Brexit: GDPR and the EU Withdrawal of the United Kingdom

Harter Brexit am 29. März? Fristverlängerung? Aktuell ist noch völlig unklar, wohin Großbritannien mit seinem Plan, die EU zu verlassen, steuert. Doch welche Folgen hat der Brexit im Zusammenhang mit der DSGVO?

In ganz Europa erhitzt die Debatte um den Brexit zur Zeit die Gemüter. Nachdem das britische Unterhaus bereits zweimal Theresa Mays mit der EU ausgehandelten Deal abgelehnt hat, haben sich die Abgeordneten am vergangenen Mittwoch auch gegen einen "No-Deal-Brexit" ausgesprochen, was jedoch rechtlich nicht bindend ist. Damit steht aktuell eine mögliche Fristverlängerung im Raum, die May selbst bisher stets abgelehnt hatte.
Alle Szenarien scheinen jetzt möglich, schließlich will May die Abgeordneten eventuell sogar ein drittes Mal über "ihren Deal" abstimmen lassen. Und selbst falls die Briten um eine Fristverlängerung bitten, ist noch völlig unklar, ob ihnen diese von der EU gewährt würde und welchen Zeitraum dieser Aufschub umfassen würde: Monate? Jahre?

Doch die hier zentrale Frage: Wie wirkt sich der Brexit auf den Datenschutz aus?
Das hängt in jedem Fall davon ab, ob es nun zu einem geregelten oder zu einem harten Brexit kommt. Der vom britischen Parlament abgelehnte Vertrag mit der EU hatte eine Übergangsphase vorgesehen, die bis Ende dieses Jahres gelten sollte. Das hätte der Europäischen Kommission ausreichend Zeit gegeben, einen Angemessenheitsbeschluss zu fassen. Ein solcher Beschluss stellt eine der möglichen Grundlagen für die Datenübermittlung zwischen EU und sogenannten Drittländern dar. Konkret bedeutet das: Großbritannien hätte in diesem Fall den Status eines Drittlandes, an das die Übermittlung personenbezogener Daten als angemessen gilt, da ein vergleichbares Datenschutzniveau vorausgesetzt wird.

Kommt es aber tatsächlich zu einem harten Brexit, gibt es keine Übergangsfrist. Großbritannien wäre dann mit sofortiger Wirkung ab dem 29. März ein Drittstaat. Es bliebe definitiv keine Zeit, um bis dahin einen Angemessenheitsbeschluss zu erlassen.

Wie müssen also EU-Unternehmen künftig mit Datentransfers ins Vereinigte Königreich umgehen?
Das Bundesministerium für Wirtschaft und Energie macht klar: Unternehmen sollten sich in jedem Fall auf einen möglichen harten Brexit vorbereiten! D.h. eine Übertragung von personenbezogenen Daten in Drittstaaten - dann eben auch Großbritannien - ohne Angemessenheitsbeschluss ist gemäß DSGVO nur  in Ausnahmefällen zulässig. Darunter fallen folgende Szenarien:

• Ausdrückliche Einwilligung des Betroffenen in die Übermittlung
• Übermittlung ist für die Erfüllung eines Vertrages erforderlich
• Übermittlung ist aus wichtigen Gründen des öffentlichen Interesses notwendig
• Es liegen geeignete Garantien nach Art. 46 DSGVO (z.B. Standardvertragsklauseln) oder verbindliche interne Datenschutzvorschriften gemäß Art. 47 DSGVO vor

Aber egal ob harter Brexit oder doch ein Deal - Unternehmen mit Datenflüssen nach Großbritannien müssen ihre Geschäftsprozesse überdenken und ggf. anpassen. Bereits jetzt sollte geprüft werden, ob die vorhandenen Datentransfers auch dann noch eine Grundlage nach DSGVO haben, wenn das Vereinigte Königreich ein Drittstaat geworden ist.
Auch bei einem "soften" Brexit gibt es Handlungsbedarf: Unternehmen, die personenbezogene Daten nach Großbritannien übermitteln, müssen dies z.B. in ihre Datenschutzerklärung aufnehmen. Ebenso ist das Verzeichnis der Verarbeitungstätigkeiten anzupassen. Und noch vieles mehr.

Und eine weitere Frage stellt sich: Gilt die DSGVO auch nach dem Brexit für britische Unternehmen?
Hier gilt für Großbritannien - wie für alle anderen Staaten außerhalb der EU: Wer als Unternehmen personenbezogene Daten in der EU verarbeitet, muss sich auch an die DSGVO halten. Zum Teil kann dies bedeuten, dass man als Unternehmen einen Vertreter in der EU nach Art. 17 DSGVO benennen muss. In jedem Fall sind es keineswegs nur EU-Unternehmen, die sich in puncto Datenschutz auf den Brexit vorbereiten müssen, auf britische Unternehmen kommt eine wesentlich schwerwiegendere Umstellung zu!