Artikel

BREXIT und Datenschutz

Theresa Mays „Brexit-Deal“ wurde vom britischen Parlament abgelehnt. Welche Regelungen zum Datenschutz sah diese Austrittsvereinbarung vor und was wären die datenschutzrechtlichen Konsequenzen eines „No-Deal-Brexit“?

Mit Ablauf des 29. März 2019 soll der BREXIT nun endgültig über die Bühne gehen. Ab 30. März wird das Vereinigte Königreich nicht mehr EU-Mitgliedstaat und daher EU-Primär- und Sekundärrecht auf seinem Territorium nicht mehr gültig sein. Davon eingeschlossen ist die Datenschutz-Grundverordnung (DSGVO), welche in allen Mitgliedstaaten direkt anwendbar ist.

Brexit und die DSGVO

Der Entwurf der Austrittsvereinbarung[1] sah in seinen Artikeln 70 – 74 datenschutzrechtliche Bestimmungen vor. Bis zum 31. Dezember 2020 sollte eine Übergangsperiode gelten. Für personenbezogene Daten, die vor Ablauf der Übergangsperiode verarbeitet würden, bzw nach deren Ablauf auf Basis der Austrittsvereinbarung, sollte weiterhin EU-Datenschutzrecht gelten. Für die Zeit nach der Übergangsperiode sollte das Vereinigte Königreich ein nationales Datenschutzrecht beschließen und danach einen Angemessenheitsbeschluss der Kommission gemäß Art 45 Abs 3 DSGVO erwirken, welcher ein angemessenes Schutzniveau feststellt (dies hätte zur Folge, dass ein Datentransfer in das Vereinigte Königreich nicht anders zu behandeln wäre, als ein Datentransfer innerhalb der EU). In jedem Fall sah der Entwurf eine Verpflichtung des Vereinigten Königreichs vor, einen im Wesentlichen gleichen Datenschutz wie in der EU zu garantieren. Im Gegenzug wolle die EU personenbezogene Daten aus dem Vereinigten Königreich gleich behandeln, wie Daten aus einem Mitgliedstaat.

Im Fall eines „No-Deal-Brexit“ wäre das Vereinigte Königreich datenschutzrechtlich als sogenannter Drittstaat zu qualifizieren. Eine Datenübermittlung in das Vereinigte Königreich wäre dann nur unter strengen Voraussetzungen zulässig: Vorliegen eines Angemessenheitsbeschlusses der Kommission, Vorsehen geeigneter Garantien (insbesondere in Form von Standardvertragsklauseln) oder von der Aufsichtsbehörde genehmigte verbindliche interne Datenschutzvorschriften bzw Übermittlung in den Ausnahmefällen des Art 49 DSGVO.

Konsequenzen eines „No-Deal-Brexits“

Ein „No-Deal-Brexit“ würde also für eine Vielzahl an Unternehmen nach der Implementierung der DSGVO eine neuerliche Überarbeitung der datenschutzrechtlichen Prozesse bedeuten, damit ein Datentransfer in das Vereinigte Königreich weiterhin zulässig wäre. Unzulässige Datenübermittlungen wären jedenfalls mit Geldbußen von bis zu EUR 20.000.000,00 oder bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs bedroht. Sollte der „No-Deal-Brexit“ daher Realität werden, wären Datenschutzmaßnahmen jedenfalls notwendig.

[1] TF50 (2018) 55 – Commission to EU27.

Ihr Kontakt

Mag. Sascha Jung

Deloitte Legal | Jank Weiler Operenyi RA

s.jung@jankweiler.at

+43 1 513 09 13

Sascha Jung ist Partner bei Jank Weiler Operenyi Rechtsanwälte (JWO), dem österreichischen Mitglied des globalen Anwaltsnetzwerkes Deloitte Legal, und leitet das IP/IT, Data Protection Team. Durch sei... Mehr

Steuerberatung

Audit & Assurance

Financial Advisory

Consulting

Risk Advisory

Legal

Spotlight

Consumer

Energy, Resources & Industrials

Financial Services

Government & Public Services

Life Sciences & Health Care

Technology, Media & Telecommunications

Deloitte Private - Family Business

KMU Beratung

Jobportal

Karriere bei Deloitte

Warum Deloitte

MaturantInnen

Studierende

Berufserfahrene