Datenschutz verpflichtet: Der Brexit und die Folgen für den Datenschutz

In seinem Gastkommentar zum Brexit erklärt David Lin, Enterprise Sales Manager bei Varonis, warum sich das Vereinigte Königreich auch nach dem Brexit an die europäischen Datenschutzstandards halten muss.

(Foto: Varonis)

Auch wenn die Faktenlage klar zu sein scheint, was die konkreten Folgen des beschlossenen Brexits angeht, gleicht vieles noch dem Blick in die berüchtigte Kristallkugel. Die UK sind was den IT-Markt anbelangt der größte Einzelmarkt innerhalb der Europäischen Union, etliche Unternehmen haben ihr europäisches Headquarter ebenda. Auf jeden Fall sind IT-Technologie-Unternehmen hier besonders stark vertreten. Jetzt, da sich das Land für »Leave« entschieden hat, sind die ökonomischen Erschütterungen bereits unmittelbar spürbar. Und sie werden weitergehen, unabhängig von bestimmten Wirtschaftszweigen oder Branchen. Trotzdem gehen wir davon aus, dass es nach wie vor sehr viel Sinn macht weiterhin im Vereinigten Königreich zu investieren. Es wird nicht zuletzt eine der wichtigsten Aufgaben der Regierung sein, stabile Rahmenbedingungen dafür zu schaffen und diese klar zu kommunizieren.

Solange Unternehmen mit Sitz im Vereinigten Königreich weiterhin Geschäfte mit den in der EU angesiedelten Firmen machen wollen, und das werden sie, gelten selbstredend die in der erst jüngst verabschiedeten EU Datenschutz-Grundverordnung (EU DSGVO) verankerten Richtlinien und Vorgaben. Insbesondere was den Umgang mit sensiblen, vertraulichen Daten anbelangt und die Gewähr, dass persönliche Informationen entsprechend geschützt werden. Die UK kann sich also auch mit dem Austritt aus der EU nicht so einfach von der EU DSGVO verabschieden. Einige wirklich große Unternehmen werden finanziell vielleicht von einem Brexit profitieren und einige Kosten sparen. Wie man aber etlichen bereits veröffentlichten Kommentaren entnehmen kann, sind sich die juristischen Experten einig, dass die DSGVO auch für diejenigen zum Tragen kommt, die Daten außerhalb der EU kontrollieren. Dieser Aspekt der Extraterritorialität ist in Artikel 3 der Richtlinie geregelt.

Stellen Sie sich beispielsweise eine UK-Website vor oder ein E-Commerce-Unternehmen, das persönliche Daten seiner Kunden einsammelt, sagen wir eines Kunden aus den Niederlanden oder aus Deutschland, dann greift in jedem Fall die Datenschutz-Grundverordnung. Unverändert gilt das natürlich weiterhin für alle US-Unternehmen und sämtliche UK-Firmen, die Niederlassungen in einem oder mehreren EU-Ländern betreiben. Die geltenden Datenschutzverordnungen sind verbindlich, auch wenn »outgesourced« wurde.

Übersicht