Es war ein langes Ringen, doch seit knapp zwei Wochen ist es amtlich: Am 29. Januar hat das Europäische Parlament dem „Brexit“ zugestimmt, das Vereinigte Königreich hat die Europäische Union verlassen. Allerdings bleiben viele Dinge ungeregelt – auch was den Datenschutz angeht.
Kurzfristig hilft eine Übergangsfrist weiter
Die Gute Nachricht vorab: Mit dem EU-Austritt der Briten geht eine Übergangsfrist einher. Dank dieser Regelung bleibt erst einmal alles beim Alten. Nicht nur beim Datenschutz, sondern auch in allen anderen Bereichen wird dadurch eine vorübergehende Rechtssicherheit geschaffen.
Allerdings gilt die Übergangsfrist nur bis Ende dieses Jahres. Danach gelten die bisherigen Vereinbarungen mit der EU nicht mehr. Es sei denn, die Übergangsfrist wird – was bis zur Mitte dieses Jahres einmalig beschlossen werden kann – um ein bis maximal zwei Jahre verlängert.
Die mittel- und langfristigen Risiken
Sollten die EU und Großbritannien bis zum Ende der Frist keine neuen Vereinbarungen treffen, ist das Vereinigte Königreich im Hinblick auf den Datenschutz ab besagtem Zeitpunkt womöglich als Drittland zu bewerten. Dann wäre die Übermittlung / Verarbeitung personenbezogener Daten von Betroffenen aus der EU in Großbritannien nicht mehr wie bisher zulässig. Dies wäre nur noch rechtmäßig, sofern die vorherige Ergreifung geeigneter Maßnahmen erfolgt.
Die hiermit verbundenen Auswirkungen und Risiken, sind größer als gerne vermutet wird. Untersuchungen zeigen, dass in Deutschland rund jedes 7. Unternehmen personenbezogene Daten mit Unternehmen oder Behörden im Vereinigten Königreich austauscht.
Besteht Hoffnung?
Es besteht die Möglichkeit, dass es am Ende nicht ganz so schlimm kommt. Die britische Regierung will ein eigenes Regelwerk rund um den Datenschutz erarbeiten und innerhalb dessen Rahmen die DSGVO berücksichtigen. Allerdings ist nicht gewiss, ob die finale Umsetzung tatsächlich so erfolgt. Darüber hinaus ist unklar, ob es noch rechtzeitig gelingt, die dringend gewünschte Rechtssicherheit zu schaffen.
Darüber hinaus besteht auch noch die Möglichkeit eines Angemessenheitsbeschlusses. Die EU könnte damit festlegen, dass das Vereinigte Königreich aufgrund seiner geltenden Datenschutzbestimmungen wie ein Mitgliedstaat betrachtet werden darf. Doch gerade bei diesem Punkt haben viele Experten ihre Zweifel, da hierfür kaum noch ausreichend Zeit bleibt.
Fazit
Noch hat der Brexit kein vollständiges Chaos verursacht und der Austausch personenbezogener Daten mit Partnern in Großbritannien ist unter vergleichsweise einfachen Rahmenbedingungen möglich. Aber das Ende der Übergangsfrist nähert sich mit großem Tempo – und womöglich ist Großbritannien dann als Drittstaat zu betrachten. Entsprechend könnte es für einige Unternehmen sinnvoll sein, passende Datenschutzlösungen in der Schublade zu haben, um diese im Bedarfsfall rasch einzusetzen.