Beratungsthemen im Zusammenhang mit einem drohenden Brexit: Datenschutzrecht

Bisher unterliegen die Regelungen in der EU und im UK den einheitlichen Vorgaben der EU Datenschutzrichtlinie 95/46. Mit Inkrafttreten der EU-Datenschutz-Grundverordnung im Mai 2018 verstärkt sich die Einheitlichkeit des Datenschutzrechts in der EU auf einem hohen Niveau. Dies ermöglicht einen Transfer personenbezogener Daten im EU-Binnenmarkt in gleicher Weise wie im Inland.

Mit Herauslösung des UK aus der EU werden diese Vorgaben nicht mehr gelten. Das UK wird dann grundsätzlich als Drittstaat mit potentiell unsicherem Datenschutzniveau gelten.

Damit wird das UK aus Sicht des Datenschutzes eine ähnliche Position wie die USA erhalten. Datentransfers in die USA unterliegen hohen Anforderungen, das Ende des Safe Harbor-Mechanismus durch ein Urteil des Europäischen Gerichtshofs vom Oktober 2015 hat die Situation für Unternehmen zusätzlich erschwert.

Der Nachfolger des Safe Harbor Mechanismus, das sog. „EU-US-Privacy Shield“ Abkommen mit den USA ist im Juli 2016 von der Europäischen Kommission gebilligt worden und kann damit angewandt werden. Ob dieses Abkommen aber auch den vom Europäischen Gerichtshof aufgestellten Anforderungen zum Schutz europäischer Daten genügt, wird sich noch zeigen müssen.

Es ist möglich, dass der Datentransfer in das UK in Zukunft in ähnlicher Weise erschwert wird wie der Datentransfer in die USA. Dies würde insbesondere das übliche Instrument der Auftragsdatenverarbeitung treffen, das eine Datenübermittlung ohne Einwilligung der Betroffenen ermöglicht. Für Unternehmen, die über Niederlassungen im UK verfügen, selbst Niederlassung eines UK Unternehmens sind, mit Unternehmen im UK zusammenarbeiten oder in anderer Weise Daten in das UK übermitteln, könnten hier – beispielhaft genannt – folgende Fragen auftreten:

• Wie kann eine unternehmensweite zentrale Datenhaltung im UK gestaltet werden?
• Wie können Verträge mit Dienstleistern im UK, die Daten erhalten oder per Fernzugriff Daten einsehen (z. B. im Rahmen von Wartungsverträgen), gestaltet werden?
• Müssen Datenströme in andere EU-Länder umgelenkt und dort eine neue Datenhaltung eingerichtet werden?
• Welche Schutzmaßnahmen müssen EU-Tochterunternehmen von UK-Unternehmen gegen einen Datenzugriff von UK-Mutterunternehmen treffen?
• Wie können Due Diligence Prozesse bei grenzüberschreitendem Unternehmenserwerb gestaltet werden?

Maßgeblich wird letztlich sein, welches Datenschutzniveau das UK gestaltet und welche Vereinbarungen bei einem Austritt aus der EU ggf. getroffen werden. Sollte das UK ein Datenschutzrecht nach EU-Vorbild aufrechterhalten, so ist denkbar, dass die Europäische Kommission dem UK den Status eines Drittstaats mit angemessenem Datenschutzniveau einräumt, ähnlich anderen europäischen Nicht-EU-Mitgliedstaaten. Verzögert sich dies bis nach dem Zeitpunkt des Wirksamwerdens eines Austritts des UK, so kann dies zu einer gefährlichen datenschutzrechtlichen Lücke für Unternehmen führen.

Hier ist noch vieles im Unklaren, umso mehr deshalb, da bereits die EU-Datenschutz-Grundverordnung für das Jahr 2018 auch innerhalb der EU neue Themen aufwerfen dürfte.