Aus­wir­kun­gen des Aus­stiegs von Groß­bri­tan­ni­en auf den Datenschutz

Am 23. Juni 2016 stimm­ten die Wähler von Groß­bri­tan­ni­en mehr­heit­lich für den Aus­tritt aus der Eu­ro­päi­schen Union („Brexit“). Gemäß Artikel 50 des EU-Grun­d­la­­gen­­ver­­­tra­­ges über die Eu­ro­päi­sche Union („Vertrag von Lis­sa­bon“) ^[1] muss der Aus­tritts­pro­zess durch die Mit­tei­lung der bri­ti­schen Re­gie­rung an den Eu­ro­päi­schen Rat recht­lich wirksam in die Wege ge­lei­tet werden. Die bri­ti­sche Pre­mier­mi­nis­te­rin, Theresa May, gab im Oktober 2016 bekannt, dass der Aus­tritts­vor­gang bis Ende März 2017 in Gang gesetzt werden soll. Mit einem Aus­tritt ist, nach der ver­trag­li­chen zwei­jäh­ri­gen Ver­hand­lungs­pe­ri­ode, im März 2019 zu rechnen  ^[2] .

Vor-Ge­­schich­­te:
Das Ver­ei­nig­te Kö­nig­reich trat 1973 der Eu­ro­päi­schen Wirt­schafts­ge­mein­schaft (EWG, Vor­läu­fer der EU) bei, und die Volks­ab­stim­mung 1975 be­stä­tig­te diesen Schritt mit einer Mehr­heit von 67 %. His­to­ri­sche Mei­nungs­um­fra­gen 1973 bis 2015 zeigten zumeist deut­li­che Mehr­hei­ten der Briten für einen Ver­bleib in der Eu­ro­päi­schen Wirt­schafts­ge­mein­schaft oder Eu­ro­päi­schen Union. In den 1970ern und 1980ern wurde der Aus­tritt der Britten aus der EWG haupt­säch­lich von Po­li­ti­kern der Labour Party und von den Ge­werk­schaf­ten ge­for­dert. Wo­hin­ge­gen seit den 1990ern der Aus­tritt aus der EU haupt­säch­lich von einigen Po­li­ti­kern der Kon­ser­va­ti­ven und der neu ge­grün­de­ten UKIP (UK In­de­pen­dence Party, Partei für die Un­ab­hän­gig­keit des Ver­ei­nig­ten Kö­nig­reichs) ge­for­dert wurde  ^[3] .

Status Quo heute:
• Groß­bri­tan­ni­en hat bisher keinen Antrag nach Artikel 50 des Ver­tra­ges von Lis­sa­bon, der den Aus­tritts­pro­zess regelt, ge­stellt. Dies wird wohl Ende März 2017 der Fall sein.
• Bis zum Aus­tritt, d. h. ab 25. Mai 2018, müssen sich alle Un­ter­neh­men aus Groß­bri­tan­ni­en an die Re­ge­lun­gen der DSGVO halten.

Aus­wir­kun­gen des Aus­stiegs von Groß­bri­tan­ni­en auf den Datenschutz

Die Da­ten­schutz­grund­ver­ord­nung (DSGVO) wird ab 28. Mai 2018 eu­ro­pa­weit gültig (Art. 99 DSGVO). Solange Groß­bri­tan­ni­en noch Mit­glied der Eu­ro­päi­schen Union ist, ist es auch an die Da­ten­schutz­grund­ver­ord­nung ge­bun­den und muss die ein­zel­nen Reg­lun­gen bis dahin, wie jedes andere EU-Land, um­ge­setzt haben.
Nach dem Aus­stieg ist Groß­bri­tan­ni­en als Dritt­land im Sinne des Da­ten­schutz­rechts ein­zu­stu­fen. Es sind die Artikel 44 bis 50 DSGVO an­zu­wen­den. So darf u. a. jedwede Über­mitt­lung von per­so­nen­be­zo­ge­nen Daten nach Groß­bri­tan­ni­en nur dann vor­ge­nom­men werden, wenn die Kom­mis­si­on be­schlos­sen hat, dass Groß­bri­tan­ni­en ein an­ge­mes­se­nes Schutz­ni­veau bietet.

Ein Vorteil, wenn sich der Aus­tritt bis nach 28. Mai 2018 „ver­zö­gert“: Ein an­ge­mes­se­nes Da­ten­schutz­ni­veau bzw. das gleiche Niveau wie in­ner­halb der Eu­ro­päi­schen Union ist (sollte) ge­währ­leis­tet sein. Dies er­leich­tert die Ver­hand­lun­gen über die Ein­stu­fung von Groß­bri­tan­ni­en, d. h. einer An­er­ken­nung als si­che­rer Dritt­staat gemäß Art. 46 DSGVO sollte nichts im Wege stehen.

