Brexit vs Datenschutz: Was kommt auf die Wirtschaft zu?

Jetzt ist es offiziell: Die EU hat einer Verlängerung der Brexit-Frist um sechs Monate zugestimmt – bis zum 31. Oktober 2019. Aufgeschoben ist jedoch nicht aufgehoben. Eine Einigung zwischen den Beteiligten steht noch aus. Was bedeutet der Brexit für jene europäischen Unternehmen, die mit britischen Unternehmen Daten austauschen? Welche Maßnahmen müssen sie treffen?

UK wird zu einem „Drittland“

Manche Unternehmen haben zurzeit einen Sitz im Vereinigten Königreich oder sie übermitteln personenbezogene Daten an dort ansässige Dienstleister. Das betrifft einer aktuellen BITKOM-Umfrage zufolge rund 14 Prozent der deutschen Unternehmen. Ihr Problem: Nach dem Austritt aus der EU wird das Vereinigte Königreich zu einem „Drittland“ im Sinne der DSGVO. Die verantwortlichen Stellen müssen daher nicht nur die Vorgaben für Datenübermittlungen in Drittländer berücksichtigen. Sie müssen ihre Dokumente auch entsprechend überarbeiten.

Davon sind alle öffentlichen und nicht-öffentlichen Stellen betroffen, die personenbezogene Daten in das Vereinigte Königreich übermitteln: Vereine, Behörden, Universitäten, Konzerne, kleine und mittelständische Unternehmen.

Geregelter oder ungeregelter Brexit?

Kommt es zu einem geregelten Austritt aus der EU, besteht laut BITKOM eine hohe Chance auf weitere Folgeabkommen. Dies würde auch einen Angemessenheitsbeschluss nach Art. 45 DSGVO umfassen – denn das Vereinigten Königreich folgt einem Datenschutz-Standard. Derartige Beschlüsse existieren u.a. bereits für die Schweiz, Australien, Neuseeland, Andorra, Argentinien, die Faröer Inseln und Kanada. Die Übertragung personenbezogener Daten wäre dann – im Sinne der DSGVO – zulässig.

Großbritannien zu einem sicheren Drittland zu erklären, läge Experten zufolge nahe. Immerhin wurde die DSGVO dort eingeführt und bleibt auch nach dem Brexit weiterhin gültig. Derzeit gilt in Großbritannien weitestgehend dasselbe Datenschutzrecht wie in der EU.

Angesichts der versteinerten Fronten zwischen den Beteiligten ist die Möglichkeit eines ungeregelten, „harten“ Brexits allerdings noch nicht vom Tisch. Damit würde das Vereinigte Königreich zum Stichtag am 31. Oktober datenschutzrechtlich zu einem „unsicheren Drittland“ – ohne besondere Privilegien und ohne Übergangsregelung. Personenbezogene Daten zu übermitteln, wäre in diesem Fall grundsätzlich verboten (vgl. Art. 44 bis 60 DSGVO).

Was müssen Unternehmen beachten?

Selbst, wenn es zu einem harten Brexit ohne Übergangsregelung und Angemessenheitsbeschluss kommt, gibt es eine Lösung. Denn die DSGVO bietet auch für diesen Fall Werkzeuge, mit denen sich personenbezogene Daten ins Vereinigte Königreich übermitteln lassen. Unternehmen müssen „geeignete Garantien“ nachweisen (vgl. Art. 46 DSGVO).

Allerdings erfordert dies, dass die betroffenen Unternehmen proaktiv handeln. Um ihnen den Brexit-Übergang zu erleichtern, haben wir einige Handlungsempfehlungen und Checklisten zusammengetragen:

Der Datenschutz findet einen Weg!

Egal, welcher Brexit tatsächlich stattfindet: Die DSGVO eröffnet auch Wege, personenbezogene Daten ins Vereinigten Königreich rechtlich abzusichern. Vorausgesetzt die Betroffenen sind selbst aktiv und setzen die existierenden Instrumente möglichst bald ein.

Nutzen Sie und Ihr Unternehmen den Brexit-Aufschub also weise!

RegTech SaaS

Eine Möglichkeit, Ihre Daten und Anwendungen zu schützen, ist die Sealed Platform. Testen Sie jetzt die hochsichere Cloud-Platform für Unternehmen und Behörden. Erfahren Sie mehr!

 

Sie haben Fragen oder möchten uns Ihr Feedback mitteilen? Schreiben Sie uns an: support@idgard.de.

 

Leser dieses Artikels interessieren sich auch für folgende Inhalte:

Privacyblog: DRZP: Ganz oben auf dem Siegertreppchen

Privacyblog: KRITIS: Compliance schaffen mit der Sealed Platform

Privacyblog: Wie funktioniert rechtskonforme Videoüberwachung?

 

Sie möchten stets auf dem Laufenden bleiben?

Melden Sie sich jetzt zum Verteiler an und erhalten Sie monatlich unseren exklusiven Newsletter – mit Bedientipps und den neusten Infos rund um die Themen Datenschutz, Datensicherheit und IT-Sicherheit.