In welcher Weise Großbritannien am 29. März aus der EU ausscheiden wird, bleibt auch auf den letzten Metern noch spannend. Die Wahrscheinlichkeit eines „harten“ Brexit ohne Austrittsabkommen steigt. Daher sollten sich Unternehmen, die etwa eine Niederlassung in Großbritannien haben, bei der Datenverarbeitung britische Dienstleister einsetzen oder dort ansässige Cloud-Dienste nutzen, vorläufig auf beide Varianten einstellen, zumal der Europäische Datenschutzausschuss deutlich gemacht hat, dass er bei der Verfolgung von Datenschutzverstößen keine Übergangszeit gewähren wird.
Erfolgt der Brexit im Rahmen eines Austrittsabkommens, dann können Unternehmen auf dieser Grundlage Daten nach Großbritannien übermitteln. Es ist sehr wahrscheinlich, dass die Kommission das britische Datenschutzniveau für angemessen hält und Großbritannien mit einem Angemessenheitsbeschluss zu einem sicheren Drittland im Sinne des Art. 45 DSGVO erklären würde.
Im Falle eines harten Brexits wäre Großbritannien zu behandeln wie irgendein Drittstaat. Etwas anderes gälte nur, wenn die Kommission, was auch in diesem Falle möglich wäre, einen Angemessenheitsbeschluss fällte. Das wäre ein relativ unaufwändiges Verfahren, denn der Data Protection Act, den die britische Regierung 2018 erlassen hat, entspricht den Anforderungen der DSGVO. Ob und, falls ja, wann die Kommission den Beschluss fällen würde, ist jedoch eine politische Frage und derzeit nicht abzusehen.
Ohne diesen Beschluss bzw. bis zu seinem Erlass müssen Unternehmen ihre Abläufe hinsichtlich der Betroffenenrechte, ihre Datenschutzerklärungen und übrigen Dokumentationen entsprechend anpassen und möglicherweise ihre Datenschutz-Folgenabschätzungen aktualisieren. Langwieriger und administrativ aufwändiger ist die Verpflichtung in Art. 46 DSGVO, eine der dort genannten Garantien zu schaffen. Das kann die Verwendung der von der Kommission erlassenen EU-Standardvertragsklauseln sein; die Klauseln sind grundsätzlich für Verträge zwischen zwei selbständigen Unternehmen gedacht, können aber auch für interne Datentransfers verwendet werden. Auch bindende interne Datenschutzvorschriften oder individuelle Vertragsklauseln, die von der zuständigen Aufsichtsbehörde genehmigt wurden, bieten die erforderliche Garantie; Branchenverbände verfügen u.U. über – wiederum zu genehmigende – Verhaltensregeln.
Ohne eine solche Garantie können sich Unternehmen ggfs auf die in Art. 49 DSGVO geregelten Ausnahmefälle berufen, etwa auf die Einwilligung des Betroffenen oder die Erforderlichkeit der Datenübermittlung für die Leistungserbringung.
Weitere Informationen dazu in den Publication des Europäischen Datenschutz-Ausschusses:
https://edpb.europa.eu/sites/edpb/files/files/file1/edpb-2019-02-12-infonote-nodeal-brexit_en.pdf
https://edpb.europa.eu/sites/edpb/files/files/file1/edpb-2019-02-12-infonote-bcrs-brexit_en.pdf