Rechtsanwalt Alexander Tribess

Rechtsanwalt Alexander Tribess

Die Folgen der BREXIT-Entscheidung sind wenige Tage nach dem Referendum noch nicht absehbar. Das Votum der Briten wirft aber Fragen auf, wie künftig der Austausch personenbezogener Daten mit dem Inselreich aussehen kann. Denn mit einem Austritt aus der Union verliert Großbritannien auch die Privilegien des gemeinsamen EU-Datenschutzrechts. Wird der UK zum datenschutzrechtlichen Drittland, wäre der Datenaustausch nur noch unter sehr erschwerten Bedingungen möglich. Unternehmen sollten dies schon jetzt berücksichtigen.

Zum Hintergrund: Die EU-Staaten haben ein gemeinsames Datenschutzrecht. Zurzeit wird dieses noch durch die Richtlinie 95/46/EG bestimmt, die in allen 28 Mitgliedsstaaten umgesetzt worden ist, also auch in Großbritannien. Danach besteht im EU-Binnenmarkt ein Privileg für den zwischenstaatlichen Datentransfer. Unternehmen können Daten mit Partnern in Finnland oder Portugal genauso leicht austauschen wie mit deutschen. Diese Vorteile genießen bislang auch Unternehmen aus dem Vereinigten Königreich.

Ab dem 25.05.2018 ändern sich die Regeln. Denn mit diesem Datum entfaltet die neue EU-Datenschutzgrundverordnung ihre Wirkung. Das Problem: Eine solche Verordnung bedarf nicht mehr der Umsetzung in nationales Recht, sondern gilt direkt. Scheidet der UK aus der Union aus, verlöre grundsätzlich auch die Verordnung ihre Wirkung für das Land. Es wäre dann nicht mehr ohne weiteres gewährleistet, dass das Datenschutzniveau im UK als „angemessen“ im Sinne der europäischen Regeln anzusehen wäre. Der UK würde zum Drittland und stünde damit rechtlich auf einer Stufe mit den USA oder Indien.

Es ist zu erwarten, dass dieses Thema im Rahmen der Austrittsverhandlungen eine gewichtige Rolle spielen wird. Denn in einer datengetriebenen Wirtschaft wäre jedes Erschwernis für den Austausch personenbezogener Daten zwischen Unternehmen aus dem UK und den EU-Staaten ein schweres Hemmnis für die weitere wirtschaftliche Zusammenarbeit. Wie genau die Regeln aber künftig aussehen werden, ist auf absehbare Zeit vollkommen ungewiss.

Dies sollten Unternehmen zumindest im Hinterkopf behalten, wenn es darum geht, Verträge z.B. mit Hosting-Anbietern oder Subunternehmern im Projektgeschäft abzuschließen. Hier ist ab sofort noch größere Sorgfalt bei der Auswahl der Partner geboten, und es sollten möglichst tragfähige Lösungen im Hinblick auf den Datenaustausch unter verschiedenen Szenarien gefunden werden.

Was ist konkret denkbar? Möglich wäre es, Sonderkündigungsrechte für den Fall vorzusehen, dass ein Datenaustausch mit dem UK nach einem Austritt nicht zu akzeptablen Bedingungen möglich ist. Unerlässlich scheint es mir, in datenschutzrechtlicher Hinsicht Revisionsklauseln zu vereinbaren, die eine Anpassung der Verträge dann möglich und notwendig machen, wenn das konkrete Austritts-Szenario feststeht. Bei multinationalen Rechenzentrums-Anbietern sollte zudem eine Option festgeschrieben werden, nach der ein Transfer der Daten in Rechenzentren im UK untersagt werden kann. Daneben bleibt natürlich auch immer die Möglichkeit, bei künftigen Vertragsabschlüssen oder -verlängerungen Unternehmen aus dem UK im Hinblick auf die bestehenden Unsicherheiten nicht zu berücksichtigen – eine bittere Konsequenz der Entscheidung vom 23.06.2016.