Neun Monate ist es her, als die Einwohner des Vereinigten Königreichs (UK) sich mehrheitlich für den Austritt aus der Europäischen Union entschieden. Letzte Woche stellte die britische Premierministerin Theresa May den nach Art. 50 des Vertrags über die Europäische Union erforderlichen Antrag, um den Austrittsprozess einzuleiten. Das bedeutet, dass (bei einem planmäßigen Verlauf) die Mitgliedschaft in der Europäischen Union am 29. März 2019 endet.
Was bedeutet das datenschutzrechtlich?
Datenschutzrechtlich wird das Vereinigte Königreich nach erfolgtem Austritt zu einem sogenannten Drittland. Per se verfügen Drittländer über kein angemessenes Datenschutzniveau.
Eine Übermittlung personenbezogener Daten wäre nur unter erschwerten Bedingungen rechtlich zulässig.
Die europäische Kommission muss dem Vereinigten Königreich mittels Angemessenheitsbeschluss ein adäquates Datenschutzniveau attestieren. Dies setzt voraus, dass die dann im UK geltenden Datenschutzregelungen den europäischen Standards, insbesondere der europäischen Datenschutz Grundverordnung, entsprechen. Nur wenn dies erfolgt, ist die Übermittlung und Verarbeitung personenbezogener Daten in gleicher Weise möglich, wie sie zum jetzigen Zeitpunkt erfolgt. Zwar gilt es in Fachkreisen als sehr wahrscheinlich, dass sich das UK an der Datenschutz-Grundverordnung orientiert. Dennoch ist eine Anerkennung als Drittstaat mit angemessenem Datenschutzniveau nicht ganz einfach. Warum? Nun, die EU-Kommission muss bei einer Überprüfung auch die Tätigkeiten der Strafverfolgungsbehörden etc. mit einbeziehen. Die Investigatory Powers Bill, die derzeit im UK gilt, z.B. ermöglicht eine umfassende Vorratsdatenspeicherung und räumt den Sicherheitsbehörden verschiedene Befugnisse ein, die das Schutzniveau personenbezogener Daten von EU-Bürgern einschränkt. Der Ausgang dieser Überprüfung ist somit offen.
Wird ein solcher Angemessenheitsbeschluss nicht oder nicht bis zum 29. März 2019 erlassen, muss das angemessenes Datenschutzniveau durch andere Instrumente geschaffen werden. Ein probates Mittel wären hier die EU Standardvertragsklauseln. Da deren Wirksamkeit derzeit durch den EuGH überprüft wird, ist gegenwärtig noch nicht absehbar, ob diese in zwei Jahren noch Bestand haben.
Insbesondere bei der Begründung von neuen Geschäftsbeziehungen mit britischen Unternehmen, die voraussichtlich über den 20. März 2019 hinausgehen, sollten die Folgen eines möglicherweise dann fehlenden angemessenen Datenschutzniveaus bei der Vertragsgestaltung berücksichtigt werden.