Datenschutz im Lichte des Brexits

Datenübermittlung nach Großbritannien

Viele deutsche Unternehmen lassen personenbezogene Daten im Ausland verarbeiten. Umfragen haben ergeben, dass auch rund 14 % der Unternehmen Daten in Großbritannien verarbeiten lassen. Bis zum Austrittstermin ist Großbritannien Teil der Eurpäischen Union (EU). Damit sind die Gesetze und Regelungen der EU, wie die Datenschutz-Grundverordnung (EU-DSGVO), auch in Großbritannien anwendbar. Die Übermittlung von Daten wird hier privilegiert behandelt. Nach Vollzug der britischen Entscheidung, aus der EU auszutreten, wird Großbritannien zu einem Drittland. Angesichts der schwierigen Austrittsverhandlungen und der unklaren Situation in Großbritannien stehen die Unternehmen der EU vor der Frage, nach welchen Regeln der Datenschutz nach dem Brexit erfolgt.

Geordneter Brexit

Im Falle eines geordneten Brexits, das heißt, wenn ein Austrittsvertrag abgeschlossen wird, bleiben voraussichtlich die bestehenden Regelungen vorläufig anwendbar. Ein unmittelbarer Handlungsbedarf besteht dann für die Unternehmen nicht. Während einer Übergangsphase hat Großbritannien anschließend Zeit, eigene Regeln für den Datenschutz aufzustellen. Um für beide Seiten den Datentransfer einfacher zu gestalten, ist es das erklärte Ziel, dass die EU-Kommission einen Angemessenheitsbeschluss trifft, der den Datentransfer erleichtert.

Ungeordneter Brexit

Kommt zwischen der EU und Großbritannien kein Brexit-Deal zustande, so wird Großbritannien mit dem Austritt unmittelbar zu einem Drittland. Sämtliche Regelungen der DSGVO zum Datenverkehr mit einem Drittland sind dann sofort anwendbar. Dies birgt erhebliche Risiken und fordert sofortige Maßnahmen für die betroffenen Unternehmen.

Es ist nicht damit zu rechnen, dass die EU-Kommission in diesem Falle kurzfristig mit einem Angemessenheitsbeschluss Großbritannien zu einem sicheren Drittland erklären wird. Daher wird es im Falle eines ungeordneten Brexits die schnellste Lösung sein, auf die EU-Standard-Vertragsklauseln zurückzugreifen, mit denen sich das britische Unternehmen verpflichtet, die europäischen Datenschutzvorschriften einzuhalten. Zudem können britische Unternehmen sich mit sogenannten Binding Corporate Rules selbst verpflichten. Hier bedarf es aber der Genehmigung der deutschen Aufsichtsbehörde. Unabhängig hiervon bleibt die Übermittlung nach Großbritannien rechtmäßig, die zur Vertragserfüllung erforderlich ist (etwa bei einer Hotelbuchung) oder wenn der Betroffene freiwillig seine Einwilligung in die Datenübermittlung erteilt. Letztlich haben die deutschen Unternehmen zu beachten, dass sie ihre Pflichtinformationen anzupassen haben, denn über die Übermittlung in ein Drittland muss der Betroffene transparent informiert werden.

Maßnahmenkatalog

Deutsche Unternehmen sollten im Hinblick auf den Brexit und die Folgen für den Datenschutz in ihrem Unternehmen folgende Punkte beachten:

  • Prüfung, ob personenbezogene Daten nach Großbritannien übermittelt werden
  • Beobachtung, wie sich der Brexit vollzieht
  • Schaffung neuer Rechtsgrundlagen im Falle eines ungeordneten Brexits (z.B. Standardvertragsklauseln)
  • Information der Betroffenen über die Datenübermittlung in ein Drittland im Falle eines ungeordneten Brexits

Dr. Christian Lenz

Rechtsanwalt, Fachanwalt für Steuerrecht

Zum Profil von Dr. Christian Lenz

Alexandra Hecht

Rechtsanwältin, Fachanwältin für Arbeitsrecht

Zum Profil von Alexandra Hecht

Kirsten Garling

Rechtsanwältin

Zum Profil von Kirsten Garling

Permalink