Nach Angaben der britischen Regierung soll der Brexit, also der Austritt Großbritanniens aus der Europäischen Union (EU) am 29. März 2019 um 23 Uhr britischer Zeit rechtskräftig werden. Derzeit ist noch nicht abzusehen, wie sich das künftige Verhältnis zur Union gestalten wird. Für viele Firmen in der EU stellt sich daher die Frage, unter welchen Bedingungen zukünftig überhaupt noch personenbezogene Daten an britische Unternehmen übertragen werden dürfen. 

Aktuelle Rechtslage

Derzeit ist Großbritannien noch Mitglied der EU. Damit gilt dort seit 25. Mai 2018 die EU-Datenschutz-Grundverordnung (DSGVO). Darüber hinaus gilt dort der am 23. Mai 2018 erlassene Data Protection Act 2018, das britische Datenschutzgesetz. Dieses regelt wie das Bundesdatenschutzgesetz die sog. Öffnungsklauseln der DSGVO.

Die Datenübermittlung nach Großbritannien ist unproblematisch, solange es noch Teil der EU ist.

Voraussichtliche Rechtslage nach dem Brexit

Das britische Parlament hat im Juni 2018 nach langen Verhandlungen den European Union Withdrawal Act 2018 verabschiedet. Es handelt sich dabei um ein Austrittsgesetz, das das britische Beitrittsgesetz zur Europäischen Gemeinschaft von 1972 aufhebt. Durch die Aufhebung dieses Beitrittsgesetzes zur damaligen Europäischen Gemeinschaft gelten die Verordnungen, Richtlinien und Beschlüsse der EU für Großbritannien nicht mehr. Damit keine Rechtsunsicherheit entsteht, regelt das Austrittsgesetz, dass mit dem Austrittsdatum spätestens am 30. März 2019 die bisherigen EU-Verordnungen und Richtlinien in nationales britisches Recht überführt werden sollen.

Sofern dies alles wie geplant abläuft, würden die Regelungen der DSGVO künftig in nationales britisches Recht umgewandelt. Für die Rechtslage innerhalb Großbritanniens würde sich insofern keine große Änderung ergeben.

Das Problem: die Datenübermittlung in ein Drittland

Sollte Großbritannien aus der EU ausscheiden, ohne dass in der Zwischenzeit durch die EU-Kommission ein Angemessenheitsbeschluss über das in Großbritannien vorherrschende Datenschutzniveau gefasst wird, würde Großbritannien aber automatisch zu einem sogenannten Drittland, in das nicht ohne Weiteres personenbezogene Daten übertragen werden dürfen.

Unternehmen in der Europäischen Union müssten deswegen alle Verhältnisse überprüfen und ggfs. neu regeln, bei denen sie personenbezogene Daten an britische Unternehmen oder Konzerne mit Standorten in Großbritannien übermitteln oder diese Daten zugänglich machen.

Hinzu käme: Für eine solche Datenübermittlung wäre ein einfacher Vertrag zur Auftragsverarbeitung künftig nicht mehr ausreichend. Stattdessen müssten Unternehmen hierzulande bzw. in der EU zusätzlich von allen betroffenen britischen Unternehmen individuelle Datenschutzgarantien einfordern. Hier entstünden demzufolge vergleichbare Probleme, wie derzeit beim internationalen Datentransfer in andere Nicht-EU-Länder. Das durch den Europäischen Gerichtshof (EuGH) herbeigeführte Ende des Safe-Harbor-Abkommens mit den USA und die aktuelle Diskussion um das EU-U.S. Privacy Shield veranschaulicht zudem, auf welch wackligen Beinen derartige Konstrukte stehen können.

Anders als bei den USA erscheint ein Angemessenheitsbeschluss jedoch wahrscheinlicher. Zum einen wird Großbritannien die Regelungen der DSGVO übernehmen und  Austritt auch einhalten (siehe unsere Einschätzung zur Wirksamkeit der DSGVO im Großbritannien nach dem Brexit). Es sollte somit ein angemessenes Datenschutzniveau garantieren können.

Zum anderen befinden sich die EU-Kommission und die britische Regierung wegen des Brexits ohnehin in Verhandlungen. Ein Angemessenheitsbeschluss nach Art. 45 DSGVO wird wohl Teil dieser Verhandlungen werden.

Bitte bewerten Sie diese Inhalte!
[14 Bewertung(en)/ratings]

Dieser aktualisierte Artikel erschien zuerst am 21. Juni 2016.

0 Kommentare

Ihr Kommentar

Sie wollen sich an der Diskussion beteiligen oder haben eine Rückfrage zum Artikel? Dann hinterlassen Sie bitte hier einen Kommentar!
Nettiquette: Wir tolerieren keine grob unsachlichen Beiträge oder Werbung in eigener Sache und werden entsprechende Einträge nicht veröffentlichen sondern löschen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.