Das zwischen der Europäischen Union und dem Vereinigten Königreich ausgehandelte Brexit-Abkommen sah vor, dass für die Zeit der Übergangsphase das Vereinigte Königreich datenschutzrechtlich so behandelt worden wäre wie die Länder des europäischen Wirtschaftsraums.
Das hätte einen Transfer von personenbezogenen Daten aus der Europäischen Union in das Vereinigte Königreich ohne zusätzliche Maßnahmen zur Sicherstellung eines adäquaten Datenschutzniveaus ermöglicht.
Die Ablehnung des Brexit-Deals vergangene Woche sorgt nun aber für Unruhe.
Der ungeregelte Brexit scheint möglich – welche datenschutzrechtlichen Konsequenzen hat dies für die Unternehmen?
Die Europäische Kommission hat bereits am 13.11.2018 klargestellt, dass bei einem Brexit ohne geregeltes Abkommen das Vereinigte Königreich ab dem 30.03.2019 als unsicheres Drittland gilt. Und zwar so lange, bis ein Angemessenheitsbeschluss nach Art. 45 DSGVO erlassen wird. Darin wird festgestellt, dass das Datenschutzniveau dem Niveau der DSGVO entspricht. Prinzipiell hat das Vereinigte Königreich die DSGVO in nationales Recht umgesetzt.
Allerdings mit zwei gravierenden Ausnahmen:
1. Es erlaubt die umstrittene Vorratsdatenspeicherung „Investigatory Powers Act“ und
2. es fehlt im Vereinigten Königreich das EU-Privacy-Shield für die Datenübermittlung VK und USA.
Demnach wird sich die EU-Kommission vermutlich schwer tun, den Angemessenheitbeschluss (ein solches Verfahren nimmt erfahrungsgemäß mehrere Monate bis über ein Jahr in Anspruch) zu erlassen. Aber wie sollen nun die Unternehmen reagieren?
Sie müssen aktiv werden!
Das heißt: Ab dem 30. März 2019 müssen deutsche Unternehmen ihre britischen Geschäftspartner und Kunden, dortige Rechenzentren oder IT-Dienstleister behandeln, als säßen sie außerhalb der EU.
Um dies zu regeln, schlägt Rechtsanwalt Dr. Philip Kempermann von Heuking Kühn Lüer Wojtek in seiner Stellungnahme vor, den Datentransfer mit sog. Standardvertragsklauseln abzusichern. Alternative Möglichkeiten sind verbindliche interne Regelungen oder Zertifizierungen.
„Auch aus Sicht des DDV sind Standardvertragsklauseln das probate Mittel um sich abzusichern, denn beim „Hard Brexit“ ohne Deal ist das VK Drittland,“ so Hans Jürgen Schäfer, Leiter Recht beim DDV Deutscher Dialogmarketing Verband e.V. (zu Standardvertragsklauseln siehe DDV-Guide Seite 28 unter 6.3.2. – der Guide kann hier kostenlos bestellt werden)
Da eine rechtssichere Umsetzung bis zum 30. März aber äußerst schwierig sein wird, mehren sich Stimmen aus der Wirtschaft, die Rechtssicherheit für dieses Szenario fordern. „Ein harter Brexit ohne Abkommen trifft nicht nur die britische Wirtschaft enorm, sondern schadet auch deutschen Unternehmen quer durch alle Branchen. Unternehmen brauchen jetzt ganz schnell Rechtssicherheit, wie sie ihre Daten künftig verarbeiten können – gerade auch im Sinne ihrer Mitarbeiter und der Verbraucher“, so Bitkom-Hauptgeschäftsführer Dr. Bernhard Rohleder.
Auch interessant: Salesforce baut Präsenz in Irland und Großbritannien aus