Wir freuen uns auf Ihre Anfrage!

Telefon:

+49 89 / 250 039 220

Öffnungszeiten:

Mo. - Fr.: 09:00 - 18:00 Uhr

GB & Europa Flaggen

Brexit: Welche Bedeutung für den Datenschutz hat der EU-Austritt Großbritanniens?

Harter Brexit am 29. März? Verlängerung der Frist? Aktuell ist noch unklar, wohin Großbritannien mit seinem Plan, die EU zu verlassen, steuert. Doch welche Folgen hat der Brexit für die DSGVO?

Der Brexit erhitzt aktuell in ganz Europa die Gemüter. Nachdem das britische Unterhaus bereits zwei Mal Theresa Mays mit der EU ausgehandelten Deal abgelehnt hat, haben sich die Abgeordneten am Mittwoch auch gegen einen No-Deal-Brexit ausgesprochen, was jedoch rechtlich nicht bindend ist. Damit steht aktuell eine mögliche Fristverlängerung im Raum, die May selbst stets abgelehnt hatte.

Alle Szenarien scheinen möglich, schließlich will May die Abgeordneten eventuell sogar ein drittes Mal über ihren Deal abstimmen lassen. Und selbst falls die Briten die EU um eine Verlängerung der Frist bitten, ist noch völlig unklar, ob ihnen diese gewährt würde und wie viele Monate oder sogar Jahre der Aufschub umfassen würde.

Wie wirkt sich der Brexit auf den Datenschutz aus?

Das hängt ganz davon ab, ob es nun zu einem geregelten oder zu einem harten Brexit kommt. Der vom britischen Parlament abgelehnte Brexit-Vertrag hatte eine Übergangsphase vorgesehen, welche bis zum 31. Dezember dieses Jahres gelten sollte. Das hätte der Europäischen Kommission genug Zeit gegeben, einen Angemessenheitsbeschluss zu fassen. Ein solcher Beschluss stellt eine der möglichen Grundlagen für die Datenübermittlung dar. Konkret bedeutet das: Großbritannien hätte in diesem Fall den Status eines Drittstaates, an den die Übermittlung personenbezogener Daten als angemessen gilt.

Kommt es jedoch tatsächlich zu einem No-Deal-Brexit, gibt es auch keinerlei Übergangsfrist. Großbritannien wäre dann mit sofortiger Wirkung ab dem 29. März ein Drittstaat. Die Zeit reicht in diesem Fall nicht dafür aus, bis dahin einen Angemessenheitsbeschluss zu erlassen.

Wie müssen EU-Unternehmen künftig mit Datentransfers ins Vereinigte Königreich umgehen?

Das Bundesministerium für Wirtschaft und Energie macht deutlich: Unternehmen sollten sich auf einen möglichen harten Brexit vorbereiten. Wie bereits erwähnt ist in diesem Fall davon auszugehen, dass kein Angemessenheitsbeschluss mehr rechtzeitig vorliegen wird.

Eine Übertragung von personenbezogenen Daten in Drittstaaten ohne Angemessenheitsbeschluss ist gemäß Datenschutz-Grundverordnung (DSGVO) in Ausnahmefällen zulässig. Darunter fallen folgende Szenarien:

  • Ausdrückliche Einwilligung der Betroffenen in die Übermittlung
  • Übermittlung ist für die Erfüllung eines Vertrags erforderlich
  • Übermittlung ist aus wichtigen Gründen des öffentlichen Interesses notwendig
  • Es liegen geeignete Garantien nach Art. 46 DSGVO (z. B. Standardvertragsklauseln) oder verbindliche interne Datenschutzvorschriften gemäß Art. 47 der DSGVO vor

Geschäftsprozesse überdenken und anpassen

Egal ob ein harter Brexit auf Großbritannien und Europa zukommt oder es doch noch zu einem Deal kommt – Unternehmen mit Datenflüssen ins Vereinigte Königreich müssen ihre Geschäftsprozesse neu denken und gegebenenfalls anpassen. Auf keinen Fall sollten Sie als Unternehmen hier auf Risiko spielen und die alten Prozesse einfach beibehalten. Vielmehr ist spätestens jetzt Handeln geboten. Prüfen Sie, ob Ihre Datentransfers nach Großbritannien auch dann noch eine Grundlage nach DSGVO haben, wenn das Vereinigte Königreich ein Drittstaat geworden ist. Wichtig ist, weiterhin ein angemessenes Datenschutzniveau zu gewährleisten.

Auch bei einem „soften“ Brexit gilt es zu handeln

Noch steht keineswegs fest, ob es zu einem harten Brexit kommt. Es besteht weiterhin die Möglichkeit, dass Großbritannien und die EU die Verhandlungen fortführen und ein neuer Deal zustande kommt. Auch im Falle eines solchen sanfteren Brexit gibt es Handlungsbedarf in puncto Datenschutz. Unternehmen, die Daten nach Großbritannien übermitteln, sollten dies in ihr Informationsblatt zur Datenverarbeitung und in die Datenschutzerklärung als Datenübermittlung in ein Drittland aufnehmen. Ebenso ist das Verzeichnis der Verarbeitungstätigkeiten anzupassen. Nicht zuletzt kann die Datenübermittlung ins Vereinigte Königreich auch die Datenschutz-Folgenabschätzungen Ihres Unternehmens beeinflussen.

Gilt die DSGVO auch nach dem Brexit weiterhin für britische Unternehmen?

Wie für alle anderen Staaten außerhalb der EU, beispielsweise die Schweiz, wird auch für Großbritannien gelten: Wer als Unternehmen personenbezogene Daten in der EU verarbeitet, muss sich auch an die DSGVO halten. Zum Teil kann dies bedeuten, dass man als Unternehmen einen Vertreter in der Union nach Art. 17 DSGVO benennen muss. In jedem Fall sind es keineswegs nur EU-Unternehmen, die sich auch in puncto Datenschutz auf den Brexit vorbereiten müssen, auf britische Unternehmen kommt eine noch schwerwiegendere Umstellung zu.

Fazit: Der Brexit wird auch im Datenschutz Auswirkungen haben

Der Brexit wird für Bürger und Unternehmen auf zahlreiche Lebensbereiche Auswirkungen haben. Der EU-Datenschutz bildet hier keine Ausnahme. Während britische Unternehmen, die in der EU Daten verarbeiten, sich genau wie andere Unternehmen aus Drittstaaten an die DSGVO halten müssen, gilt es für Betriebe aus der EU nun, jene Datenprozesse, in die britische Unternehmen involviert sind, neu zu bewerten und zu organisieren.

Websites und Datenschutz – unser neuestes Whitepaper enthält 5 hilfreiche Tipps

Was muss in der Datenschutzerklärung enthalten sein? Muss bei Social-Media-Verknüpfungen und Formularen etwas beachtet werden? Was bedeutet eigentlich Anonymisierung und Verschlüsselung konkret?

Fast jeder Website-Betreiber stellt sich diese Fragen und steht vor der Herausforderung, Datenschutz auf der Website umzusetzen. In unserem Whitepaper "5 Datenschutz-Tipps für Ihre Website, die Sie sofort umsetzen sollten" finden Sie genau die Informationen, die Sie brauchen, um Ihre Website datenschutzkonform zu gestalten.

Jetzt Whitepaper herunterladen

Aktuelle Beiträge zum Thema Datenschutz