In Österreich wurde „Datenschutzgrundverordnung“ zum Unwort des Jahres 2018 gekürt. Würde die EU ein Unwort des Jahres wählen, hätte „Brexit“ wahrscheinlich gute Chancen auf einen Spitzenplatz. Die Kopplung der beiden Wörter wie in der Überschrift ist dann schon eine rechte Zumutung. Allerdings bleibt sie den Unternehmen in der EU nicht erspart. Wie auch immer das Gerangel um den Brexit ausgeht, er wird auch in Datenschutz-Hinsicht Folgen für sie haben.
Wie in allen Staaten der EU gilt die DSGVO oder GDPR derzeit auch im Vereinigten Königreich. Zusätzlich hat Großbritannien sie mit dem Data Protection Act 2018 (DPA) in der nationalen Gesetzgebung verankert. Es sieht also alles danach aus, dass sich durch den Brexit im Hinblick auf den Datenschutz nichts ändert.
Das ist aber nicht der Fall: Aus Datenschutz-Sicht gilt das Vereinigte Königreich in dem Moment, in dem es aus der EU ausscheidet, als Drittstaat und ist wie die USA oder Russland zu behandeln, DPA hin oder her. Bei einem harten Brexit tritt diese Situation am 30. März 2019 ein. Ab diesem Tag sind Datentransfers von der EU nach Großbritannien nach Artikel 45 der DSGVO unzulässig, bis „die Kommission beschlossen hat, dass das betreffende Drittland (…) ein angemessenes Schutzniveau bietet“. Ob das Schutzniveau angemessen ist, kann die EU-Kommission allerdings erst nach Großbritanniens Austritt aus der EU beurteilen.
Da der aktuelle Stand der Dinge eine Übergangsphase bis Ende 2020 für Großbritannien vorsieht, in der weiterhin EU-Recht – und damit auch die GDPR – gelten soll, dürfte sich bis zum Ende der Frist nicht viel ändern. Dann tritt ebenfalls der oben beschriebene Fall ein, und Großbritannien und die EU müssen einen Angemessenheitsbeschluss aushandeln. Was den Datenaustausch von der Insel in die EU angeht, ist die Situation einfacher: Derzeit ist davon auszugehen, dass Großbritannien den Transfer personenbezogener Daten in die EU erlaubt.
Da Datenaustausch nicht einfach warten kann, bis nach dem Austritt, egal ob hart oder weich, die EU das Datenschutzniveau in Großbritannien als angemessen bewertet, müssen Lösungen für die Zwischenzeit her. Das britische Ministerium für Digitales, Kultur, Medien und Sport (DCMS) empfiehlt den Unternehmen, die EU-Daten verarbeiten, ihre Partner bei der Datenübermittlung nach Artikel 46 der DSGVO zu unterstützen. Firmen in der EU können personenbezogene Daten übermitteln, „sofern der Verantwortliche oder der Auftragsverarbeiter geeignete Garantien vorgesehen hat und sofern den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen“. Diese Garantien sind unter anderem durch Standard-Datenschutzklauseln gegeben.
Unternehmen in der EU, die personenbezogene Daten im Vereinigten Königreich verarbeiten lassen, können nicht auf einen Angemessenheitsbeschluss warten. Damit sie mit ihren britischen Partnern DSGVO-konform weiterarbeiten können, sollten sie sich rechtzeitig auf die Anforderungen von Artikel 46 der DSGVO vorbereiten.