Falls die Briten tatsächlich ohne Deal aus der EU austreten, so führt das auch zu einigen Änderungen im Datenverkehr zwischen EU-Ländern und Großbritannien. Demnach müssten einige Maßnahmen zur Behandlung von personenbezogenen Daten umgesetzt werden, damit England und die restlichen der Insel zugehörigen Länder weiterhin mit solchen Daten hantieren dürfen.
„No-Deal-BrExit“ – Kein Angemessenheitsbeschluss
Bei der Februarsitzung des Europäischen Datenschutzausschusses wurde ein mögliches No-Deal-Szenario besprochen. Bereits im November 2018 wurde von der EU-Kommission ein Notfallmaßnahmenkatalog veröffentlicht, der im Falle eines Austritts ohne Deal umzusetzen ist. Dieser Notfallmaßnahmenkatalog beinhaltet jedoch keinen Angemessenheitsbeschluss, was bedeutet, dass Großbritannien zu einem Drittland wird, in dem kein angemessenes Datenschutzniveau gewährleistet ist, wie z.B. in Russland oder der USA.
Datentransfer nach Großbritannien – unangemessenes Drittland
Die EU-Kommission weist in einem Informationsschreiben ausdrücklich darauf hin, sich als europäischer Bürger oder europäisches Unternehmen mit allen möglichen Szenarien auseinander zu setzen, da es im Falle eines harten Ausstiegs keine Übergangsfrist geben wird und Großbritannien dann zum 30. März 2019 offiziell als unangemessenes Drittland angesehen wird. Ab diesem Zeitpunkt ist ein Datentransfer zwischen Großbritannien und der EU nur unter erschwerten Bedingungen möglich.
Diese Bedingungen sind:
- Geeignete Garantien z.B. Standardvertragsklauseln bei Auftragsverarbeitungen (DSGVO Art. 46)
- Angemessenes Datenschutzniveau (DSGVO Art. 45)
- Dass in Großbritannien jedoch ein angemessenes Datenschutzniveau nach einem harten BrExit herrscht, ist sehr unrealistisch, da sich die EU schon dafür entschieden hat, dass Großbritannien dann zu einem Drittland wird.
- Einwilligung der Betroffenen (DSGVO Art. 49 Abs. 1a)
- Betroffene, deren personenbezogene Daten nach Großbritannien übermittelt werden sollen, müssen zukünftig ausdrücklich dem Datentransfer einwilligen.
- Verteidigung von Rechtsansprüchen (DSGVO Art. 49 Abs. 1e)
- Unter der Verteidigung von Rechtsansprüchen versteht man die Verfolgung von Straftaten. Kommt es also zum Beispiel in der EU zu einer Straftat durch einen Briten, dürfen dessen Daten ohne weiteres an dessen Herkunftsland übermittelt werden.
- Alle Datenschutzerklärungen müssen im Fall eines BrExit ohne Deal um die Information bezüglich der Datenübermittlung in ein Drittland erweitert werden (DSGVO Art. 14 Abs. 1 lit. F)
Auswirkungen auf die Datenschutzerklärung der Internetseiten
Im Falle eines harten Brexit müssten sicher viele Datenschutzerklärungen angepasst werden, wenn auf der Internetseite Funktionen, Skripte oder Webtracker von Unternehmen mit Firmensitz in Großbritannien verwendet werden.
Fazit
Vor dem 30. März 2019 wird es schwer sein, eine allgemein gültige Aussage über das zukünftige Datenschutzniveau in Großbritannien zu tätigen. Kommt es tatsächlich zu einem harten Ausstieg, so gilt Großbritannien offiziell als Drittland – mit allen Folgen.