(24.6.2016)
Die Briten haben es tatsächlich getan und (knapp) mehrheitlich für den Austritt aus der EU gestimmt.
Das hat viele Folgen in vielen Lebens- und Wirtschaftsbereichen. Unser Thema ist der Datenschutz, d.h. wir werfen hier einen ersten kurzen Blick auf die Folgen dieses Austritts aus datenschutzrechtlicher Sicht. Die naheliegenden Fragen lauten: Müssen jetzt alle Verträge mit britischen Unternehmen angepasst werden? Was heißt das für uns, wenn unser Mutterunternehmen in London seinen Sitz hat?
Zuerst die Entwarnung: Unmittelbar ändert sich noch nichts. Die Austrittsverhandlungen werden voraussichtlich mindestens zwei Jahre dauern, und so lange bleiben die alten Regeln voraussichtlich in Kraft. Wir empfehlen deshalb, vorerst unverändert weiterzuarbeiten.
Nach dem Ausscheiden aus der EU wird Großbritannien ein so genannter Drittstaat, ähnlich wie die USA. Im Gegensatz zu den USA wird es aber vermutlich datenschutzrechtliche Erleichterungen geben:
- Die EU-Kommission könnte den Briten ein „angemessenes Datenschutzniveau“ bescheinigen. Dann könnten sie (in Bezug auf Datenübermittlungen) weiterhin so behandelt werden wie ein EU-Mitgliedsstaat.
- Vielleicht bleibt Großbritannien sogar innerhalb des EWR (Europäischer Wirtschaftsraum), was zum gleichen Ergebnis führen würde.
- Und falls nicht: Zu dem Zeitpunkt, zu dem Großbritannien ausscheidet, gilt vermutlich schon die neue EU-Datenschutzgrundverordnung (in Kraft ab dem 25.5.2018). Darin wird die neue Möglichkeit geschaffen, eine Auftragsdatenverarbeitung auch mit Stellen in Drittstaaten abzuschließen.
Aus datenschutzrechtlicher Sicht gilt deshalb: Erst einmal abwarten und Tee trinken. Im Gegensatz zu vielen anderen Bereichen werden die Folgen des EU-Austritts im Bereich Datenschutz recht gut beherrschbar sein, auch wenn im Einzelfall später Anpassungen im Detail notwendig werden müssen. Darüber werden wir Sie natürlich zu gegebener Zeit informieren.