Datenschutzwissen

Folgt auf den Brexit ein Datenschutzchaos?

Nun ist er vollzogen, der Brexit. Das Vereinigte Königreich ist formal aus der EU ausgetreten, und die Unterhändler des Vereinigten Königreichs und der EU haben bis zum 31. Dezember 2020 Zeit, diesen Brexit mit oder ohne Deal zu besiegeln. Doch was bedeutet dies aktuell für den grenzüberschreitenden Datenschutz zwischen der EU und dem Vereinigten Königreich?

Eine Phase der Unsicherheit herrscht vor: „Deal“ hin „No Deal“ her: Rein rechtlich ist das Vereinigte Königreich schon in der Übergangszeit bis zum 31.12.2020 ein Drittland, was die DSGVO angeht. Allerdings kann die EU-Kommission einen sogenannten „Angemessenheitsbeschluss“ erlassen, womit sie ein Instrument zur Hand, das das Vereinigte Königreich quasi per Dekret zu einem Partnerstaat macht, in dem damit der DSGVO angemessenen Datenschutzzustände herrschen. Andernfalls wäre die Datenverarbeitung von EU-Daten durch Unternehmen des Vereinigten eine äußerst komplizierte Geschichte, bei der sowohl die Bestimmungen der DSGVO, wie auch die der britischen Datenschutzbehörde ICO (Information Commissioner’s Office) miteinander in Einklang zu bringen wären.

Solange dieser Angemessenheitsbeschluss nicht vorliegt, sollten Unternehmen, die mit Unternehmen des Vereinigten Königreichs Geschäftsbeziehungen unterhalten, zumindest schon einmal ein Bewusstsein dafür entwickeln, dass der Brexit auch einen Austritt des Vereinigten Königreichs aus der europäischen DSGVO bedeutet. Und das hat nicht nur für Behörden, öffentliche Stellen und Global Player Konsequenzen, sondern auch für mittelständische und kleine Unternehmen, die mit Partnern auf den Inseln Geschäfte machen. Umgekehrt sind Unternehmen des Vereinigten Königreichs, die EU-Bürgern und EU-Firmen Dienstleistungen oder Produkte anbieten, weiterhin ohne Einschränkungen an die Bestimmungen der DSGVO gebunden. Das wiederum bedingt, dass Unternehmen des Vereinigten Königreichs gut daran tun, auch nach dem Brexit weiter die DSGVO für verbindlich anzusehen – denn wie auch Unternehmen in Deutschland in den vergangenen Monaten festgestellt haben, werden Kontrollen intensiver, und nach und nach scheuen sich die EU-Datenschützer auch nicht mehr, drastische Bußgelder zu verhängen. Zur Erinnerung: Bußgelder bis 20 Millionen Euro oder vier Prozent vom Jahresumsatz sind rechtlich möglich.

14 Prozent aller deutschen Unternehmen betroffen

Laut einer BITKOM-Umfrage sind in Deutschland sehr viele Unternehmen direkt vom Brexit und seinen datenschutzrechtlichen Konsequenzen betroffen: Beinahe jedes siebte deutsche Unternehmen tauscht mit einem Headquarter im Vereinigten Königreich, einem Zulieferer oder Kunden regelmäßig Daten aus. Trotz der oben geschilderten Wahrscheinlichkeit, dass die Unternehmen im Vereinigten Königreich, die mit EU-Bürgern oder EU-Unternehmen weiterhin in Geschäftsbeziehungen verbleiben, vermutlich die DSGVO weiter als gesetzt ansehen, sollten Unternehmen mit Sitz in Deutschland Vorkehrungen für den Fall treffen, dass der Angemessenheitsbeschluss ausbleibt.

Datenschutzexperten raten dazu, vor allem bei folgenden Aspekten bereits jetzt Maßnahmen einzuleiten

  • Auskunftsrecht: Berechtigte Anfragen bezüglich der Datenverarbeitung mit Drittländern sollten auch für Datenaustausch-Prozesse mit Unternehmen oder Behörden im Vereinigten Königreich glaubhaft und transparent beantwortet werden.
  • Verarbeitungstätigkeiten: Auch diese sollten schriftlich für jedweden Datenaustausch mit dem Vereinigten Königreich verifiziert werden. Deutsche Unternehmen sollten sich bestätigen lassen, dass weiterhin nach den Bestimmungen der DSGVO verfahren wird – oder ein individuelles Verzeichnis anfertigen.
  • Informationspflichten: Die sind ebenfalls auf eventuell geänderte Praktiken zu überprüfen und gegebenenfalls anzupassen.
  • Datenschutz-Folgeabschätzungen: Diese können sich fundamental ändern, wenn ein Unternehmen im Vereinigten Königreich sich nicht mehr an die DSGVO gebunden fühlt.

Auch wenn bis zum 31.12.2020 noch eine allgemeine Übergangsfrist vereinbart wurde: Der Brexit ist formal vollzogen. Und es besteht nach wie vor die Option, dass bis zum Ende des Jahrs keine „Deal“ vorliegt. Daher gibt es in der aktuellen Situation zwar keinen Grund für voreiligen Aktionismus. Aber es ist auf jeden Fall hilfreich, sich bereits jetzt mit den Eventualitäten zu befassen und erste Maßnahmen vorzubereiten.

Zurück

Abonnieren Sie unseren kostenlosen Datenschutz-Fachinformationsdienst und bleiben Sie stets aktuell informiert:

  • Datenschutz-Fokusthemen
  • Veröffentlichungen der Behörden
  • Relevante Gerichtsentscheidungen

Als Dankeschön für Ihre Anmeldung erhalten Sie eine Gratis-Mustervorlage für die Umsetzung eines Löschkonzepts.