Großbritannien hat zum 01.02.2020 die EU verlassen. Bis zum 31.12.2020 gilt eine Übergangsfrist, während der die Vereinbarungen und Abkommen der EU weiterhin Bestand haben. Damit hat auch die DS-GVO noch bis Ende diesen Jahres Bestand auf der britischen Insel. Schulen können in dieser Zeit problemlos Apps1Apps meint hier solche, deren Nutzung eine Onlineanbindung an die Server des Anbieters erfordert. und Online-Plattformen britischer Anbieter mit Schülerinnen und Schülern nutzen, wenn deren Einsatz auch bisher den Anforderungen aus Schul- und Datenschutzrecht entsprach.
Sofern britische Anbieter ihre Verarbeitung personenbezogener Daten in diesem Zeitraum jedoch nicht für die Zeit nach Ende der Übergangsfrist umstellen, wird eine Nutzung für Schulen in der EU nicht länger möglich sein. Warum ist das so?
Nach dem Ende der Übergangsfrist gilt in Großbritannien nicht mehr die DS-GVO. Großbritannien gilt dann als ein sogenanntes unsicheres Drittland. Eine Übermittlung bzw. Verarbeitung von personenbezogenen Daten in einem Drittland ist nur möglich, wenn es
- entweder ein Abkommen zwischen der EU und Großbritannien gibt oder
- für Großbritannien ein Angemessenheitsbeschluss besteht oder
- die EU Standardvertragsklauseln angewendet werden können oder
- man eine Art EU UK Privacy Shield aushandelt, nach welchem Anbieter sich selbst zertifizieren können.
Die Möglichkeit, mit Erlaubnis der Aufsichtsbehörde einen Vertrag mit dem Anbieter abzuschließen, welche die Sicherheit und den Schutz der personenbezogenen Daten garantiert, besteht für Unternehmen und kommt für Schulen wohl eher nicht in Betracht.
Die britische Regierung hat bereits angekündigt, dass man von den Regelungen der DS-GVO abweichen und stattdessen eigenes Datenschutzrecht schaffen will. Das wird es deutlich erschweren, eine zeitnahe Lösung für eine Rechtsgrundlage auszuhandeln, auf welcher personenbezogene Daten aus der EU in Großbritannien verarbeitet werden können.
Das bedeutet
für britische Anbieter von Apps und Online-Plattformen im Bildungsbereich, dass sie andere Lösungen finden müssen, um Schulen in der EU auch nach dem Ende der Übergangsfrist eine datenschutzkonforme Nutzen zu ermöglichen. In der Praxis lässt sich dieses am leichtesten umsetzen, wenn die Verarbeitung und Speicherung der personenbezogenen Daten von Schülerinnen und Schülern aus der EU in ein EU-Land verlegt wird.2Möglich wäre auch die Nutzung eines Serverstandortes in einem Drittland, für welches ein Angemessenheitsbeschluss besteht, die EU Standardvertragsklauseln gelten oder es ein sonstiges Abkommen mit der EU gibt. Ein Serverstandort innerhalb der EU oder des EWR wird jedoch die einfachste und sicherste Lösung sein.
für Schulen hängt die Bedeutung des Endes der Übergangsfrist davon ab, ob der Anbieter eine Lösung gefunden hat, die es ihnen erlaubt, sein Produkt weiterhin datenschutzkonform zu nutzen oder nicht.
- Schafft es der Anbieter nicht, Schulen nach Ende der Übergangsfrist eine datenschutzkonforme Lösung anzubieten, sind Schulen gezwungen, die Nutzung des Apps bzw. der Plattform mit dem Ende der Übergangsfrist einzustellen. Sämtliche Nutzerkonten sind bis dahin zu löschen. Erstellte digitale Medien sollten, sofern sie personenbezogene oder -beziehbare Daten enthalten, heruntergeladen oder in eine andere Plattform übertragen werden, bevor sie ebenfalls zu löschen sind.
- Kann der Anbieter eine neue, datenschutzkonforme Lösung anbieten, sind gegebenenfalls bestehende Verträge zur Auftragsverarbeitung zu überprüfen und an die neuen Bedingungen anzupassen.
Nachtrag 28.02.2020
In einem im Februar veröffentlichten Strategiepapier der britischen Regierung “The Future Relationship with the EU – The UK’s Approach to Negotiations” strebt man einen Angemessenheitsbeschluss an3Data Adequacy
59. The UK will have an independent policy on data protection at the end of the transition period and will remain committed to high data protection standards.
60. To maintain the continued free flow of personal data from the EU to the UK, the UK will seek ‘adequacy decisions’ from the EU under both the General Data Protection Regulation and the Law Enforcement Directive before the end of the transition period. These are separate from the wider future relationship and do not form part of trade agreements. This will allow the continued free flow of personal data from the EEA States to the UK, including for law enforcement purposes. The European Commission has recognised a number of third countries globally as providing adequate levels of data protection.
61. On a transitional basis, the UK has allowed for the continued free flow of personal data from the UK to the EU. The UK will conduct assessments of the EEA States and other countries under an independent international transfer regime.
62. The UK will also seek appropriate arrangements to allow continued cooperation between the UK Information Commissioner’s Office and EU Member State data protection authorities, and a clear, transparent framework to facilitate dialogue on data protection issues in the future.
abgerufen am 28.02.2020 unter https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/868874/The_Future_Relationship_with_the_EU.pdf. Ob und wann es dazu kommt, ist aktuell nicht abzusehen.