Was bedeutet der Brexit in Sachen Datenschutz?

Der Brexit ist nun doch gekommen. Müssen nun aus Datenschutz-Erwägungen schon Aktionen erfolgen? Viele Unternehmen sind verunsichert.

Vielerorts herrscht Verunsicherung wegen des Brexits: Welche Konsequenzen hat der EU-Austritt des Vereinigten Königreichs im Hinblick auf grenzüberschreitenden Datenschutz? No Deal oder doch Deal? Die Zeit läuft, und bis zum Jahresende ist England rein rechtlich ein Drittland, was den Datenschutz angeht. Allerdings kann die EU-Kommission mit einem sogenannten „Angemessenheitsbeschluss“ ein Instrument erlassen, welches das Vereinigte Königreich quasi per Dekret auch darüber hinaus zu einem Partnerstatt macht, in dem damit der DSGVO angemessene Datenschutzzustände herrschen. Andernfalls wäre die Datenverarbeitung von EU-Daten durch Unternehmen des Vereinigten Königreichs äußerst komplizierte Geschichte. Hier müssten das europäische Gesetzeswerk mit den Vorschriften des IOC (so heißt die britische oberste Datenschutzbehörde) in Einklang gebracht werden.

Fakt ist, dass sich bis zum Jahresende für Unternehmen, die grenzüberschreitend tätig sind, gar nichts ändert. Trotzdem sollten Unternehmen sich schon frühzeitig damit befassen, was 2021 auf sie zukommen könnte. Solange dieser Angemessenheitsbeschluss nicht vorliegt, sollten vom Brexit betroffene Unternehmen allerdings zumindest schon einmal ein Bewusstsein dafür entwickeln, dass der Brexit auch einen Austritt des Vereinigten Königreichs aus der europäischen DSGVO bedeutet.

Und das hat nicht nur für Behörden, öffentliche Stellen und Global Player Konsequenzen, sondern auch für mittelständische und kleine Unternehmen, die mit Partnern auf den Inseln Geschäfte machen. Umgekehrt sind Unternehmen des Vereinigten Königreichs, die Firmen oder Bürgern Dienstleistungen oder Produkte anbieten, weiterhin ohne Einschränkungen an die Bestimmungen der DSGVO gebunden. Das wiederum bedingt, dass Unternehmen des Vereinigten Königreichs gut daran tun, auch nach dem Brexit weiter die DSGVO für verbindlich anzusehen – Kontrollen werden nämlich häufiger durchgeführt. Das konnten in Deutschland im vergangenen Jahr bereits einig Großunternehmen erleben. Vor allem hohe Bußgelder wurden teils erschrocken kommentiert, obwohl sie in dieser Höhe abzusehen waren. Denn schon kurz nach der Einführung der DSGVO wurde in allen Medien darüber berichtet, dass Bußgelder in Millionenhöhe oder bis zu vier Prozent vom Jahresumsatz rechtlich möglich sind.

Jede siebte Firma ist vom Brexit betroffen

Nach einer Umfrage der Experten von BITKOM ist jedes siebte deutsche Unternehmen mit Firmen im Vereinigten Königreich im Austausch, also auch im Datenaustausch. Trotz der oben geschilderten Wahrscheinlichkeit, dass die Unternehmen im Vereinigten Königreich, die mit EU-Bürgern oder EU-Unternehmen weiterhin in Geschäftsbeziehungen verbleiben, vermutlich die DSGVO weiter als gesetzt ansehen, sollten deutsche Unternehmen sich intensiv mit den Konsequenzen beschäftigen, die ein nicht gefasster Angemessenheitsbeschluss für sie hätte.

Folgende Aspekte verdienen frühzeitige und genaue Überprüfung

• Auskunftsrecht: Berechtigte Anfragen bezüglich der Datenverarbeitung mit Drittländern sollten auch für Datenaustausch-Prozesse mit Unternehmen oder Behörden im Vereinigten Königreich glaubhaft und transparent beantwortet werden.
• Verarbeitungstätigkeiten: Auch diese sollten schriftlich für jedweden Datenaustausch mit dem Vereinigten Königreich verifiziert werden. Deutsche Unternehmen sollten sich bestätigen lassen, dass weiterhin nach den Bestimmungen der DSGVO verfahren wird – oder ein individuelles Verzeichnis anfertigen.
• Informationspflichten: Diese sind ebenfalls auf eventuell geänderte Praktiken zu überprüfen und gegebenenfalls anzupassen.
• Datenschutz-Folgenabschätzungen: Diese können sich fundamental ändern, wenn ein Unternehmen des Vereinigten Königreichs sich nicht mehr an die DSGVO gebunden fühlt.

Übergangsfristen wie in diesem Fall bis zum 31. Dezember wiegen zunächst in Sicherheit, aber, wie alle wissen, rast die Zeit dahin. Und der Breit ist nun Realität, mit der Option, dass bis zum Ende des Jahrs kein „Deal“ vorliegt. Daher gibt es in der aktuellen Situation zwar keinen Grund für voreiligen Aktionismus. Dennoch raten Experten dazu, schon jetzt Prozesse zu entwickeln, die auch nach dem 31.12.2020 einen rechtlich sicheren Datenschutz garantieren.