In letzter Sekunde haben sich das Vereinigte Königreich und die EU doch noch auf einen Brexit-Deal geeinigt. Neben vielen anderen Dingen ist in dem umfassenden Vertrag auch der Datenschutz geregelt – zumindest für eine Übergangszeit.

Die Fakten

Für Unternehmen, die personenbezogene Daten im Vereinigten Königreich verarbeiten oder speichern und die dort mit Unternehmen zusammenarbeiten, gilt:

Wo sind die Fallstricke

Beide Seiten können der automatischen Verlängerung widersprechen. Es ist also gut möglich, dass das Vereinigte Königreich doch noch zum Drittland wird. Und damit bestehen zusätzliche Hürden, um personenbezogene Daten in das Vereinigte Königreich transferieren zu dürfen. Insbesondere wären auch die bereits bekannten Datenschutz-Garantien notwendig.

Mögliche Nachteile und Konsequenzen

Eine dauerhafte Lösung ist das Ganze nicht. Es besteht zwar theoretisch die Möglichkeit, dass die EU-Kommission rechtzeitig einen Angemessenheitsbeschluss erlässt. Dann bliebe das Vereinigte Königreich zwar Drittland, dieses wäre aber aus Sicht des Datenschutzes „sicher“. Ob das allerdings in der knappen Zeit passiert, ist fraglich. Zudem haben Sicherheitsbehörden im Vereinigten Königreich ähnlich weitreichende Befugnisse, wie es beispielsweise in den USA der Fall ist. Die Konsequenzen sind bekannt – wir erinnern an das implodierte Safe Harbor, das unwirksame EU-U.S. Privacy Shield und nicht zuletzt die Nebenaussagen im Schrems-II-Urteil.

Diese Befugnisse für Sicherheitsbehörden waren bislang nicht beachtlich, da im Vereinigten Königreich als EU-Mitglied die DSGVO ja immerhin direkt galt und das Datenschutzniveau damit nicht nur „vergleichbar angemessen“, sondern gleich war. Die DSGVO schränkt nämlich die Befugnisse von Sicherheitsbehörden der EU-Mitglieder gar nicht ein!

Mit dem Austritt und der damit verbundenen Lösung vom EU-Recht aber gilt die DSGVO nicht mehr und die Angemessenheit würde mit Blick auf die komplette Rechtsordnung des betroffenen Staates beurteilt werden. Die Lage ist damit die Gleiche, wie etwa bei den Vereinigten Staaten. Ein Angemessenheitsbeschluss wäre daher inkonsequent und nicht zuletzt der Europäische Gerichtshof hätte vermutlich Einwände.

Falls wider Erwarten ein Angemessenheitsbeschluss käme, bevor die Übergangsfrist abläuft, könnte der Datentransfer weitergehen wie bislang.

Perspektiven für Unternehmen

Insgesamt bestehen leider noch viele Ungewissheiten. Die Übergangsfrist des Brexit-Deals ist unserer Einschätzung nach nichts weiter als ein Aufschub. Dass sich das Vereinigte Königreich weiter an ein Datenschutzrecht hält, das den immerhin als Gängelung und Bevormundung empfundenen EU-Vorstellungen entspricht, halten wir für ebenso unwahrscheinlich wie eine Beschneidung der Befugnisse der Sicherheitsbehörden. Angesichts der kurzen Schonfrist stellt sich auch die Frage, ob solche Gesetzesanpassungen überhaupt noch rechtzeitig kämen.

Für Unternehmen bleibt also die Möglichkeit, nach alternativen Geschäftspartnern und Dienstleistern innerhalb der EU zu suchen. Oder sie sorgen rechtzeitig dafür, dass zusätzliche Datenschutzgarantien vorliegen und de facto auch durchsetzbar sind. Dafür ist eine individuelle Beratung dringend anzuraten.