(openPR) 51,89 Prozent der Wähler stimmten am 23. Juni 2016 für den Austritt des Vereinigten Königreichs (UK) aus der Europäischen Union (EU). Am 29. April 2017, nur gut zehn Monate später, leitete die britische Premierministerin Theresa May den Austrittsprozess offiziell ein. Folge: am Freitag, 29. März 2019 verlässt das Vereinigte Königreich (England, Wales, Nordirland, Schottland und die Kanalinseln) nach 46 Jahren die Europäische Union. Dieser Austritt hat weitreichende Folgen in zahlreichen Bereichen, so auch im Datenschutz. „Der Austritt eines Landes aus der EU ist ein bislang einzigartiger Vorgang und stellt den Datenschutz in vielen Unternehmen vor Herausforderungen“, unterstreicht der erfahrene Datenschutzbeauftragte Dr. Jörn Voßbein von UIMC. Wie der Austritt abgewickelt wird ist bisher unklar. Welche Folgen die einzelnen Austrittsszenarien für den Datenschutz haben verdient eine seriöse Betrachtung.
Zunächst muss die Frage nach der Betroffenheit beantwortet werden: Welche Unternehmen betrifft der Brexit datenschutzrechtlich? Relevant wird das Thema für Unternehmen in der EU mit Einkaufs- oder Kundenbeziehungen in das Vereinigte Königreich, eigenen Niederlassungen oder Konzerngesellschaften dort. Betroffen sind auch Online-Händler, die aus der EU heraus Kunden im UK beliefern.
Szenario I
Der datenschutzrechtliche Extremfall ist ganz sicher ein „harter Brexit“, bei dem der Austritt ungeordnet und ohne ein Abkommen zwischen UK und EU abläuft. Folge: ab dem 30. März 2019 hätte die DSGVO keinerlei Geltung mehr im Vereinigten Königreich. Dies hätte Auswirkungen auf den grenzüberschreitenden Datenverkehr und somit auf den Datenschutz. Das Vereinigte Königreich würde datenschutzrechtlich zu einem Drittland, vergleichbar mit den USA. Sollte es von der EU nicht bis zum 29. März als sicheres Drittland anerkannt werden (wie beispielsweise die Schweiz), wovon aktuell nicht auszugehen ist, wird die Übermittlung personenbezogener Daten aus der EU nach UK zwar immer noch möglich sein, aber spezifischen Bedingungen unterliegen, die im Unionsrecht festgelegt sind. Eine Verkomplizierung ist sicher und der Aufwand wird erhöht.
Szenario II
Das britische Parlament stimmt dem ausverhandelten Austrittsabkommen zu. In Teil VII des Abkommens wird der Datenschutz behandelt. Vorteil: Die EU bietet eine Übergangsphase bis Ende 2020 an, in der das Vereinigte Königreich noch Teil von Zollunion und Binnenmarkt wäre. Britannien würde also langsam aus der EU ausgleiten. Die DSGVO würde bis Ende 2020 auch in UK gelten. Allerdings ist auch diese Übergangsphase endlich. UK würde auch dann zum datenschutzrechtlichen Drittland.
Was bedeutet „Drittland“ im Rahmen des Datenschutzes?
Drittland - dabei geht es im Kern um die Frage, ob das Niveau des Datenschutzes im Drittland UK dem EU-Schutzniveau entspricht. Die EU würde also entweder ab 30. März 2019 oder nach Ablauf einer Übergangsphase das Datenschutzniveau im Vereinigten Königreich überprüfen. Kommt die EU zu dem Schluss, dass das Datenschutzniveau im Wesentlichen gleich ist, würde die EU-Kommission einen sog. Angemessenheitsbeschluss fassen, der die Übermittlung personenbezogener Daten in das Vereinigte Königreich ohne zusätzliche Einschränkungen gestattet.
Die Entscheidung wird aber erst erfolgen, wenn Britannien Drittland geworden ist. Unternehmen müssen sich deshalb darauf vorbereiten, dass UK bei einem harten Brexit nach dem 30. März 2019 ein Drittland im Sinne des Datenschutzrechtes ist. In diesem Fall müsste entweder ab dem 30.03.2019 auf einen Datentransfer verzichtet oder entsprechende (vertragliche) Maßnahmen ergriffen werden. „Die Unternehmen sollten sich rechtzeitig damit beschäftigen, um auf alle Eventualitäten vorbereitet zu sein und keine wirtschaftlichen Nachteile zu erleiden“, betont UIMC-Geschäftsführer Dr. Voßbein, der keine Prognose über das weitere Geschehen auf der politischen Bühne abgeben will. Sollte die May-Regierung keine Mehrheit für das Austrittsabkommen mit der EU erlangen und möglicherweise zerbrechen, sei man schneller bei einem ungeordneten Austritt, als man heute dächte. „Das Votum für den Brexit hatte auch niemand für möglich gehalten“, ruft Dr. Voßbein die Geschehnisse im Juni 2016 in Erinnerung. Der 29. März 2019 dürfe für die mit UK verbundenen Unternehmen nicht zum datenschutzrechtlichen „Schwarzen Freitag“ werden.
