Datenschutzrechtliche Konsequenzen des Brexit

Ab dem 1.1.2021 ist das Ver­ei­nigte König­reich aus da­ten­schutz­recht­li­cher Sicht als Nicht-EU-Staat zu be­han­deln. Die DS­GVO un­ter­stellt, dass alle Nicht-EU-Staa­ten kein an­ge­mes­se­nes Da­ten­schutz­ni­veau ha­ben. Wie z. B. für die Schweiz müsste die EU des­halb for­mal fest­stel­len, dass ein der EU gleich­wer­ti­ges Da­ten­schutz­ni­veau vor­liegt. Ob und wann dies für das Ver­ei­nigte König­reich der Fall sein wird, ist der­zeit un­klar. Eine Über­mitt­lung per­so­nen­be­zo­ge­ner Da­ten in das Ver­ei­nigte König­reich ist bis zur An­er­ken­nung des Da­ten­schutz­ni­veaus grundsätz­lich un­ter­sagt.

© Laurent Meister, Rechtsanwalt, Fachanwalt für Informationstechnologierecht bei Ebner Stolz Stuttgart

Um trotz­dem ab 2021 per­so­nen­be­zo­gene Da­ten in das Ver­ei­nigte König­reich zu über­mit­teln und dort ver­ar­bei­ten zu las­sen, müssen Ver­ant­wort­li­che mit den bri­ti­schen Ge­schäfts­part­nern oder Toch­ter­ge­sell­schaf­ten da­ten­schutz­recht­li­che Ver­ein­ba­run­gen zur Ein­hal­tung eu­ropäischer Da­ten­schutz­stan­dards in­di­vi­du­al­ver­trag­lich ver­ein­ba­ren. Als Ba­sis die­nen hierzu die von der EU-Kom­mis­sion veröff­ent­lich­ten Stan­dard­ver­trags­klau­seln, die aber nach der jüngs­ten EuGH-Ent­schei­dung „Schrems II“ zum in­ter­na­tio­na­len Da­ten­aus­tausch ggf. an­ge­passt wer­den müssen. In der ver­blei­ben­den Zeit in 2020 sollte des­halb et­wai­ger Schutz­be­darf geprüft und ent­spre­chende Vor­keh­run­gen ge­trof­fen wer­den. Dies gilt ins­be­son­dere, wenn sich die ak­tu­el­len Äußerun­gen aus dem Ver­ei­nig­ten König­reich bestäti­gen soll­ten, und man das Da­ten­schutz­recht künf­tig wie­der lo­ckern will. Eine An­er­ken­nung des Da­ten­schutz­ni­veaus wird sich in die­sem Fall er­heb­lich verzögern. (Lau­rent Meis­ter)