Der Datenschutz-Brexit kann ernsthafte Folgen bei der Datenübermittlung zwischen der Europäischen Union (EU) – Großbritannien mit sich bringen. Brands Consulting, Ihr externer Datenschutzbeauftragter, informiert über Auswirkungen des Brexit und Maßnahmen.
Hintergrund des Brexit
Während der Europameisterschaft 2016 entscheiden sich die Briten im „Referendum über die Mitgliedschaft von Großbritannien in der Europäischen Union“ für einen Austritt aus der Europäischen Union (EU). Dabei hat mit 51,9 % der Stimmen die knappe Mehrheit „leave the European Union“ („die Europäische Union verlassen“) angekreuzt. Der sogenannte Brexit ist dabei ein griffiges Kunst- und Kofferwort, das sich aus dem englischen „Britain“ für „Großbritannien“ und „exit“ für „Ausgang“ oder „Austritt“ zusammensetzt.
Auswirkungen auf die Wirtschaft
Die Auswirkungen auf die Wirtschaft werden dieser Tage zahlreich diskutiert. Sofortige Auswirkungen zeigte das Britische Pfund, das auf ein 31-Jahres-Tief fiel. Folgt man dem Hashtag #Brexit haben viele Bürger Bedenken hinsichtlich der bisher geltenden Freizügigkeit, durch die es EU-Bürgern zusteht:
- in einem anderen EU-Land Arbeit zu suchen,
- zu arbeiten, ohne dass eine Arbeitserlaubnis erforderlich wäre,
- zu diesem Zweck dort zu wohnen,
- selbst nach Beendigung des Beschäftigungsverhältnisses dort zu bleiben,
- hinsichtlich Zugang zu Beschäftigung, Arbeitsbedingungen und aller anderen Sozialleistungen und Steuervorteile genauso behandelt zu werden, wie die Staatsangehörigen des Aufnahmelandes.
Diese und auch weitere Auswirkungen auf die Wirtschaft, wie der Export und Import aus bzw. in die EU, hängen natürlich stark von den Verhandlungen über den Austritt ab. Derartige Verhandlungen können auch den Datenschutz betreffen.
Die EU-Datenschutz-Grundverordnung und der Brexit
Die EU-Datenschutz-Grundverordnung (EU-DSGVO) wurde am 14. April 2016 durch das Europäische Parlament (kurz EU-Parlament oder EP) beschlossen. Veröffentlicht wurde die EU-DSGVO am 04.05.2016 im Amtsblatt der Europäisches Union (ABl.) und tritt damit am 25.05.2016 in Kraft. Nach einer zweijährigen Übergangsfrist wird die Datenschutz-Grundverordnung damit ab dem 25.05.2018 in Kraft anwendbar. Während des Beschlusses über die EU-DSGVO waren zwar bereits Überlegungen über einen möglichen Brexit den Medienberichten zu entnehmen, datenschutzrechtlich wurde zum Austritt aus der EU allerdings (noch) nichts geregelt. Was bedeutet dies nun?
Datenübermittlung Drittland – Grundlegende Veränderungen beim Datenaustausch
Mit dem Austritt der Briten aus der EU, einer damit fehlenden EU-Mitgliedschaft, wird Großbritannien im Sinne des Datenschutzrechtes zum „Drittland“. Unternehmen und natürlich auch Konzerne innerhalb des eigenen -internationalen- Konzernverbundes können die Datenweitergabe oder den Datenzugriff somit nicht mehr allein auf einen Vertrag zur Auftragsdatenverarbeitung (gemäß § 11 BDSG) stützen. Es dürften, wenn Verhandlungen / Kommissionsentscheidungen bis dahin keine anderweitigen Ergebnisse bringen, die gleichen Maßnahmen erforderlich sein, wie bei einer Datenübermittlung in die USA, China oder auch Indien. Bei diesen Ländern handelt es sich nicht um ein sogenanntes „sicheres Drittland mit einem angemessenen Datenschutzniveau“, das mit dem EU-Recht (respektive Bundesdatenschutzgesetz / EU-Datenschutz-Grundverordnung) hinreichend vergleichbar ist
Erste Prüfstufe (Zulässigkeit):
Die Verantwortliche Stelle (Unternehmen, Behörde, …) muss sich vergewissern, ob eine Übermittlung zulässig ist. Gemäß § 4 Abs. 1 BDSG ist das Erheben, Verarbeiten und Nutzen nur zulässig, sofern durch das Gesetz oder eine andere Rechtsvorschrift erlaubt oder angeordnet oder der Betroffene (freiwillig) eingewilligt hat.
Zweite Prüfstufe (Angemessenes Datenschutzniveau im Zielstaat)
Hinsichtlich des angemessenen Datenschutzniveaus wird eine Gesetzgebung im Zielland vorausgesetzt, die ein Datenschutzrecht vorsieht, das mit der europäischen Datenschutzrichtlinie (perspektivisch der EU-Datenschutz-Grundverordnung) vergleichbar ist. Daraus folgt, dass ein ungehinderter Datenfluss innerhalb der EU / des Europäischen Wirtschaftsraumes (EWR) erfolgen kann. Die Staaten des EWR sind, neben den EU-Mitgliedsstaaten, die Länder: Island, Norwegen und Liechtenstein. Auf dieser zweiten Prüfstufe bestehen ferner keine Vorbehalte gegen Datenübermittlungen an Stellen in Staaten, denen die Europäische Kommission (EU-Kommission) in einer Angemessenheitsentscheidung ein angemessenes Datenschutzniveau attestiert hat (Art. 25 Abs. 6 EG-DatSchRL). Eine Angemessenheitsentscheidung wurde für folgende Länder durch die EU-Kommission, durch das in Art. 31 Abs 2 EG-DatSchRL geregelte Verfahren, getroffen:
– Andorra
– Argentinien
– Australien (Achtung: Sonderfall bei Fluggastdatensätzen (PNR-Daten))
– Färöer
– Israel
– Isle of Man
– Jersey
– Kanada (Achtung: Sonderfall bei Fluggastdatensätzen (PNR-Daten))
– Neuseeland
– Schweiz
– Uruguay
– Bis zum 05.10.2016 auch die USA bei Unterwerfung unter Safe-Harbor (wurde mit Urteil v. 06.10.2015 durch den Europäischen Gerichtshof (EuGH) für ungültig erklärt)
Fazit – Datenschutz-Brexit
Durch den Brexit greift die EU-Datenschutz-Grundverordnung nicht mehr in Großbritannien. An die EU-DSGVO muss sich allerdings gehalten werden, wenn innerhalb der EU Waren und / oder Dienstleistungen angeboten werden. Damit kann die EU-DSGVO zwar nicht in Großbritannien gelten, allerdings für Unternehmen aus Großbritannien, die innerhalb der EU tätig werden.
Für den Datenaustausch zwischen Unternehmen, Konzernen (auch zwischen den eigenen Konzernunternehmen) gilt es frühzeitig geeignete Maßnahmen (z. B. ausreichendes Schutzniveau) zu ergreifen, die unter anderem sein können:
- Vertragsschluss und Einsatz von EU-Standardvertragsklauseln
- Unterwerfung der Konzernunternehmen unter Binding Corporate Rules (verbindliche Unternehmensregelungen, kurz BCR), verbunden mit weiteren Maßnahmen wie Datenschutzmanagement- und Datenschutzschulungssystem
- Beteiligung der Aufsichtsbehörden
- Mehrparteienvertrag
