Ab Mitte 2018 tritt die neue Datenschutz Grund Verordnung (DSGVO) in Kraft und soll für eine Europa-weite Harmonisierung des Datenschutzes sorgen.
Die kürzliche Brexit-Entscheidung hat zu einigen rechtlichen Unsicherheiten in Bezug auf die Umsetzung von aktuellen und künftigen EU-Gesetzen in Großbritannien geführt. Obwohl der Standpunkt Brüssels völlig klar ist – solange Großbritannien ein EU-Mitglied ist, wird erwartet, dass sämtliche EU-Gesetze und Mitgliederverpflichtungen eingehalten werden –, ist es ebenso klar, dass britische Investoren, Gesetzgeber, Politiker und Aufsichtsbehörden versuchen werden, sich die „Rosinen“ herauszupicken, da man ja die EU in Kürze verlassen wird.
Die Zukunft der EU-DSGVO in Großbritannien
Sehr viel hängt von der Art der neuen Partnerschaft ab, den Konzessionen von beiden Seiten und den Verhandlungen, nachdem Artikel 50 EUV offiziell angewandt wurde.
Für die meisten Unternehmen der Technologiebranche stellt sich die Kernfrage, ob die EU-DSGVO nach dem Brexit in Großbritannien überhaupt gelten soll und welche Rolle der für die Umsetzung der neuen Verordnung verantwortliche Datenschutzbeauftragte, der Information Commissioner (ICO), spielen wird.
Betrachtet man nur die Zeitschiene, dann wird die EU-DSGVO, die am 25. Mai 2018 in Kraft tritt, auch in Großbritannien gelten, denn sie ist eine Verordnung, die jeder EU-Mitgliedstaat sofort umsetzen muss. Selbst wenn der Artikel 50 zum 31. März 2017 angewandt würde (was nach Aussagen der britischen Regierung wahrscheinlicher ist), endet die vorgesehene zweijährige Frist am 31. März 2019. Allein aus diesem Grund würde die EU-DSGVO auch in Großbritannien gelten und rechtliche Verpflichtungen schaffen, solange Großbritannien noch ein Vollmitglied der EU ist.
Aufgrund bestehender Fristen und der hohen Wahrscheinlichkeit, dass es zwischen Großbritannien und der EU langwierige Verhandlungen geben wird, kann man mit Sicherheit davon ausgehen, dass die EU-DSGVO auch in Großbritannien volle Anwendung findet, sofern keine explizit gegenteilige Entscheidung getroffen wird.
Fortdauernde Beziehungen
Nicht alle Beziehungen zwischen der EU und Großbritannien werden sich nach dem Brexit ändern. Im Gegenteil legt die Position Großbritanniens nahe, dass das politische Ziel sein wird, auch weiterhin den britischen Binnenmarkt weitgehend offenzuhalten.
Auch Länder wie die Schweiz, die von Brexit-Befürwortern gerne als erfolgreiches Beispiel für eine externe Beziehung zur EU angeführt wird, besitzt einen qualifizierten Gleichheitsstatus in Bezug auf Datenschutz, der wiederum durch EU-Gesetze gedeckt ist. Es bleibt abzuwarten, wie Großbritannien als wichtige Drehscheibe der Informationstechnologie in Europa einen sicheren Zugang zu diesem - dann externen - Markt garantieren will, ohne spezielle gesetzliche Anforderungen an den Datenschutz zu etablieren.
Auswirkungen für britische Unternehmen in Europa
Man darf nicht vergessen, dass die EU-DSGVO für alle Unternehmen gilt, die auf dem Territorium der EU mit ihren Produkten und Dienstleistungen tätig sein wollen. Aufgrund der Exportorientierung der britischen Digitalwirtschaft werden zahlreiche britische Unternehmen und ihre Zulieferer die EU-DSGVO in ihren internen Prozessen berücksichtigen müssen, unabhängig von dem in Großbritannien geltenden Recht, da diese eine gesetzliche Voraussetzung ist, um Geschäfte auf dem europäischen Kontinent tätigen zu dürfen. Schon daher sind einige der strengen Anforderungen der EU-DSGVO wie Sicherheit, Meldepflicht bei Datenschutzverstößen, grenzüberschreitender Datentransfer, Zugangsrechte und das Recht auf Löschung auch „durch die Hintertür“ in Großbritannien gültig, da viele britische Unternehmen ihre Strategien und vertraglichen Anforderungen daran ausrichten werden.
Während Fragen rund um die Auswirkungen der EU-DSGVO und des Brexit durchaus verständlich sind, scheint es klar zu sein, dass die EU-DSGVO in Großbritannien zumindest in ähnlicher Form gelten wird. Tatsächlich liegt es sogar im Interesse der übrigen EU-Mitgliedsstaaten, dass die EU-DSGVO gelten muss, denn die Alternative – ein britischer Zugang zum digitalen Binnenmarkt ohne Datenschutzregeln – würde Großbritannien einen erheblichen Wettbewerbsvorteil bescheren.
Wahrscheinliche Konsequenzen des Brexit
Gleichwohl stellt der Brexit die britische Digitalwirtschaft vor Probleme. Zum Beispiel wirft die Auswirkung des Brexit auf die Menschenrechts-Charta der EU Bedenken hinsichtlich der Rolle des britischen Geheimdienstes bei der Sammlung persönlicher Daten von EU-Bürgern auf – selbst wenn die britische Gesetzgebung im Wesentlichen der EU-DSGVO gleicht. Es wird daher vermutlich in Großbritannien zu Vereinbarungen ähnlich den zwischen der EU und den USA geschlossenen Datenschutzvereinbarungen (Privacy Shield) für grenzüberschreitenden Datenverkehr kommen.
Eine weitere Frage ist die Beteiligung des European Data Protection Board des Information Commissioner’s Office (ICO), das als eine moderne und effektive Regulierungsinstitution gesehen wird und dessen Fehlen die Gesetzgeber bedauern würden.
Der Brexit sorgt in vielen anderen politischen Bereichen für wesentlich mehr Unsicherheit als beim Datenschutz. Unternehmen, die in den zahlreichen Rechtssystemen Europas einschließlich Großbritanniens aktiv sind, sollten sich weiterhin auf die EU-DSGVO vorbereiten und die Verhandlungen über den Brexit abwartend beobachten, da diese erst später die exakten Anforderungen für Großbritannien zeigen werden.