Groß­bri­tan­ni­en ist ab März 2019 kein EU-Mit­­glied mehr
Nach der Über­gangs­zeit, der zwei­jäh­ri­gen Ver­hand­lungs­pe­ri­ode, wird Groß­bri­tan­ni­en aus Da­ten­schutz­sicht zum Dritt­land. Der wich­tigs­te Un­ter­schied wird sein, dass die Daten von Bürgern aus Groß­bri­tan­ni­en nicht mehr unter die DS-GVO fallen. Die Daten aller EU-Bürger al­ler­dings schon.
Sämt­li­che Ver­hält­nis­se mit bri­ti­schen Un­ter­neh­men oder Un­ter­neh­men mit Stand­or­ten in Groß­bri­tan­ni­en, bei denen per­so­nen­be­zo­ge­ne Daten über­mit­telt werden, müssen geprüft und neu ver­ein­bart werden. Eine Ver­ein­ba­rung über die Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten gemäß Artt. 28, 29 DSGVO (Auf­trags­ver­ar­bei­ter) ^[4] ist nicht mehr ausreichend.

Die Un­ter­neh­men mit Sitz in Groß­bri­tan­ni­en werden si­cher­lich wei­ter­hin Ge­schäf­te mit Ländern in der Eu­ro­päi­schen Union machen wollen, wie auch EU-Un­­ter­­neh­­men mit Groß­bri­tan­ni­en. Es gelten hier die in der ver­ab­schie­de­ten DSGVO ver­an­ker­ten Richt­li­ni­en und Vor­ga­ben. Groß­bri­tan­ni­en kann sich mit dem Aus­tritt aus der EU nicht von der DSGVO „ver­ab­schie­den“. U. a. regelt Art. 3 der DSGVO den räum­li­chen An­wen­dungs­be­reich, hier Abs. 2 „Diese Ver­ord­nung findet An­wen­dung auf die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten von be­trof­fe­nen Per­so­nen, die sich in der Union be­fin­den, durch einen nicht in der Union nie­der­ge­las­se­nen Ver­ant­wort­li­chen oder Auf­trags­ver­ar­bei­ter, wenn die Da­ten­ver­ar­bei­tung im Zu­sam­men­hang damit steht.“

Es gelten au­ßer­dem die Vor­schrif­ten über den Da­ten­trans­fer in Dritt­staa­ten nach Art. 44 ff DSGVO
Damit müsste grund­sätz­lich si­cher­ge­stellt sein, dass an­ge­mes­se­ne Schutz­maß­nah­men in Groß­bri­tan­ni­en als Dritt­staat durch die Ziel­un­ter­neh­men be­stehen (Art. 46 DSGVO). Diese Maß­nah­men be­inhal­ten Stan­dard­ver­trags­klau­seln, Binding Cor­po­ra­te Rules o.ä. In­stru­men­te. Auf­trags­da­ten­ver­ar­bei­tung ist bei An­wen­dung der zu­sätz­li­chen In­stru­men­te nach der DSGVO auch in Dritt­staa­ten möglich.

Un­ter­neh­men aus Groß­bri­tan­ni­en müssen Stra­te­gien ent­wi­ckeln, wie sie damit umgehen können und müssen.

Welche Her­aus­for­de­run­gen entstehen?
Mit dem Aus­tritt ent­ste­hen einige Her­aus­for­de­run­gen für die Un­ter­neh­men und es gilt sich einen um­fas­sen­den Über­blick über die Daten zu verschaffen:

• Ein­hal­tung der Betroffenenrechte
  wie z. B. das Recht auf Ver­ges­sen (Art. 17 DSGVO) Wie kann ge­währ­leis­tet werden, dass der Be­trof­fe­ne sein Recht wahr­neh­men kann?
• Auch die Wei­ter­ga­be von Daten in­ner­halb eines Kon­zerns (ver­bun­de­ne Un­ter­neh­men) stellt eine da­ten­schutz­recht­lich re­le­van­te Da­ten­über­mitt­lung dar. Die DSGVO kennt, wie auch das Bun­des­da­ten­schutz­ge­setz (BDSG) kein Kon­zern­pri­vi­leg. Ein an­ge­mes­se­nes Da­ten­schutz­ni­veau setzt eine na­tio­na­le Ge­setz­ge­bung in dem Dritt­staat voraus, die die we­sent­li­chen Da­ten­schutz­grund­sät­ze in einer Weise fest­legt, wie sie auch für das Da­ten­schutz­recht der EU und der EU-Mit­­glied­s­­staa­­ten gelten. Das be­deu­tet, dass das Mutter- bzw. Toch­ter­un­ter­neh­men wie ein „fremdes Un­ter­neh­men“ zu be­trach­ten und dem­entspre­chend zu agieren ist.  ^[5]

