Wir freuen uns auf Ihre Anfrage!

Telefon:

+49 89 / 250 039 220

Öffnungszeiten:

Mo. - Fr.: 09:00 - 18:00 Uhr

GB & Europa Flaggen

Brexit: Welche Bedeutung für den Datenschutz hat der EU-Austritt Großbritanniens?

Am 01. Februar 2020 war es soweit: Das Vereinigte Königreich verlässt die Europäischen Union. Der langwierige und politisch hart umkämpfte Austrittsprozess fand hierin seinen vorläufigen Höhepunkt – doch wie wirkt sich dieser Brexit auf den Datenschutz aus?

Letztes Artikel-Update: 13.02.2020

Der Brexit und seine datenschutzrechtlichen Implikationen

Vorerst ändert sich für Unternehmen und Bürgerin und Bürger innerhalb der Europäischen Union wie auch aus den Vereinigten Königreichen aus datenschutzrechtlicher Perspektive nichts. Grund hierfür ist das zwischen dem Vereinigten Königreich und der Europäischen Union abgeschlossene Austrittsabkommen, konkret, das sog. ABKOMMEN über den Austritt des Vereinigten Königreichs Großbritannien und Nordirland aus der Europäischen Union und der Europäischen Atomgemeinschaft.

Dieses Austrittsabkommen -- das Ergebnis harter Verhandlungen beider Parteien – bildet die Grundlage eines sanften Brexits. Dieser sanfte Brexit erstreckt sich auch auf den Datenschutz. Hätten die Vertragsparteien kein Austrittsabkommen vereinbart (No-Deal-Brexit), gölten auch die Europäischen Datenschutzgesetze (insbesondere natürlich die DSGVO) für das Vereinigte Königreich von einem Tag auf den anderen nicht mehr. Dies wäre mit einer erheblichen Belastung für die Wirtschaft einhergegangen – jedwede Datenübermittlung in das Vereinigte Königreich hätte intensiv geprüft und im schlimmsten Fall sogar gestoppt werden müssen; Unternehmen hätten Betroffeneninformationen, Verträge und Vereinbarungen aufwendig anpassen müssen. Dies wurde durch das Austrittsabkommen zumindest vertragt. Gemäß Art. 127 Abs. 1 i. V. m.  Art. 126 des Abkommens gilt das Unionsrecht für einen Übergangszeitraum bis zum 31. Dezember 2020.  Dies umfasst auch die DSGVO.

Dadurch, dass die DSGVO vorerst weitergilt, ist das Vereinigte Königreich nach herrschender Meinung nicht als Drittstaat zu qualifizieren – die Daten sind zumindest bis zum 31. Dezember 2020 auch im Vereinigten Königreich sicher.

Aufgeschoben ist nicht aufgehoben: Der Brexit bleibt ein Thema im Datenschutz

Der Übergangszeitraum sollte jedoch keinesfalls Anlass bieten, den Brexit datenschutzrechtlich zu ignorieren.  Denn sobald der Übergangszeitraum abgelaufen ist, gilt die DSGVO im Vereinigten Königreich nicht mehr. Es wird zu einem Drittland im Sinne der DSGVO. Zwar bestünde die Möglichkeit, dass der Übergangszeitraum bis zu zwei Jahre verlängert wird, aber ob eine Verlängerung von Seiten des Vereinigten Königreichs überhaupt gewünscht ist, darf bezweifelt werden.

Mit Ende des Übergangszeitraum wird das Vereinigte Königreich datenschutzrechtlich ein außereuropäisches Drittland. Werden sodann personenbezogene Daten in das Vereinigte Königreich übermittelt, muss sichergestellt werden, dass die Daten einem Sicherheitsniveau unterliegen, dass dem hohen DSGVO-Standard angemessen ist.

Der Gewährleistung eines angemessenen Sicherheitsniveaus bei Übermittlung in Drittländer widmet die DSGVO ein gesamtes Kapitel (Kap. 5 DSGVO). Doch nicht jede der hier aufgeführten Optionen ist für jedes Unternehmen praktikabel. Die begrüßenswerteste Option für die Wirtschaft würde hier wohl Angemessenheitsbeschluss lauten.

Der Angemessenheitsbeschluss als Hoffnung für Unternehmen

Mithilfe eines Angemessenheitsbeschluss kann die Europäische Kommission beschließen, dass das datenschutzrechtliche Sicherheitsniveau in einem Land den DSGVO-Standards angemessen ist, damit dürften in dieses Land die Daten auch übermittelt werden. Doch ist fraglich, ob solch ein Angemessenheitsbeschluss pünktlich zum Ablauf des Übergangszeitraums vorliegen wird. Dies hat bereits praktische Gründe: Es ist gegenwärtig noch unklar, wie das nationale Datenschutzrecht im Vereinigten Königreich ausgestaltet sein wird. Solange dies noch nicht feststeht, kann freilich auch noch kein angemessenes Schutzniveau bejaht werden.

Es ist daher – Stand heute – davon auszugehen, dass die Datenübermittlung in das Vereinigte Königreich zumindest vorrübergehend auf anderweitige Sicherheitsgarantien gestützt werden muss. Welche Garantien für die betreffenden Unternehmen die praktikabelsten sind, ist regelmäßig im Einzelfall zu ermitteln. Diese Prüfung sowie gegebenenfalls Anpassungen an abgeschlossenen Datenschutzverträgen und Betroffeneninformationen stellen einen hohen Aufwand für die betroffenen Unternehmen dar – insbesondere, wenn man über keinen fachkundigen Datenschutzbeauftragten verfügt. Doch ohne geeignete Absicherungen dürfen personenbezogene Daten nicht in ein Drittland übermittelt werden. Deswegen gilt es, die politischen Entwicklungen genau zu beobachten und den Übergangszeitraum effizient zu nutzen, damit der Datenverkehr auch dann nicht zum Erliegen kommt, wenn das Vereinigte Königreich auch datenschutzrechtlich ein Drittland wird.

Fazit: Der Brexit wird auch im Datenschutz Auswirkungen haben

Der Brexit wird für Bürger*innen und Unternehmen auf zahlreiche Lebensbereiche Auswirkungen haben. Der EU-Datenschutz bildet hier keine Ausnahme. Während britische Unternehmen, die in der EU-Daten verarbeiten, sich genau wie andere Unternehmen aus Drittstaaten an die DSGVO halten müssen, gilt es für Betriebe aus der EU nun, jene Datenprozesse, in die britische Unternehmen involviert sind, neu zu bewerten und zu organisieren.

Hinweis für Unternehmen: Unternehmen, die Daten nach Großbritannien übermitteln, sollten dies in ihr Informationsblatt zur Datenverarbeitung und in die Datenschutzerklärung als Datenübermittlung in ein Drittland aufnehmen. Ebenso ist das Verzeichnis der Verarbeitungstätigkeiten anzupassen. Nicht zuletzt kann die Datenübermittlung ins Vereinigte Königreich auch die Datenschutz-Folgenabschätzungen Ihres Unternehmens beeinflussen.

Autor: Steffen Reimann

Leitfaden: Datenschutz im Home- und Mobileoffice

Warum ist Datenschutz gerade beim mobilen Arbeiten von enormer Relevanz?

Home-Office hat seine datenschutzrechtlichen Tücken. In unserem Leitfaden "Datenschutz im Home- und Mobileoffice" finden Sie Hinweise zur Datenverarbeitung im Home-Office unter Berücksichtigung datenschutzrechtlicher Aspekte.

Jetzt Leitfaden herunterladen

Aktuelle Beiträge zum Thema Datenschutz