Viele deutsche Unternehmen übermitteln heute Daten von Beschäftigten oder Kunden nach Großbritannien oder nutzen IT-Leistungen, die von britischen Anbietern oder in Rechenzentren im Vereinigten Königreich erbracht werden. Das gilt nicht nur für Deutschlandgesellschaften von Konzernen auf der Insel, sondern auch im Rahmen von Joint-Ventures, Lieferketten und grundsätzlich IT-gestützten Prozessen. "Solche Datenübermittlungen bedürfen auch nach einem Brexit einer rechtlichen Grundlage", erinnert Dieter Kugelmann, der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz.
Kugelmann empfiehlt nicht-öffentlichen und öffentlichen Stellen, die personenbezogene Daten in das Vereinigte Königreich übermitteln, sich schon jetzt auf das "Worst Case Scenario" vorzubereiten, um zu vermeiden, "dass wichtige rechtliche Dokumente kurzfristig angepasst oder gar erst erstellt und dann noch ins Tagesgeschäft eingespeist werden müssen".
Auch Bitkom-Präsident Achim Berg warnt: "Sollte die EU-Kommission die Austrittsfrist nicht verlängern, gilt jetzt das Worst-Case-Szenario. Ab dem 30. März 2019 müssen deutsche Unternehmen ihre britischen Geschäftspartner und Kunden, dortige Rechenzentren oder IT-Dienstleister behandeln, als säßen sie außerhalb der EU." Eine Missachtung verstößt laut Berg gegen die Datenschutzgrundverordnung und birgt die bekannten, hohen Bußgeldrisiken.
"Mit der Ablehnung des Brexit-Deals droht Europa ein Datenchaos"
Vermeiden können Unternehmen die, indem sie die explizite Einwilligung jedes Betroffenen einholen, zahlreiche Verträge mit sogenannten Standardvertragsklauseln anpassen oder sich als Konzern verbindliche interne Datenschutzvorschriften genehmigen lassen. "Diese Umstellungen sind enorm aufwändig und in der kurzen verbliebenen Zeit vor allem für KMU kaum zu schaffen", warnt Berg. "Wer sich auf diesen Fall nicht vorbereitet hat, für den heißt es: In den Notfall-Modus schalten und umgehend sämtliche Datenströme überprüfen, die in das Vereinigte Königreich führen könnten."
Einer repräsentativen Umfrage von Bitkom Research zufolge lassen 14 Prozent aller deutschen Unternehmen mit 20 und mehr Mitarbeitern personenbezogene Daten in Großbritannien verarbeiten. Bei einem Brexit ohne Abkommen wird Großbritannien am 29. März 2019 um Mitternacht datenschutzrechtlich zum Drittland. Nach Einschätzung der Bitkom-Experten sind die notwendigen Datenschutzmaßnahmen schon jetzt bis dahin nicht mehr umsetzbar. Der Bitkom fordert zur Gewährleistung eines freien Datenverkehrs daher einen sogenannten "Angemessenheitsbeschluss".
Lesetipp: Was der Brexit für den E-Commerce bedeutet
Auch Oliver Süme, Vorstandsvorsitzender des eco Verband der Internetwirtschaft e.V. betont, dass, "europäische und in Europa angesiedelten internationalen Unternehmen der Digitalwirtschaft dringend Rechtssicherheit und eine verlässliche Grundlage für die reibungslose Fortführung ihrer Geschäftsmodelle und Geschäftsprozesse benötigen."
Seiner Ansicht nach sind jetzt die englische Regierung und das Parlament gefordert: "Der Brexit birgt enorme Rechtsunsicherheiten für Unternehmen und voraussichtlich auch Umsatzrückgänge. Die Entscheidung für den Brexit ist grundsätzlich ein schwerer Rückschlag auf dem von der EU eingeschlagenen Weg hin zum einheitlichen digitalen Binnenmarkt" so Süme. Er gibt zudem zu bedenken, dass einem fragmentierten europäischen Markt jede Wettbewerbsfähigkeit im Vergleich mit Ländern wie den USA fehle.
Brexit: wichtige Bestimmungen und zu überarbeitende Dokumente
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz Kugelmann hat angekündigt, "in Kürze" Informationen darüber bereitzustellen, welche datenschutzrechtlichen Anforderungen sich für Unternehmen und Verwaltungen durch den Brexit ergeben und wie die Aufsichtsbehörde diese begleiten. Selbstverständlich können die auch Firmen aus anderen Bundesländern als Richtschnur dienen.
Grundsätzliche Informationen zum Internationale Datenverkehr und Datenschutz hält die Behörde bereits jetzt vor. Unabhängig davon, wie der Brexit letztlich gestaltet wird, müssen davon betroffenen Unternehmen aber folgende Bestimmungen beachten und folgende Dokumente überarbeiten:
Im Informationsblatt zur Datenverarbeitung und in der Datenschutzerklärung einer Website ist gemäß Art. 13 Abs. 1 lit. f bzw. Art. 14 Abs. 1 lit. f DSGVO über die Datenübermittlung in ein Drittland zu informieren.
Wenn eine betroffene Person von ihrem Auskunftsrecht Gebrauch macht, ist ihr gemäß Art. 15 Abs. 1 lit. c, Abs. 2 DSGVO auch über die Datenübermittlung in Drittländer Auskunft zu geben.
Im Verzeichnis von Verarbeitungstätigkeiten sind Datenübermittlungen in Drittländer gemäß Art. 30 Abs. 1 lit. d und lit. e DSGVO bzw. Art. 30 Abs. 2 lit. c DSGVO als solche zu bezeichnen und die weiteren in diesem Zusammenhang geforderten Angaben zu machen.
Gegebenenfalls sind Datenschutz-Folgenabschätzungen erstmals durchzuführen oder bereits erfolgte zu überprüfen, soweit es um die Datenübermittlung in das UK als Drittland geht (Art. 35 DSGVO).