Der Brexit verändert die Beziehungen zwischen der EU und Großbritannien – auch beim Datenschutz. Unternehmen müssen Lösungen finden, um personenbezogene Daten weiter zu übermitteln.
Innerhalb der Europäischen Union wurde der Datenschutz mit der Datenschutzgrundverordnung (DSGVO) vereinheitlicht. Während Unternehmen immer noch mit der Umsetzung der DSGVO beschäftigt sind, bringt der anstehende Brexit bereits neue Herausforderungen für den europäischen Datenverkehr mit sich. Ob personenbezogene Daten, Angaben zu Unternehmen oder Produktinformationen – die Leitungen zwischen Großbritannien und dem europäischen Festland glühen. Denn als bedeutende Handelspartner tauschen Deutschland und die britischen Inseln täglich enorme Datenmengen aus.
Daten zu verzollen
Die unsichere und ernste Lage rund um den Brexit hat daher auch Auswirkungen auf den Datenschutz. Achim Berg, Präsident des Bundesverbands Informationswirtschaft, Telekommunikation und neue Medien (Bitkom), befürchtet ein Datenchaos als Folge der Ablehnung des Brexit-Vertrags im britischen Parlament. Denn laut einer Umfrage des IT-Branchenverbands Bitkom lässt jedes siebte Unternehmen personenbezogene Daten in Großbritannien verarbeiten.
Kommt es zum „kalten Brexit“ – also ein Ausstieg Großbritanniens ohne Abkommen – wird Großbritannien zu einem „unsicheren Drittland“ und somit datenschutzrechtlich von der EU getrennt. Deshalb betont Bitkom-Präsident Achim Berg, dass der Brexit für Datenschutzvorfälle sorgen kann. Um möglichen Risiken vorzubeugen, müssten bestehende Verträge mit Standardvertragsklauseln entsprechend aktualisiert und explizite Einwilligungen der Betroffenen eingeholt werden.
Sicheres Drittland Großbritannien
Ein No-Deal-Szenario ist daher auch für britische Datenverarbeiter keine Option. Daher hält die britische Datenschutzbehörde Information Commissioner’s Office (ICO) Standardvertragsklauseln für eine geeignete Lösung im Fall eines harten Brexits. Die Behörde plant deshalb ein Online-Tool, das automatisch Standardvertragsklauseln generiert. Darüber hinaus gibt das ICO mit einem Leitfaden auf seiner Website Antworten auf häufig gestellte Fragen.
Eine weitere Möglichkeit wäre, dass die EU-Kommission Großbritannien zu einem „sicheren Drittland“ ernennt. Staaten mit einem ausreichenden Sicherheitsniveau können von der EU-Kommission zu einem sicheren Drittland nach Artikel 45 der DSGVO erklärt werden. In den vergangenen Monaten wurden bereits einige entsprechende Beschlüsse gefasst, etwa zum Datenaustausch mit der Schweiz, Australien oder Kanada. Es ist allerdings offen, ob ein solcher Beschluss zeitnah realisiert werden kann. Denn die britische "Investigatory Powers Bill" von 2016 ermöglicht zumindest theoretisch eine umfassende Vorratsdatenspeicherung. Ohne britische Anerkennung des EU-US-Privacy-Shield für Datenübermittlungen zwischen Großbritannien und USA gibt es darüber hinaus ein weiteres Risiko.
Nicht aller Tage Abend
Auch ohne zwischenstaatliche Abkommen bietet die DSGVO einige Lösungen, um den Datenverkehr zu steuern. „Damit Unternehmen nicht in eine juristische Falle tappen, raten wir den Unternehmen, mit ihren Auftragsverarbeitern in Großbritannien entsprechende Standardvertragsklauseln abzuschließen“, erklärt Stefan Latz, Datenschutzbeauftragter bei TÜV Hessen.
Weil es bei einem harten Brexit keine Übergangslösungen gibt, wird die Zeit aber langsam knapp, um angemessen zu handeln. „Organisationen müssen alle Prozesse kennen, bei denen personenbezogene Daten nach Großbritannien transferiert werden oder britische Verarbeiter darauf zugreifen“, bilanziert Stefan Latz. „Erst danach können die notwendigen Schritte folgen, um den Datentransfer rechtlich abzusichern.“