). Ob und wann dies für das Ver­ei­nigte König­reich der Fall sein wird, ist der­zeit un­klar.

Um trotz­dem Da­ten in das Ver­ei­nigte König­reich zu über­mit­teln und dort ver­ar­bei­ten zu las­sen, müssen dann in­di­vi­du­al­ver­trag­lich mit den bri­ti­schen Ge­schäfts­part­nern da­ten­schutz­recht­li­che Ver­ein­ba­run­gen ge­trof­fen wer­den. Letzt­lich bie­tet es sich an, die ver­blei­bende Zeit in 2020 dazu zu nut­zen, et­wai­gen Schutz­be­darf in der Zu­kunft zu prüfen und sich ent­spre­chend vor­zu­be­rei­ten.

Und ent­spre­chen­des dürfte dann wohl künf­tig auch gel­ten, wenn z. B. die bri­ti­sche Toch­ter­ge­sell­schaft als Ver­triebs- oder Ein­kaufs­ge­sell­schaft im EU-Raum fun­giert und dem­ent­spre­chend per­so­nen­be­zo­gene Da­ten ver­ar­bei­tet?

Auch hier ist zunächst zu klären, wie der Da­ten­schutz in UK kon­kret ab 2021 aus­sieht und ob ent­spre­chend Hand­lungs­be­darf be­steht. Rich­tet sich das An­ge­bot ei­ner Ver­triebs­ge­sell­schaft in UK an Kun­den in­ner­halb der EU, so muss die Ver­triebs­ge­sell­schaft ne­ben den bri­ti­schen Da­ten­schutz­ge­set­zen auch künf­tig die DS­GVO be­ach­ten. Rein wirt­schaft­lich be­trach­tet dürfte aber ins­ge­samt künf­tig die Zen­tra­li­sie­rung von Ver­trieb oder Ein­kauf ei­nes Kon­zerns bei ei­ner UK-Toch­ter­ge­sell­schaft an At­trak­ti­vität ver­lie­ren. Denn schließlich würde man sich dann nicht mehr im EU-Raum mit all sei­nen Frei­heits­rech­ten be­we­gen, son­dern wäre auf die in einem noch zu ver­han­deln­den Frei­han­dels­ab­kom­men ge­re­gel­ten Vor­ga­ben ver­wie­sen.

Was Un­ter­neh­men in Deutsch­land oder an­de­ren EU-Staa­ten zu­dem ab 2021 be­ach­ten soll­ten: nut­zen sie einen Clou­dan­bie­ter im Ver­ei­nig­ten König­reich, stellt sich in glei­cher Weise wie bei ei­ner UK-Toch­ter­ge­sell­schaft die Frage des dann noch be­ste­hen­den aus­rei­chen­den Da­ten­schut­zes.

Es gilt also ins­ge­samt: 2020 sollte ge­nutzt wer­den, um et­waige da­ten­schutz­recht­li­che Lücken in der Zu­kunft zu er­ken­nen und möglichst zu ver­mei­den.