Sollte Großbritannien am 29. März 2019 ohne Abkommen aus der EU austreten, müssen deutsche Unternehmen mit britischen Geschäftspartnern, Kunden, Rechenzentren und IT-Dienstleistern umgehen wie mit einem Drittstaat. Dies würde bedeuten, dass der Datenverkehr zwischen EU-Staaten und Großbritannien erschwert wird. Gut möglich, dass die Speicherung und Verarbeitung von Kunden- und Auftragsdaten aus EU-Ländern durch britische Unternehmen und Behörden fortan nicht mehr mit der Datenschutz-Grundverordnung (EU-DSGVO) vereinbar ist. Laut einer Bitkom-Umfrage lassen zahlreiche deutsche Unternehmen ihre personenbezogenen Daten allerdings über externe Dienstleister in Großbritannien verarbeiten.
Um einen Verstoß gegen die EU-DSGVO nach einem No-Deal-Brexit zu vermeiden, bräuchten europäische Firmen von da an die explizite Einwilligung jedes einzelnen Betroffenen bezüglich seiner personenbezogenen Daten. Außerdem müssten sie ihre Verträge mit Standardvertragsklauseln anpassen und sich als Konzern verbindliche interne Datenschutzvorschriften genehmigen lassen. Da solche Umstellungen sehr aufwendig sind, wären sie besonders für kleine Unternehmen nicht rechtzeitig umsetzbar.
Natürlich ist unter bestimmten Bedingungen ein Austausch personenbezogener Daten von EU-Bürgern mit Drittstaaten möglich: Die EU-Kommission muss dafür eine sogenannte Adäquatsentscheidung treffen – also eine Angemessenheitsentscheidung, die feststellt, ob ein Drittstaat ein mit der EU vergleichbares Datenschutzniveau besitzt. Claire Bradshaw, Mitglied des britischen Digital- und Kulturministeriums, versicherte im September 2018, dass eine solche Adäquatsentscheidung problemlos möglich ist. Es seien nur technische Korrekturen erforderlich, damit die EU-DSGVO nach dem Brexit voll angewandt werde. Damit es nach einem Austritt keine Unterbrechungen beim Datentransfer gibt, drängt das Digital- und Kulturministerium die Politiker dazu, möglichst zeitnah ein Adäquatsverfahren mit der EU-Kommission zu starten. Der Bitkom rechnet aber damit, dass im Falle eines No-Deal-Brexits ein Beschluss nicht rechtzeitig vorliegt.
Auch der IT-Verband Eco fordert ein rasches Verfahren: "Die europäischen und in Europa angesiedelten internationalen Unternehmen der Digitalwirtschaft benötigen dringend Rechtssicherheit und eine verlässliche Grundlage für die reibungslose Fortführung ihrer Geschäftsmodelle und Geschäftsprozesse. Die EU und Großbritannien können die neu gewonnene Zeit effektiv nutzen, um zeitnah praktikable Lösungen zu finden, auf deren Grundlage die rechtskonforme internationale Datenübermittlung weiterhin gewährleistet ist“, sagte Eco-Vorstand Oliver Süme.
Die EU-Kommission äußerte laut Informationen von golem.de allerdings, dass die Annahme eines Angemessenheitsbeschlusses nicht Teil einer Krisenplanung sei. Neben Adäquatentscheidungen gebe es mehrere andere geeignete Garantien für eine datenschutzkonforme Datenübertragung in ein Drittland.
Obwohl die IT-Wirtschaft nachdrücklich vor einem Wort-Case-Szenario und einem Datenchaos warnt, will die EU-Kommission dennoch keinen Notfall-Beschluss herbeiführen – nun bleibt abzuwarten, ob es rechtzeitig zu einer Einigung zwischen Großbritannien und der EU kommt.