Brexit: DSGVO und der EU-Austritt Großbritanniens

  • Autor: Niklas Drexler
  • Letzte Aktualisierung: 01.03.2017
  • Kategorie: Datensicherheit

Harter Brexit am 29. März? Fristverlängerung? Aktuell ist noch völlig unklar, wohin Großbritannien mit seinem Plan, die EU zu verlassen, steuert. Doch welche Folgen hat der Brexit im Zusammenhang mit der DSGVO?

In ganz Europa erhitzt die Debatte um den Brexit zur Zeit die Gemüter. Nachdem das britische Unterhaus bereits zweimal Theresa Mays mit der EU ausgehandelten Deal abgelehnt hat, haben sich die Abgeordneten am vergangenen Mittwoch auch gegen einen "No-Deal-Brexit" ausgesprochen, was jedoch rechtlich nicht bindend ist. Damit steht aktuell eine mögliche Fristverlängerung im Raum, die May selbst bisher stets abgelehnt hatte.
Alle Szenarien scheinen jetzt möglich, schließlich will May die Abgeordneten eventuell sogar ein drittes Mal über "ihren Deal" abstimmen lassen. Und selbst falls die Briten um eine Fristverlängerung bitten, ist noch völlig unklar, ob ihnen diese von der EU gewährt würde und welchen Zeitraum dieser Aufschub umfassen würde: Monate? Jahre?

Doch die hier zentrale Frage: Wie wirkt sich der Brexit auf den Datenschutz aus?
Das hängt in jedem Fall davon ab, ob es nun zu einem geregelten oder zu einem harten Brexit kommt. Der vom britischen Parlament abgelehnte Vertrag mit der EU hatte eine Übergangsphase vorgesehen, die bis Ende dieses Jahres gelten sollte. Das hätte der Europäischen Kommission ausreichend Zeit gegeben, einen Angemessenheitsbeschluss zu fassen. Ein solcher Beschluss stellt eine der möglichen Grundlagen für die Datenübermittlung zwischen EU und sogenannten Drittländern dar. Konkret bedeutet das: Großbritannien hätte in diesem Fall den Status eines Drittlandes, an das die Übermittlung personenbezogener Daten als angemessen gilt, da ein vergleichbares Datenschutzniveau vorausgesetzt wird.

Kommt es aber tatsächlich zu einem harten Brexit, gibt es keine Übergangsfrist. Großbritannien wäre dann mit sofortiger Wirkung ab dem 29. März ein Drittstaat. Es bliebe definitiv keine Zeit, um bis dahin einen Angemessenheitsbeschluss zu erlassen.

Wie müssen also EU-Unternehmen künftig mit Datentransfers ins Vereinigte Königreich umgehen?
Das Bundesministerium für Wirtschaft und Energie macht klar: Unternehmen sollten sich in jedem Fall auf einen möglichen harten Brexit vorbereiten! D.h. eine Übertragung von personenbezogenen Daten in Drittstaaten - dann eben auch Großbritannien - ohne Angemessenheitsbeschluss ist gemäß DSGVO nur  in Ausnahmefällen zulässig. Darunter fallen folgende Szenarien:

  • Ausdrückliche Einwilligung des Betroffenen in die Übermittlung
  • Übermittlung ist für die Erfüllung eines Vertrages erforderlich
  • Übermittlung ist aus wichtigen Gründen des öffentlichen Interesses notwendig
  • Es liegen geeignete Garantien nach Art. 46 DSGVO (z.B. Standardvertragsklauseln) oder verbindliche interne Datenschutzvorschriften gemäß Art. 47 DSGVO vor

Aber egal ob harter Brexit oder doch ein Deal - Unternehmen mit Datenflüssen nach Großbritannien müssen ihre Geschäftsprozesse überdenken und ggf. anpassen. Bereits jetzt sollte geprüft werden, ob die vorhandenen Datentransfers auch dann noch eine Grundlage nach DSGVO haben, wenn das Vereinigte Königreich ein Drittstaat geworden ist.
Auch bei einem "soften" Brexit gibt es Handlungsbedarf: Unternehmen, die personenbezogene Daten nach Großbritannien übermitteln, müssen dies z.B. in ihre Datenschutzerklärung aufnehmen. Ebenso ist das Verzeichnis der Verarbeitungstätigkeiten anzupassen. Und noch vieles mehr.