Sze­na­rio Groß­bri­tan­ni­en ist vor dem 25. Mai 2018 kein EU-Mit­­glied mehr
Auf­grund der zwei­jäh­ri­gen Ver­hand­lungs­pe­ri­ode ist dieses Sze­na­rio ei­gent­lich nicht mehr möglich. Der Voll­stän­dig­keit halber möchte ich es aber dennoch erwähnen:

Es gelten die Re­ge­lun­gen des Bun­des­da­ten­schutz­ge­set­zes (BDSG): die Vor­schrif­ten über den Da­ten­trans­fer in Dritt­staa­ten nach § 4b und § 4c BDSG.
Wer per­so­nen­be­zo­ge­ne Daten in ein Dritt­land über­mit­teln will, muss si­cher­stel­len, dass auch in diesem Ziel­staat ein an­ge­mes­se­nes Da­ten­schutz­ni­veau ge­währ­leis­tet ist.
Prüfen der Zu­läs­sig­keit der Da­ten­über­mitt­lung in Dritt­staa­ten in einem zwei­stu­fen Verfahren:
Erste Stufe: Ist die Da­ten­über­mitt­lung als solche nach na­tio­na­len Da­ten­schutz­vor­schrif­ten (ins­be­son­de­re § 28 und § 32 BDSG) zulässig?
Zweite Stufe: Werden die be­son­de­ren An­for­de­run­gen bzgl. des Dritt­staa­ten­trans­fers nach §§ 4b, 4c BDSG im Ziel­staat ein­ge­hal­ten, kurz gesagt: herrscht im Ziel­staat ein an­ge­mes­se­nes Datenschutzniveau?

Aus­blick

Groß­bri­tan­ni­en bleibt trotz Re­fe­ren­dum bis auf Wei­te­res ein voll­wer­ti­ges Mit­glied. Erst wenn es einen Antrag nach Artikel 50 des Ver­tra­ges von Lis­sa­bon stellt, beginnt eine zwei­jäh­ri­ge Frist für die Ver­hand­lun­gen. Sollte kein Antrag ge­stellt werden, ändert sich nichts. Der Aus­tritt Groß­bri­tan­ni­ens aus der EU wird also nicht von heute auf morgen ab­ge­schlos­sen sein.

Auf Un­ter­neh­men, die Daten mit bri­ti­schen Emp­fän­gern aus­tau­schen, kommen auf jeden Fall dann grund­le­gen­de Ver­än­de­run­gen zu und sie sollten schon jetzt prüfen, welche Da­ten­flüs­se von und nach Groß­bri­tan­ni­en gehen. Ins­be­son­de­re aus Sicht des deut­schen Da­ten­schutz­rechts (BDSG) sind die Her­aus­for­de­run­gen mit Dritt­län­dern keine neuen Her­aus­for­de­run­gen. Man wird sich in erster Linie aus Da­ten­schutz­sicht – und dies gilt vor allem für ver­bun­de­ne Un­ter­neh­men – von alten „Da­­ten­­über­­­mit­t­­lungs-Ge­­wohn­hei­­ten“ sowie den damit ein­her­ge­hen­den Pro­zes­sen ver­ab­schie­den müssen. Unser Spruch „Daten­schutz ist kein Produkt, Daten­schutz ist ein Prozess.“ greift hier mehr denn je. Es gibt also keinen Grund zur Panik und zur Hektik, solange man vor­be­rei­tet ist.

Die Autorin: 
Regina Mühlich, In­ha­be­rin der Management­beratung AdOrga Solutions in München
Ex­per­tin für Daten­schutz und Qualitätsmanagement
Zu ihren fach­li­chen Kom­pe­ten­zen zählen der in­ter­na­tio­na­le Daten­schutz, Im­ple­men­tie­rung BCM (ISO 22301) und ISO 9001 (zert. Da­ten­­­schutz-Au­­di­­to­rin, anerk. + geprf. Sach­ver­stän­di­ge für IT und Daten­schutz, zert. Qua­li­täts­ma­nage­ment­be­auf­trag­te sowie Au­di­to­rin für Qualitätsmanagement).

———————————————————–
[1] EU-Vertrag, Titel VI, Schluss­be­stim­mun­gen https://dejure.org/gesetze/EU/50.html
[2] Brexit: PM to trigger Article 50 by end of March BBC News, 2. Oktober 2016, ab­ge­ru­fen am 2. Oktober 2016 (eng­lisch).
[3] https://de.wikipedio.org/wiki/[4] DS-GVO http://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=OJ:L:2016:119:FULL&from=DE[5] BvD Blog Kon­zern­pri­vi­leg und Daten­schutz https://www.bvdnet.de/verband/bvd-blog/post/2015/09/15/konzernprivileg-und-datenschutz-die-verantwortliche-stelle.html