Brexit sorgt auch beim Datenschutz für Unsicherheit

Das Chaos um den Austritt Großbritanniens aus der EU wird immer größer, nachdem das Parlament den Austrittsvertrag abgelehnt hat. Schon jetzt ist die Zeit bis zum geplanten Austrittstermin äußerst knapp. Ob noch Nachverhandlungen oder eine Verschiebung möglich sind, ist offen. Auch der befürchtete No-Deal-Brexit steht noch im Raum. In allen Szenarien wird Großbritannien zu einem Drittland, was für den Datenschutz sehr vieler Unternehmen Konsequenzen hat.

Die Verunsicherung rund um das Thema Datenschutz ist auch mehr als ein halbes Jahr nach dem Inkrafttreten der Datenschutzgrundverordnung immer noch groß. Zu allem Überfluss droht nun zusätzliches Ungemach, wenn in Kürze Großbritannien aus der Europäischen Union ausscheidet.

  • Denn in Nicht-EU-Länder dürfen personenbezogene Daten von EU-Bürgern nicht so einfach zur Speicherung oder Bearbeitung übertragen werden
  • und je nach Austrittsvariante wird Großbritannien früher oder später zu einem Drittland werden.

Bitkom warnt vor Datenschutzfolgen des Brexit

Derzeit ist eine Übertragung personenbezogener Daten nach Großbritannien durchaus noch üblich, wie eine aktuelle, repräsentative Umfrage des Branchenverbands Bitkom belegt.

  • Demnach erfolgt bei rund jedem siebten deutschen Unternehmen, dass personenbezogene Daten über externe Dienstleister verarbeiten lässt, diese Datenverarbeitung in Großbritannien.
  • Durch den Brexit müssen diese Unternehmen nun jedoch reagieren und ihre Geschäftsprozesse anpassen, was Unsicherheiten und hohe Kosten nach sich ziehe.

Ungeordneter Brexit wäre datenschutzrechtlich brisanter

Eine Anpassung müsste zwar auch für den Fall eines geregelten Brexit-Austritts erfolgen, im Szenario eines No-Deals drohe der EU jedoch ein „Datenchaos“, warnte der Bitkom-Hauptgeschäftsführer  Bernhard Rohleder.

  • Sollte es doch noch zu einem geregelten Austritt kommen, bliebe die Lage zumindest halbwegs entspannt, da während einer hierbei vereinbarten Übergangsphase das bislang geltende europäische Datenschutzrecht weiter gültig bleiben könnte.
  • Während dieser Übergangsphase könnte Großbritannien ein nationales Datenschutzrecht beschließen, und auf dieser Grundlage anschließend einen Angemessenheitsbeschluss mit der EU aushandeln.
  • Bei einem No-Deal-Szenario wird Großbritannien jedoch datenschutzrechtlich abrupt zu einem Drittland, und dies bereits evtl. schon am 29. März, wenn man am bisherigen Terminplan festhält.

In diesem Fall müssten Datenübertragungen nach den in Artikel 44 ff. DSGVO vorgesehenen Mechanismen (z.B. Standardvertragsklauseln, Einwilligung der Betroffenen etc.) abgesichert werden. Angesichts der Kürze der Zeit dürfte dies jedoch kaum zu realisieren sein.

Unternehmen sollten vorbereitende Brexit-Anpassungen ins Auge fassen

Auch der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz, Prof. Dieter Kugelmann, verweist in einer Stellungnahme  auf die datenschutzrechtlichen Folgen eines Austritts Großbritanniens aus der EU und fordert unter dem Motto "Drittland über Nacht" rechtzeitige Anpassungsmaßnahmen.

Unabhängig von der Art des Austritts (geregelt oder No-Deal) sollten die Verantwortlichen Stellen daher schon jetzt folgende Bestimmungen beachten und gegebenenfalls Dokumente überarbeiten:

  • Im Informationsblatt zur Datenverarbeitung und in der Datenschutzerklärung einer Website soll gem. Art. 13 Abs. 1 lit. f bzw. Art. 14 Abs. 1 lit. f DS-GVO über die Datenübermittlung in ein Drittland informiert werden.
  • Wenn eine betroffene Person von ihrem Auskunftsrecht Gebrauch macht, müsse sie gem. Art. 15 Abs. 1 lit. c, Abs. 2 DS-GVO auch über die Datenübermittlung in Drittländer informiert werden.
  • Im Verzeichnis von Verarbeitungstätigkeiten sollen Datenübermittlungen in Drittländer gem. Art. 30 Abs. 1 lit. d und lit. e DS-GVO bzw. Art. 30 Abs. 2 lit. c DS-GVO als solche bezeichnet und die weiteren in diesem Zusammenhang geforderten Angaben gemacht werden. 
  • Gegebenenfalls müssten Datenschutz-Folgenabschätzungen erstmals durchgeführt oder bereits erfolgte überprüft werden, soweit es um die Datenübermittlung in das UK als Drittland geht (Art. 35 DS-GVO).

Weiteres Informationsmaterial darüber, welche datenschutzrechtlichen Anforderungen sich für Unternehmen und Verwaltungen bei den verschiedenen Austritts-Szenarien ergeben, will der Landesdatenschutzbeauftragte in Kürze auf der Website bereitstellen.

Weitere News zum Thema:

Dienstleisterverträge an die DSGVO anpassen

Rettung der Limited durch Änderung des Umwandlungsgesetzes?

Brexit und kein Ende

Hintergrund:

Nützliches Brexit-Glossar des DIHK

Die wichtigsten mit dem Brexit verknüpften Ausdrücke können in einem Glossar der DIHK online nach geschlagen werden und stehen auch als PDF zum Download bereit.

Außerdem hat der DIHK eine Sonderwebpage rund um das Thema Brexit eingerichtet. Die finden Sie hier.

Schlagworte zum Thema:  Brexit, Datenschutz, Datenschutz-Grundverordnung