Und eine weitere Frage stellt sich: Gilt die DSGVO auch nach dem Brexit für britische Unternehmen?
Hier gilt für Großbritannien - wie für alle anderen Staaten außerhalb der EU: Wer als Unternehmen personenbezogene Daten in der EU verarbeitet, muss sich auch an die DSGVO halten. Zum Teil kann dies bedeuten, dass man als Unternehmen einen Vertreter in der EU nach Art. 17 DSGVO benennen muss. In jedem Fall sind es keineswegs nur EU-Unternehmen, die sich in puncto Datenschutz auf den Brexit vorbereiten müssen, auf britische Unternehmen kommt eine wesentlich schwerwiegendere Umstellung zu!

Hand drawing a red line between the UK and the rest of the European Union. Concept of Brexit. The UK is thus on course to leave the EU on 29 March 2019
© tanaonte / stock.adobe.com | #221858285

Datenschutzeinstellungen

Wir nutzen Cookies auf unserer Website. Einige von ihnen sind essenziell, während andere uns helfen, diese Website und Ihre Erfahrung zu verbessern.

In dieser Übersicht können Sie einzelne Cookies einer Kategorie oder ganze Kategorien an- und abwählen. Außerdem erhalten Sie weitere Informationen zu den verfügbaren Cookies.
Gruppe Essenziell
Name Matomo
Technischer Name
Anbieter
Ablauf in Tagen 72
Datenschutz
Zweck Nutzung ohne Cookies
Erlaubt
Gruppe Externe Medien
Name Calendly
Technischer Name __cf_bm,__cfruid,OptanonConsent,
Anbieter Calendly LLC
Ablauf in Tagen 365
Datenschutz https://calendly.com/privacy
Zweck Zum Vereinbaren von Terminen über den Anbieter Calendly
Erlaubt
Name Contao CSRF Token
Technischer Name csrf_contao_csrf_token
Anbieter Contao
Ablauf in Tagen 0
Datenschutz
Zweck Dient zum Schutz der Website vor Fälschungen von standortübergreifenden Anfragen. Nach dem Schließen des Browsers wird das Cookie wieder gelöscht
Erlaubt
Name Contao HTTPS CSRF Token
Technischer Name csrf_https_contao_csrf_token
Anbieter Contao
Ablauf in Tagen 0
Datenschutz
Zweck Dient zum Schutz der verschlüsselten Website (HTTPS) vor Fälschungen von standortübergreifenden Anfragen. Nach dem Schließen des Browsers wird das Cookie wieder gelöscht
Erlaubt
Name PHP SESSION ID
Technischer Name PHPSESSID
Anbieter Contao
Ablauf in Tagen 0
Datenschutz
Zweck Cookie von PHP (Programmiersprache), PHP Daten-Identifikator. Enthält nur einen Verweis auf die aktuelle Sitzung. Im Browser des Nutzers werden keine Informationen gespeichert und dieses Cookie kann nur von der aktuellen Website genutzt werden. Dieses Cookie wird vor allem in Formularen benutzt, um die Benutzerfreundlichkeit zu erhöhen. In Formulare eingegebene Daten werden z. B. kurzzeitig gespeichert, wenn ein Eingabefehler durch den Nutzer vorliegt und dieser eine Fehlermeldung erhält. Ansonsten müssten alle Daten erneut eingegeben werden.
Erlaubt
Name FE USER AUTH
Technischer Name FE_USER_AUTH
Anbieter Contao
Ablauf in Tagen 0
Datenschutz
Zweck Speichert Informationen eines Besuchers, sobald er sich im Frontend einloggt.
Erlaubt