Was bedeutet der Brexit für den Datenschutz? Was bedeutet der Brexit für den Datenschutz?

Der Brexit wird konkret. Das gilt auch für den Datenschutz. Denn mit dem Austritt des Vereinigten Königreichs aus der EU wird das Land vom Mitglied zum „Drittstaat“. Und für Drittstaaten gelten laut Datenschutz-Grundverordnung (DSGVO) besondere datenschutzrechtliche Vorkehrungen.

Dazu ein kurzer Blick auf den weiteren Brexit-Fahrplan. Der EU-Austritt erfolgt zum 1. Februar. Daran schließt sich eine elfmonatige Übergangsphase bis zum 31. Dezember 2020 an, in der das Vereinigte Königreich und die EU ihre künftige Zusammenarbeit in Sachen Datenschutz ausverhandeln. Diese Phase kann um ein bis zwei Jahre verlängert werden, wenn das Vereinigte Königreich dies bis zum 1. Juli dieses Jahres beantragt.

Während der Brexit-Übergangsphase gilt die DSGVO weiterhin als unmittelbar anwendbares Recht, obwohl das Vereinigte Königreich zu diesem Zeitpunkt bereits als Drittstaat gilt. Was danach passiert, hängt vom Ausgang der Verhandlungen ab, und betrifft alle Unternehmen, die eine Tochtergesellschaft oder Niederlassung im Vereinigten Königreich haben. Genauso werden von der geänderten datenschutzrechtlichen Lage jene betroffen sein, die Cloud-Dienste oder andere Dienstleistungen im Vereinigten Königreich nutzen.

Läuft die Frist ohne eine anderweitige Vereinbarung zwischen dem Vereinigten Königreich und der EU aus, greift der Drittstaat-Status voll. Für Unternehmen mit datenschutzrechtlich relevanten Berührungspunkten zum Vereinigten Königreich bedeutet dies, dass man auf andere Instrumente der DSGVO zurückgreifen sollte, um personenbezogene Daten rechtmäßig zu übermitteln. Es sind vor allem die weiteren Bestimmungen der Art. 44 ff. DSGVO zu beachten:

• Vorliegen geeigneter Garantien, z. B. EU-Standarddatenschutzklauseln,
• Datenübermittlung innerhalb eines Konzerns bei Vorliegen von Binding Corporate Rules oder
• Ausnahmen für bestimmte Fälle, wie die ausdrückliche Einwilligung der betroffenen Person oder die Übermittlung zur Erfüllung eines Vertrages mit der betroffenen Person.

Werden die Anforderungen der Art. 44 ff. DSGVO nicht erfüllt, droht Unternehmen ein Bußgeld von bis zu 4 % des weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres.

Wünschenswert aus Unternehmenssicht wäre, dass die EU-Kommission das Vereinigte Königreich nach der Übergangsphase als sicheres Drittland einstuft. Dies bedeutet, dass ein Land aus Sicht der EU ein angemessenes Schutzniveau für personenbezogene Daten bietet. Dafür spricht, dass das Vereinigte Königreich die Anforderungen der DSGVO durch den Data Protection Act 2018 und die Ende des Jahres in Kraft tretende UK GDPR bereits in das britische Recht umgesetzt hat, sodass ein angemessenes Schutzniveau für personenbezogene Daten gegeben sein könnte.

Unabhängig davon, ob bis zum 1. Januar 2021 eine Einigung erzielt oder die Zulässigkeitsvoraussetzungen für Datenübermittlungen in das Vereinigte Königreich erfüllt werden, sollten Unternehmen ihren datenschutzrechtlichen Anforderungen bei der grenzüberschreitenden Datenübermittlung auch im Übrigen vollumfänglich nachkommen. Dazu zählen neben der Einhaltung der Anforderungen der Art. 44 ff. DSGVO insbesondere:

• Identifikation aller im Unternehmen vorliegenden Drittlandübermittlungen.
• Aktive Informationserteilung an die betroffenen Personen über eine Übermittlung in ein Drittland gem. der Art. 13 und 14 DSGVO. Dies kann auch eine Ergänzung bestehender Datenschutzerklärungen/-hinweise erforderlich machen.
• Die Erfüllung von Auskunftsersuchen gem. Art. 15 DSGVO über die erfolgende Drittlandübermittlung.
• Dokumentation der erforderlichen Angaben zur Übermittlung in ein Drittland im Verzeichnis von Verarbeitungstätigkeiten entsprechend Art. 30 DSGVO.

Bei der Datenübermittlung in das Vereinigte Königreich kann es also zu Herausforderungen kommen. Unternehmen sollten daher die weitere Entwicklung aufmerksam beobachten und die vorgenannten Vorkehrungen treffen.