Brexit und Datenschutz

Großbritannien hat sich für den Austritt aus der EU entschieden. Was bedeutet der Ausstieg für den Datenschutz?

Eine Datenübermittlung erfolgt nicht mehr innerhalb der EU. Großbritannien wird Drittstaat. Sämtliche Verhältnisse mit britischen Unternehmen oder Unternehmen mit Standorten in Großbritannien, bei denen personenbezogene Daten übermittelt werden, müssen geprüft und neu vereinbart werden. Eine Vereinbarung über die Verarbeitung von personenbezogenen Daten gemäß § 11 BDSG (Auftragsdatenverarbeitung) ist nicht mehr ausreichend.

Die EU-Datenschutzgrundverordnung (DSGVO) wird ab 25. Mai 2018 europaweit gültig. Solange Großbritannien noch EU-Mitglied ist, wird diese Regelung unmittelbar greifen. Großbritannien wird sich also mit allen anderen EU-Mitgliedstaaten ein weitgehend einheitliches Datenschutzrecht teilen. Solange Großbritannien noch zur EU gehört, zählt es damit weiterhin zum „datenschutzrechtlichen Binnenraum“.

Blick in die Kristallkugel

Nach der Übergangszeit, die die EU bis zum endgültigen Austritt sicherlich einräumen wird? U.K. wird aus Datenschutzsicht zum Drittland. Es ist dabei nicht gewährleistet, dass Großbritannien automatisch ein entsprechendes Datenschutzniveau (Angemessenheitsentscheidung) bestätigt wird.

Szenario 1: Großbritannien ist vor dem 25. Mai 2018 kein EU-Mitglied mehr

Es gelten die Regelungen des Bundesdatenschutzgesetzes (BDSG): die Vorschriften über den Datentransfer in Drittstaaten nach § 4b und § 4c BDSG.

Wer personenbezogene Daten in ein Drittland übermitteln will, muss sicherstellen, dass auch in diesem Zielstaat ein angemessenes Datenschutzniveau gewährleistet ist.

Prüfen der Zulässigkeit der Datenübermittlung in Drittstaaten in einem zweistufen Verfahren:

• Erste Stufe: Ist die Datenübermittlung als solche nach nationalen Datenschutzvorschriften (insbesondere § 28 und § 32 BDSG) zulässig?

• Zweite Stufe: Werden die besonderen Anforderungen bzgl. des Drittstaatentransfers nach §§ 4b, 4c BDSG im Zielstaat eingehalten, kurz gesagt: herrscht im Zielstaat ein angemessenes Datenschutzniveau?

Auch die Weitergabe von Daten innerhalb eines Konzerns stellt eine datenschutzrechtlich relevante Datenübermittlung dar. Das BDSG kennt kein Konzernprivileg. Ein angemessenes Datenschutzniveau setzt eine nationale Gesetzgebung in dem Drittstaat voraus, die die wesentlichen Datenschutzgrundsätze in einer Weise festlegt, wie sie auch für das Datenschutzrecht der EU und der EU-Mitgliedsstaaten gelten.

Szenario 2: Großbritannien ist nach dem 25. Mai 2018 kein EU-Mitglied mehr

Die Unternehmen mit Sitz in Großbritannien werden sicherlich weiterhin Geschäfte mit Ländern in der EU machen wollen. Es gelten hier die in der verabschiedeten EU-DSGVO verankerten Richtlinien und Vorgaben. Großbritannien kann sich mit dem Austritt aus der EU nicht von der DSGVO „verabschieden“. U. a. regelt Art. 3 der DSGVO den räumlichen Anwendungsbereich, hier Abs. 2 „Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der Union befinden, durch einen nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter, wenn die Datenverarbeitung im Zusammenhang damit steht.“

Es gelten außerdem die Vorschriften über den Datentransfer in Drittstaaten nach Art. 44 ff DSGVO

Damit müsste grundsätzlich sichergestellt sein, dass angemessene Schutzmaßnahmen in Großbritannien als Drittstaat durch die Zielunternehmen bestehen (Art. 46 DSGVO). Diese Maßnahmen beinhalten Standardvertragsklauseln, Binding Corporate Rules o.ä. Instrumente. Auftragsdatenverarbeitung ist bei Anwendung der zusätzlichen Instrumente nach der DSGVO auch in Drittstaaten möglich.

Ausblick

Großbritannien bleibt trotz Referendum vollwertiges Mitglied. Erst wenn sie einen Antrag nach Art. 50 der Verträge stellt, beginnt eine zweijährige Frist für die Verhandlungen. Sollte kein Antrag gestellt werden, ändert sich nichts. Der Austritt Großbritanniens aus der EU wird also nicht von heute auf morgen abgeschlossen sein.

Auf Unternehmen, die Daten mit britischen Empfängern austauschen, kommen auf jeden Fall dann grundlegende Veränderungen zu und sie sollten schon jetzt prüfen, welche Datenflüsse von und nach UK gehen.

Es gibt keinen Grund zur Panik und zur Hektik, solange man vorbereitet ist.

Autorin: Regina Mühlich