Wie bereits aus den aktuellen Politik- und Wirtschaftsnachrichten zu entnehmen ist, steht der Austritt des Vereinigten Königreichs (UK) aus der Europäischen Union (EU) Ende März bevor, wenn auch noch nicht ganz bekannt ist wie. Denn zurzeit fehlt es an den Modalitäten des Austritts, also um die Einzelheiten der Durchführung dieses Vorgangs. An ihrem Ergebnis hängt nämlich, ob es zu einem geregelten oder ungeregelten Austritt kommt und wie die zukünftige Behandlung des UK beurteilt wird. Unbestritten ist jedoch, dass im Falle eines ungeregelten Austritts, also ohne „Deal“, Veränderungen in der Behandlung des UK in Sachen Datenschutzrecht einhergehen würden. Aus Sicht europäischer Vertragspartner würde das UK dann künftig nicht mehr Mitgliedsland, sondern „Drittland“ im Sinne der Datenschutz-Grundverordnung (DSGVO) sein. Mit Folgen für die datenschutzrechtliche Behandlung.
Die rechtliche Betrachtung digitalisierter und IT-gestützter Geschäftsprozesse zwischen europäischen und im UK ansässigen Unternehmen, die seither auf DSGVO-konformen Rechtsgrundlagen fußten, bedürfen im Falle eines ungeregelten Austritts sodann einer anderen Grundlage. Es ist Unternehmen daher zu raten, eine Anpassung rechtlicher Dokumente (insbesondere: Verträge) und damit verbundene Lernvorgänge frühzeitig in Erwägung zu ziehen. Nur so kann die Arbeit, die kurz vor dem tatsächlichen (ungeregelten) Übergang Ende März bevorstünde, bis dahin aufwandsmäßig angenehm verteilt werden. Dies wird sich für Unternehmen, die mit der Übermittlung personenbezogener Daten in das UK zu tun haben, besonders jedoch für Konzern-Unternehmen, Joint-Ventures, wenn diese etwa mit einem englischen Unternehmen verbunden sind, und Lieferketten bemerkbar machen.
Im Moment befinde man sich, so die Landesdatenschutzbehörde Niedersachsen, in einem Schwebezustand. Die DSGVO gilt also noch. Kommt es zu einem Deal, würde der Geltungsbereich des DSGVO-Regimes in Bezug auf das UK und seiner EU-Vertragspartner (weiter)gelten. Bei nicht erfolgtem Deal wäre das UK nicht mehr daran gebunden, mithin wäre eine Datenübermittlung nicht mehr so einfach wie es gegenwärtig noch der Fall ist. Es ist daher zu hoffen, dass man sich im Falle letzteren Szenarios auf politischer Ebene wenigstens auf einzelne Maßnahmen oder Erlaubnistatbestände zwischen dem UK und der EU einigt, die eine Datenübermittlung erleichtern.
Abzuwarten bleibt daher die Reaktion verantwortlicher Stellen in der EU, sprich der jeweiligen Datenschutzbehörden. Diese werden Dokumente (z.B. Musterverträge, -anlagen) entsprechend überarbeiten und zur Verfügung stellen müssen, sodass Sie sich als Unternehmen informieren und einstellen können. Welche Bestimmungen dabei besonders berücksichtigt werden und was für datenschutzrechtliche Anforderungen sich für europäische Unternehmen und Verwaltungen ergeben werden, entnehmen Sie bitte den Webpräsenzen der jeweils für Sie zuständigen Behörde. Vorerst sei jedoch auf die Landesdatenschutzbehörde in Rheinland-Pfalz verwiesen, dessen Veröffentlichungen zu diesem Thema fortgeschritten sind und analog für alle Bundesländer angewendet werden können. Interessant dürfte auch ein Hinweispapier des Europäischen Datenschutzausschusses (EDSA) sein, über das derzeit noch abgestimmt wird. Wir als Ihr Ansprechpartner helfen Ihnen natürlich auch und begleiten Sie durch dieses kleine, aber knifflige Aufkommen!