Wir freuen uns auf Ihre Anfrage!

Telefon:

+49 89 / 250 039 220

Öffnungszeiten:

Mo. - Fr.: 09:00 - 18:00 Uhr

GB & Europa Flaggen

Brexit: Welche Bedeutung für den Datenschutz hat der EU-Austritt Großbritanniens?

Der Brexit erhitzt aktuell in ganz Europa die Gemüter. Kein Wunder, steht doch spätestens seit der Abstimmung des britischen Unterhauses am 15. Januar die reale Möglichkeit eines harten Brexits im Raum. Niemand weiß, was zu erwarten ist.

Der Brexit erhitzt aktuell in ganz Europa die Gemüter. Kein Wunder, steht doch spätestens seit der Abstimmung des britischen Unterhauses am 15. Januar die reale Möglichkeit eines harten Brexits im Raum. Theresa Mays Abkommen mit der EU wurde von den Abgeordneten abgelehnt, und nun scheint wieder alles möglich: Ein Brexit ohne Deal, ein Brexit mit einem eventuellen neuen Deal, vielleicht sogar ein neues Referendum – niemand weiß, was zu erwarten ist.

Wie wirkt sich der Brexit auf den Datenschutz aus?

Das hängt ganz davon ab, ob es nun zu einem geregelten oder zu einem harten Brexit kommt. Der vom britischen Parlament abgelehnte Brexit-Vertrag hatte eine Übergangsphase vorgesehen, welche bis zum 31. Dezember dieses Jahres gelten sollte. Das hätte der Europäischen Kommission genug Zeit gegeben, einen Angemessenheitsbeschluss zu fassen. Ein solcher Beschluss stellt eine der möglichen Grundlagen für die Datenübermittlung dar. Konkret bedeutet das: Großbritannien hätte in diesem Fall den Status eines Drittstaates, an den die Übermittlung personenbezogener Daten als angemessen gilt.

Kommt es jedoch tatsächlich zu einem No-Deal-Brexit, gibt es auch keinerlei Übergangsfrist. Großbritannien wäre dann mit sofortiger Wirkung ab dem 29. März ein Drittstaat. Die Zeit reicht in diesem Fall nicht dafür aus, bis dahin einen Angemessenheitsbeschluss zu erlassen.

Wie müssen EU-Unternehmen künftig mit Datentransfers ins Vereinigte Königreich umgehen?

Das Bundesministerium für Wirtschaft und Energie macht deutlich: Unternehmen sollten sich auf einen möglichen harten Brexit vorbereiten. Wie bereits erwähnt ist in diesem Fall davon auszugehen, dass kein Angemessenheitsbeschluss mehr rechtzeitig vorliegen wird.

Eine Übertragung von personenbezogenen Daten in Drittstaaten ohne Angemessenheitsbeschluss ist gemäß Datenschutz-Grundverordnung (DSGVO) in Ausnahmefällen zulässig. Darunter fallen folgende Szenarien:

  • Ausdrückliche Einwilligung der Betroffenen in die Übermittlung
  • Übermittlung ist für die Erfüllung eines Vertrags erforderlich
  • Übermittlung ist aus wichtigen Gründen des öffentlichen Interesses notwendig
  • Es liegen geeignete Garantien nach Art. 46 DSGVO (z. B. Standardvertragsklauseln) oder verbindliche interne Datenschutzvorschriften gemäß Art. 47 der DSGVO vor

Geschäftsprozesse überdenken und anpassen

Egal ob ein harter Brexit auf Großbritannien und Europa zukommt oder es doch noch zu einem Deal kommt – Unternehmen mit Datenflüssen ins Vereinigte Königreich müssen ihre Geschäftsprozesse neu denken und gegebenenfalls anpassen. Auf keinen Fall sollten Sie als Unternehmen hier auf Risiko spielen und die alten Prozesse einfach beibehalten. Vielmehr ist spätestens jetzt Handeln geboten. Prüfen Sie, ob Ihre Datentransfers nach Großbritannien auch dann noch eine Grundlage nach DSGVO haben, wenn das Vereinigte Königreich ein Drittstaat geworden ist. Wichtig ist, weiterhin ein angemessenes Datenschutzniveau zu gewährleisten.

Auch bei einem „soften“ Brexit gilt es zu handeln

Noch steht keineswegs fest, ob es zu einem harten Brexit kommt. Es besteht weiterhin die Möglichkeit, dass Großbritannien und die EU die Verhandlungen fortführen und ein neuer Deal zustande kommt. Auch im Falle eines solchen sanfteren Brexit gibt es Handlungsbedarf in puncto Datenschutz. Unternehmen, die Daten nach Großbritannien übermitteln, sollten dies in ihr Informationsblatt zur Datenverarbeitung und in die Datenschutzerklärung als Datenübermittlung in ein Drittland aufnehmen. Ebenso ist das Verzeichnis der Verarbeitungstätigkeiten anzupassen. Nicht zuletzt kann die Datenübermittlung ins Vereinigte Königreich auch die Datenschutz-Folgenabschätzungen Ihres Unternehmens beeinflussen.

Gilt die DSGVO auch nach dem Brexit weiterhin für britische Unternehmen?

Wie für alle anderen Staaten außerhalb der EU, beispielsweise die Schweiz, wird auch für Großbritannien gelten: Wer als Unternehmen personenbezogene Daten in der EU verarbeitet, muss sich auch an die DSGVO halten. Zum Teil kann dies bedeuten, dass man als Unternehmen einen Vertreter in der Union nach Art. 17 DSGVO benennen muss. In jedem Fall sind es keineswegs nur EU-Unternehmen, die sich auch in puncto Datenschutz auf den Brexit vorbereiten müssen, auf britische Unternehmen kommt eine noch schwerwiegendere Umstellung zu.

Fazit: Der Brexit wird auch im Datenschutz Auswirkungen haben

Der Brexit wird für Bürger und Unternehmen auf zahlreiche Lebensbereiche Auswirkungen haben. Der EU-Datenschutz bildet hier keine Ausnahme. Während britische Unternehmen, die in der EU Daten verarbeiten, sich genau wie andere Unternehmen aus Drittstaaten an die DSGVO halten müssen, gilt es für Betriebe aus der EU nun, jene Datenprozesse, in die britische Unternehmen involviert sind, neu zu bewerten und zu organisieren.

Aktuelle Beiträge zum Thema Datenschutz