Die Auswirkungen des Brexits auf den Datenschutz
Am 15.01.2019 hat das britische Unterhaus abgestimmt und somit den Brexit-Deal mit der EU abgelehnt. Ein ungeregelter Austritt Großbritanniens am 29.03.2019 aus der EU wird somit auch hinsichtlich des Themas Datenschutz immer wahrscheinlicher.
Aus datenschutzrechtlicher Sicht ist bei einem ungeregelten Austritt aus der EU zunächst relevant, dass Großbritannien ab dem 30.03.2019 nicht mehr als EU-Mitgliedsstaat mit hohem Datenschutzstandard behandelt werden würde, sondern als Drittland mit ungewissem Datenschutzniveau.
Um im datenschutzrechtlichen Sinne von der EU wieder als unbedenklich eingestuft zu werden, bedürfte es eines Angemessenheitsbeschlusses der EU gemäß Art. 45 DSGVO oder der Vorlage einer Garantie nach Art. 46 DSGVO. Ersteres wird aus zeitlichen Gründen wohl nicht bis zum 30.03.2019 vorliegen. Zweitgenannte Alternative wird vor dem Hintergrund eines ungeregelten Austritts ebenfalls keine Anwendung finden. Somit wäre eine (zumindest vorübergehende) Klassifizierung Großbritanniens als Drittland im datenschutzrechtlichen Sinne die Folge.
Zu diesem Ergebnis kam die EU Kommission bereits im November 2018 und veröffentlichte einen Notfallmaßnahmenkatalog für ein No-Deal-Szenario. Zudem wurde ein Schreiben an alle EU-Mitgliedsstaaten versandt, welches darauf aufmerksam machte, dass eine Datenübermittlung nach Großbritannien nach dem 29.03.2019 nur möglich sei, wenn Maßnahmen nach Art. 44 ff. DSGVO ergriffen würden. Nennenswerte Maßnahmen sind die Nutzung von Standardvertragsklauseln, die Einholung der Einwilligung des Betroffenen und die Übermittlung der Daten zur Erfüllung eines Vertrages. Zu erwähnen ist, dass die Standardvertragsklauseln noch möglich sind, sie jedoch derzeit durch den Europäischen Gerichtshof (EuGH) auf ihre Rechtmäßigkeit hin geprüft werden.
Auch Großbritannien hat sich mit der Möglichkeit eines ungeregelten EU-Austritts befasst und über das Ministerium für Kultur, Medien und Sport einen Leitfaden bezogen auf die datenschutzrechtliche Situation in Großbritannien veröffentlicht. Zudem hat die britische Aufsichtsbehörde (ICO – Information Commissioner’s Office) einen sechsstufigen Leitfaden für britische Unternehmen herausgegeben.
Sollte es zu dem hier geschilderten Szenario eines ungeregelten Brexits kommen, ist ein möglichst schnelles Herbeiführen eines Angemessenheitsbeschlusses der EU für Großbritannien wünschenswert. Dies würde die Unsicherheit beenden und die erforderliche Umstellung von Unternehmen im Rahmen dieses ohnehin ungewissen Prozesses zumindest für den Bereich Datenschutz auf ein Minimum reduzieren.