Wird sich der Brexit auf den Datenschutz auswirken?

Solange der Brexit nicht doch noch in letzter Sekunde abgesagt wird, ja. Gegenwärtig (Januar 2020) ist kein Grund mehr absehbar, der einem Austritt des Vereinigten Königreichs aus der Europäischen Union am 31. Januar 2020 verhindern sollte.

Das heißt jedoch nicht, dass bereits feststeht, welche Änderungen sich aus diesem offiziellen Austritt aus der EU für Großbritannien ergeben. Denn nach diesem Datum beginnt zunächst eine Übergangsfrist bis zum 31. Dezember 2020. In dieser Übergangsphase werden die auch in Großbritannien die Vorschriften der EU weiterhin gelten.

Der Hintergrund dieser Übergangsphase ist, dass der britische Premierminister Boris Johnson den Austritt des Landes aus der EU nicht länger aufschieben möchte. Gleichzeitig konnte die britische Regierung aber noch keinen Austrittsvertrag mit der Europäischen Kommission aushandeln, der durch das britische Parlament ratifiziert wurde. Daher sollen die abschließenden Regelungen bis Dezember 2020 ausgehandelt und sowohl in Großbritannien, wie den Mitgliedsstaaten der EU ratifiziert werden.

Es bleibt also spannend – noch kann niemand mit Sicherheit sagen, wie das zukünftige Verhältnis zwischen der EU und Großbritannien aussehen wird. Es steht noch nicht fest, wie eng die Bindung Großbritannien an die EU ab 2021 sein wird. Aber unabhängig davon, wie der Austritt letztendlich aussieht, wird er Auswirkungen auf den Datenschutz haben.

Die wirtschaftlichen Verbindungen zwischen der deutschen und britischen Wirtschaft sind eng. Schätzungen zu Folge übermittelt fast jedes 7. deutsche Unternehmen personenbezogene Daten nach Großbritannien. All jene Unternehmen werden ihre Datenschutzbestimmungen anpassen müssen.

Die sicherste Vorbereitung für deutsche Unternehmen auf den Brexit im Sinne des Datenschutz‘ wäre es, sicherzustellen, dass Großbritannien als Drittland behandelt wird.

Was passiert bei sehr lockeren Regelungen ab 2021?

Sollte Großbritannien Ende 2020 die EU verlassen ohne weiterhin die Maßgaben der Datenschutzgrundverordnung (DSGVO) umzusetzen, hieße das, dass Großbritannien von einem Tag auf den anderen zu einem Drittstaat werden würde. Die Bundesregierung rät Unternehmen, sich auf diesen Fall vorzubereiten, um auf der sicheren Seite zu sein.

Gemäß der Datenschutzgrundverordnung der EU ist eine Übertragung von personenbezogenen Daten in Drittstaaten nur in Ausnahmefällen erlaubt. Diese vier Ausnahmen sind:

1. Die ausdrückliche Zustimmung der Betroffenen
2. Die Übermittlung ist für die Erfüllung eines Vertrages unumgänglich
3. Die Übermittlung ist aus berechtigten Gründen im Sinne des öffentlichen Interesses
4. Der Empfänger garantiert nach Art. 46 oder 47 DSGVO einen Umgang mit personenbezogenen Daten nach den vorgeschriebenen Standards der EU

Der nun hinfällige Vertrag des Kabinetts May II für einen „weichen“ Brexit bis zum 31. Oktober 2019 sah vor, dass die europäischen Datenschutzbestimmungen noch für eine Übergangsfrist bis zum Jahresende 2019 gelten würden. Da dieser Vertag nie gültig wurde, ist es jetzt fraglich, ob ein neuer Vertrag der Regierung Boris‘ Johnsons ebenfalls eine solche Regelung enthalten wird.

Am sichersten ist es für Unternehmen, sich vorsichtshalber darauf vorzubereiten, Großbritannien als Drittland behandeln zu können.

Welche Alternativen sind abzusehen?

Das ist gegenwärtig nicht abzuschätzen. Wenn sich in der Übergangsphase herausstellt, dass Großbritannien und die EU weiterhin an einer engen Zusammenarbeit interessiert sind, ist es gut möglich, dass auch der Datenschutz neuen Bestimmungen unterliegen wird. Diese müssten im Verlauf der Verhandlungen zwischen London und Brüssel noch bestimmt werden.

Eine weitere Möglichkeit ist noch immer eine weitere Verschiebung des de-facto Brexit. Sollte sich die Regierung in London und die Europäische Kommission nicht einigen können, oder die Austrittsverträge nicht ratifiziert werden, ist immer noch eine Verlängerung der Übergangsphase möglich.

Unbenommen der abschließenden Regelungen, sollten deutsche Unternehmen sich darauf vorbereiten, Großbritannien nach dem Brexit wie ein Drittland zu behandeln. So werden sie auf der sicheren Seite sein. Das Königreich sollte in das Informationsblatt zur Datenverarbeitung und in die Datenschutzerklärung des Unternehmens aufgenommen werden. Auch das Verzeichnis der Verarbeitungstätigkeiten muss angepasst werden. Wichtig ist, dass der Datenschutzbeauftragte die Datenschutz-Folgeabschätzungen des Unternehmens überarbeitet, bevor es zum Brexit kommt.

Arbeitsprozesse vor dem Brexit anpassen

Unabhängig von der endgültigen Form des Brexits sollten Unternehmen also ihre Datenschutzmaßnahmen im Umgang mit britischen Partnern rechtzeitig überarbeiten. Jetzt abzuwarten wäre ein fataler Fehler. Stattdessen müssen alte Arbeitsprozesse überarbeitet und überprüft werden. Entsprechen die Vorgänge der Datentransfers nach Großbritannien auch nach dem Brexit noch den Vorschriften von DSGVO und Bundesdatenschutzgesetz (BDSG)? Entscheidend ist, dass weiterhin ein angemessenes Datenschutzniveau sichergestellt werden kann.

Vieles wird davon abhängen, ob die EU Großbritannien nach dem Austritt als angemessenes Drittland einstufen wird. So könnte ein freier Austausch personenbezogener Daten zwischen dem Vereinigten Königreich und der Europäischen Union trotz Austritt sichergestellt werden.

Müssen britische Unternehmen nach dem Brexit die DSGVO beachten?

Alle Staaten außerhalb der EU müssen sich an die Vorschriften der DSGVO halten, wenn sie personenbezogene Daten in der EU verarbeiten. Das heißt, dass auch britische Unternehmen sich weiterhin an die Bestimmungen der Europäischen Union halten müssen, wenn sie personenbezogene Daten in der EU verarbeiten möchten. Daher wird es für solche Unternehmen auch nötig sein, einen Vertreter entsprechend Art. 27 DSGVO zu benennen. Die britische Regierung hat bereits britische Unternehmen dazu aufgerufen, auch nach dem Brexit die Bestimmungen der DSGVO einzuhalten.

Unabhängig davon wird der Brexit für britische Unternehmen noch wesentlich mehr Auswirkungen auf ihre Datenschutzvorschriften haben, als nur die DSGVO. Schließlich möchte sich das Vereinigte Königreich wieder eigene Bestimmungen auferlegen.