Brexit und Datenschutz - Großbritannien: Drittland über Nacht
Nach dem erneuten Nein im Unterhaus zu dem von Premierministerin May vorgeschlagenen Austrittsabkommen und dem gleichzeitig ausgesprochenen Nein zum harten Brexit, ist nach wie vor nicht klar, ob es zu einem Austrittsabkommen zwischen EU und Großbritannien kommen wird. Ob mit oder ohne Deal: fest steht, dass der Austritt Großbritanniens aus der EU Auswirkungen auf den Datenschutz haben wird. Was genau müssen Unternehmen dabei beachten?
Eine Übermittlung personenbezogener Daten nach Großbritannien spielt für deutsche Unternehmen insbesondere dann eine Rolle, wenn externe Dienstleister eingesetzt werden, die Daten in Großbritannien verarbeiten. Und dies ist nicht selten der Fall. Laut einer repräsentativen Umfrage der Bitkom aus dem Jahre 2018 übermittelt jedes siebte deutsche Unternehmen (14 Prozent) personenbezogene Daten nach Großbritannien. Auch wenn ein Unternehmen einen Firmensitz in Großbritannien hat, spielt das Thema des grenzübergreifenden Datenaustauschs oft eine Rolle.
Mit Austritt aus der EU wird Großbritannien datenschutzrechtlich zum Drittland. Im Klartext bedeutet das, dass die Übermittlung personenbezogener Daten nach der Datenschutzgrundverordnung (DSGVO) im Grundsatz verboten ist. Dies stellte auch die Europäische Kommission in ihrer "Notice to Stakeholders" vom 9. Januar 2018 fest. Zwar gibt es Auswege aus dem Verbot, für eine Datenübermittlung sieht die DSGVO jedoch strenge Vorgaben vor - verlangt wird ein Datenschutzniveau, das europäischen Standards im Wesentlichen gleichwertig ist.
Als sichere Drittländer gelten etwa Länder, denen die EU-Kommission per "Angemessenheitsbeschluss" ein angemessenes Datenschutzniveau bestätigt hat. Eine solche Vereinbarung gibt es zwischen der EU und Großbritannien bislang nicht. Sie müsste durch die Kommission auf den Weg gebracht werden. Auch eine entsprechende Regelung im möglichen Austrittsabkommen oder ein gesondertes Datenschutzabkommen zwischen EU und Großbritannien wäre denkbar.
Doch auch für den Fall eines Austritts ohne Abkommen oder ohne entsprechendes Datenschutzsabkommen, gibt es Möglichkeiten des grenzüberschreitenden Datenverkehrs nach Großbritannien. Die DSGVO stellt hierfür verschiedene Instrumente zur Verfügung. Unternehmen müssen in diesem Fall "geeignete Garantien" nachweisen. Als solche sind insbesondere sogenannte EU-Standardvertragsklauseln, verbindliche unternehmensinterne Regelungen, sogenannte Binding Corporate Rules oder Zertifizierungen denkbar.
Insbesondere auch Auftragsdatenverarbeitungsverträge müssen daraufhin überprüft und gegebenenfalls durch entsprechende Regelungen ergänzt werden.
In jedem Fall sollten Unternehmen diesbezüglich sehr schnell handeln, um wie bisher weiter machen zu können. Denn auch wenn Großbritannien ein Aufschub gewährt wird, ist ein Austritt wahrscheinlich. Unabhängig von den Entwicklungen der kommenden Tage und Wochen, sollten Unternehmen sich kurzfristig zum weiteren Vorgehen Gedanken machen. Gern beraten wir Sie hierbei!