Datenschutz

Der Brexit ist da – was ändert sich beim Datenschutz?

Author: Arne Wolff
Berater für Datenschutz und IT-Sicherheit

Der Brexit ist vollzogen – und auf den letzten Drücker gab es doch noch eine Einigung über die zukünftigen Handelsbeziehungen. Wie sieht es jetzt aber mit dem Austausch von Daten aus?

Das Vereinigte Königreich gehört seit gut einem Jahr nicht mehr zur Europäischen Union – am 31. Dezember 2020 endete nun auch die knapp ein Jahr währende Übergangsphase, während der die bisherigen vertraglichen Regelungen weiter angewandt wurden. Seit dem Neujahrstag gilt eine vorläufige Grundsatzvereinbarung über ein langfristiges Handels- und Kooperationsabkommen, die auf europäischer Seite aber noch ratifiziert werden muss (dies wird bis Ende Februar erwartet) – der befürchtete „No-Deal-Brexit“ konnte also gerade noch abgewendet werden.

Der Status Quo

Ein Scheitern dieser Grundsatzvereinbarung hätte unter anderem bedeutet, dass Großbritannien im Sinne der DSGVO als Drittland zu behandeln wäre. Da kein Beschluss der EU-Kommission vorliegt, welcher dem Vereinigten Königreich ein angemessenes Schutzniveau hinsichtlich der Datenverarbeitung bescheinigt, blieben als Grundlage für den Datentransfer dann praktisch nur die Standarddatenschutzklauseln – man hätte also genau den Status, der nach dem Wegfall des EU-US-Privacy-Shield-Abkommens den Datenaustausch mit den USA so erschwert. Große Rechtsunsicherheiten und fortgesetzte Datenschutzverstöße wären die Folge gewesen.

Aufgeschoben ist nicht aufgehoben

Erfreulicherweise wurde der Datenschutz in der Grundsatzvereinbarung nicht komplett außen vor gelassen und zumindest ein Passus aufgenommen, der den Verhandlungspartnern ein wenig Zeit verschafft, eine langfristig tragfähige Regelung zu finden. Konkret gilt eine weitere viermonatige Übergangsfrist, die auf maximal sechs Monate verlängert werden kann. Angestrebt wird ein Angemessenheitsbeschluss nach Art. 45 DSGVO, welcher es Verantwortlichen in der EU sehr erleichtert, weiterhin Daten ins Vereinigte Königreich übertragen – und das betrifft immerhin 60 % aller Firmen.

Einen Zugang zum Schengen-Informationssystem (SIS), in dem die Sicherheitsbehörden automatisiert Personen- und Sachfahndungen durchführen können, sollen die Briten übrigens nicht bekommen, wohl aber zu den im Prümer Vertrag bestimmten Daten zur Strafverfolgung und -verhinderung (DNA-Analysedaten, Fingerabdrücke und Fahrzeughalterdaten) und zu den Passenger Name Records (PNR) von Flugreisenden.

Was also tun?

Der Zeithorizont von vier Monaten für eine dauerhafte Einigung in der Datenschutzfrage erscheint nicht unrealistisch, da zum einen die Gespräche zwischen der EU-Kommission und den britischen Unterhändlern schon seit März intensiv geführt werden und zum anderen das Vereinigte Königreich – anders als die USA – bis dato das anvisierte Sicherheitsniveau ja abbilden konnte.

Verlassen sollte man sich allerdings nicht darauf. So hat etwa der britische Premierminister Boris Johnson wiederholt betont, auch beim Datenschutz eine von der EU „losgelöste und unabhängige“ Linie verfolgen zu wollen. Wie bei vielen seiner Äußerungen muss sich erst zeigen, welcher Bedeutungsinhalt sich dahinter verbirgt.

Auf jeden Fall ist jetzt eine gute Gelegenheit, einen prüfenden Blick ins Verfahrensverzeichnis Ihres Unternehmens zu werfen und zu bestimmen, an welchen Stellen Daten mit britischen Unternehmen ausgetauscht werden.

Melden Sie sich für unseren Newsletter an.

Erhalten Sie immer die neuesten und wichtigsten Informationen zum Thema Datenschutz, Informationssicherheit und IT-Sicherheit und Compliance.