Der britische Wähler hat gesprochen und sich mit knapper Mehrheit für den Austritt des Vereinigten Königreichs aus dem „Projekt Europa“ entschieden. Gegenwärtig weiß niemand, ob, wann und wie der geplante Brexit stattfinden wird. Die bestehende politische aber auch rechtliche Unsicherheit bedeutet für Unternehmen eine große Herausforderung. Das betrifft auch den Bereich Datenschutzrecht. Hier wird entscheidend sein, ob es dem Vereinigten Königreich gelingt, nach dem Austritt aus der EU den Status eines sogenannten sicheren Drittstaates zu erlangen. In solche sicheren Drittstaaten dürfen Unternehmen der Europäischen Union personenbezogene Daten übermitteln, ohne zusätzliche Anforderungen erfüllen zu müssen.

Darüber hinaus sind die neuen Vorgaben des Europäischen Datenschutzrechts zu beachten. Für Staaten der Europäischen Union wird zukünftig die Datenschutz-Grundverordnung (DS-GVO) einschlägig sein. Diese neuen europäischen Datenschutzregelungen müssen von Unternehmen ab dem 25. Mai 2018 strikt beachtet werden, um erhebliche Bußgelder und zivilrechtliche Sanktionen zu vermeiden.

Wird das Vereinigte Königreich Mitglied des EWR, ergeben sich für EU-Unternehmen keine Änderungen, denn die DS-GVO ist auch für die EWR-Staaten rechtsverbindlich und muss von diesen Staaten angewendet werden. Entscheidet sich jedoch das Vereinigte Königreich, sich nicht dem EWR anzuschließen, müsste das Vereinigte Königreich das strenge neue europäische Datenschutzrecht beachten oder zumindest gleichwertige nationale Regelungen zum Datenschutzrecht bereitstellen. Es ist ein Blick in die Glaskugel, wie hier die politische Bereitschaft im Vereinigten Königreich aussieht.

Wenn die vorstehend dargestellten Handlungsalternativen nicht zum Zuge kommen, wird ein Datenaustausch zwischen der Europäischen Union und dem Vereinigten Königreich erheblich erschwert werden. Dies gilt insbesondere für den Fall, dass die Europäische Kommission das Vereinigte Königreich nicht als sicheren Drittstaat einstuft. Hiervon wären alle Unternehmen betroffen, die darauf angewiesen sind, personenbezogene Daten, wie Arbeitnehmerdaten oder Kundendaten, an Konzernunternehmen im Vereinigten Königreich oder britische Geschäftspartner zu übermitteln.

Praxishinweis:

Zwar ist zu erwarten, dass bei einem Austritt Übergangsregelungen verabschiedet werden und sich die Austrittsverhandlungen über Jahre hinweg ziehen. Gleichwohl sollten Unternehmen gegenwärtig eine Bestandsaufnahme eigener Bezugspunkte im Bereich Datenschutzrecht kritisch vornehmen. Im Zuge dieser Analyse, kann herausgefiltert werden, welche langfristigen datenschutzrechtlichen Strategien für das Worst-Case-Szenario entwickelt werden müssen, wenn die Austrittsverhandlungen scheitern sollten. Ein unmittelbares Absinken des aktuellen Datenschutzniveaus ist aber im Fall des Brexit-Vollzugs nicht zu erwarten. Überstürzte Handlungsmaßnahmen im Bereich Datenschutz sind daher nicht geboten.