Am 29.03.2019 ist Stichtag für den Austritt Großbritanniens aus der europäischen Union. Bisher steht in den Sternen, ob der Austritt geregelt abläuft, ohne eine Einigung zwischen EU und GB stattfindet oder vielleicht doch noch um einige Monate verschoben wird. Angesichts des politischen Auf und Ab im britischen Parlament stehen die Zeichen knappe 8 Wochen vor dem Stichtag momentan eher auf ungeregeltem Brexit.

In diesem Falle ist nicht nur der Güterverkehr zwischen der EU und GB durch Zollschranken eingeschränkt, sondern der ungeregelte Austritt hätte auch für den Datenverkehr und den Datenschutz erhebliche Konsequenzen. Durch einen ungeregelten Austritt würde also nicht nur durch Zollschranken wirtschaftlicher Schaden entstehen, auch durch Schranken im Datenverkehr zwischen Inselkönigreich und EU kommen auf Unternehmen ab dem 29.03.2019 Probleme zu.

Welche Konsequenzen hätte ein ungeregelter Brexit auf den Datenverkehr?

Ohne ein Austrittsabkommen, welches auch die datenschutzrechtlichen Beziehungen zwischen EU und GB nach dem Austritt regelt, würde GB nach dem 29.03.2019 von einem Tag auf den nächsten ein in datenschutzrechtlicher Hinsicht „unsicheres Drittland“ werden. Da ohne Austrittsabkommen keine Vereinbarungen zum Datenschutzniveau in GB getroffen werden, gilt das Land entsprechend der DSGVO dann somit als unsicher. Personenbezogene Daten dürften deshalb nur unter bestimmten Voraussetzungen nach GB übermittelt werden.

Betroffen wären davon Unternehmen, die personenbezogene Daten nach GB übermitteln oder einem dort ansässigen Unternehmen Zugriff auf personenbezogene Daten gewähren. Beispiele hierfür sind Unternehmen mit einer Niederlassung in GB, einem in GB ansässigen Dienstleister, der im Auftrag personenbezogene Daten verarbeitet oder Nutzer von Cloud- und Software-as-a-Service-Diensten, die von GB aus agieren.

Ohne entsprechende Vorbereitungen, die eine Übermittlung von personenbezogenen Daten legalisieren würden, müssten nach dem Stichtag alle Datenübermittlungen nach GB eingestellt werden. Dies kann im schlimmsten Fall, dazu führen, dass zuverlässige Dienstleister dort gekündigt werden müssen oder bei unerlaubter Übermittlung Datenschutzverstöße begangen werden.

Welche Maßnahmen sollten im Falle des Falles ergriffen werden?

Zunächst sollte eine passende Rechtsgrundlage gefunden werden, die eine Datenübermittlung nach GB legitimiert.

Folgende Möglichkeiten sieht die DSGVO dafür vor:

• Angemessenheitsbeschluss der EU-Kommission.
• Abschluss von Standardschutzklauseln.
• Einwilligungen der Betroffenen.
• Sonstige Garantien, wie z.B. verbindliche vertragliche Regelungen.

Nähere Informationen zu den verschiedenen Möglichkeiten finden sich hier:

• https://www.datarea.de/uebermittlung-von-personenbezogenen-daten-in-drittstaaten-angemessenheitsbeschluss/
• https://www.datarea.de/uebermittlung-von-personenbezogenen-daten-in-drittstaaten-geeignete-garantien-art-46-dsgvo/

Weiterhin müssten noch weitere Maßnahmen durchgeführt werden, um sich datenschutzkonform auf die Übermittlung von personenbezogenen Daten in den unsicheren Drittstaat Großbritannien umzustellen. Dazu gehört die Anpassung von Verarbeitungsverzeichnissen, die Information von Betroffenen über die Übermittlungen von Daten in Drittstaaten durch Anpassung der Transparenzhinweise, die Abfrage von geeigneten Garantien zum Datenschutz bei den Unternehmen in GB und ggf. auch die Revisionierung von Datenschulz-Folgenabschätzungen.

Letztlich bleibt zu hoffen, dass sich das politische Chaos im letzten Moment lichtet und doch noch ein geordneter Brexit stattfindet. Für den Fall der Fälle ist es aber dennoch sicherer, sich auf alle Eventualitäten vorzubereiten.

Im Falle eines ungeordneten Brexits besteht zudem die Möglichkeit, dass die EU-Kommission relativ zügig ein angemessenes Datenschutzniveau in GB anerkennt, da das Land trotz Austrittsverhandlungen die DSGVO ebenso umsetzen musste wie die verbleibenden EU-Staaten. Angesichts der politischen Verwerfungen wäre hier aber abzuwarten inwiefern der Datenschutz nach einem ungeordneten Brexit Vorrang vor anderen drängenden Themen bekommt und ein Beschluss zeitnah gefasst würde.