Am 23. Juni 2016 stimmten die Wähler von Großbritannien mehrheitlich für den Austritt aus der Europäischen Union („Brexit“). Gemäß Artikel 50 des EU-Grundlagenvertrages über die Europäische Union („Vertrag von Lissabon“) [1] muss der Austrittsprozess durch die Mitteilung der britischen Regierung an den Europäischen Rat rechtlich wirksam in die Wege geleitet werden. Die britische Premierministerin, Theresa May, gab im Oktober 2016 bekannt, dass der Austrittsvorgang bis Ende März 2017 in Gang gesetzt werden soll. Mit einem Austritt ist, nach der vertraglichen zweijährigen Verhandlungsperiode, im März 2019 zu rechnen [2] .
Vor-Geschichte:
Das Vereinigte Königreich trat 1973 der Europäischen Wirtschaftsgemeinschaft (EWG, Vorläufer der EU) bei, und die Volksabstimmung 1975 bestätigte diesen Schritt mit einer Mehrheit von 67 %. Historische Meinungsumfragen 1973 bis 2015 zeigten zumeist deutliche Mehrheiten der Briten für einen Verbleib in der Europäischen Wirtschaftsgemeinschaft oder Europäischen Union. In den 1970ern und 1980ern wurde der Austritt der Britten aus der EWG hauptsächlich von Politikern der Labour Party und von den Gewerkschaften gefordert. Wohingegen seit den 1990ern der Austritt aus der EU hauptsächlich von einigen Politikern der Konservativen und der neu gegründeten UKIP (UK Independence Party, Partei für die Unabhängigkeit des Vereinigten Königreichs) gefordert wurde [3] .
Status Quo heute:
• Großbritannien hat bisher keinen Antrag nach Artikel 50 des Vertrages von Lissabon, der den Austrittsprozess regelt, gestellt. Dies wird wohl Ende März 2017 der Fall sein.
• Bis zum Austritt, d. h. ab 25. Mai 2018, müssen sich alle Unternehmen aus Großbritannien an die Regelungen der DSGVO halten.
Auswirkungen des Ausstiegs von Großbritannien auf den Datenschutz
Die Datenschutzgrundverordnung (DSGVO) wird ab 28. Mai 2018 europaweit gültig (Art. 99 DSGVO). Solange Großbritannien noch Mitglied der Europäischen Union ist, ist es auch an die Datenschutzgrundverordnung gebunden und muss die einzelnen Reglungen bis dahin, wie jedes andere EU-Land, umgesetzt haben.
Nach dem Ausstieg ist Großbritannien als Drittland im Sinne des Datenschutzrechts einzustufen. Es sind die Artikel 44 bis 50 DSGVO anzuwenden. So darf u. a. jedwede Übermittlung von personenbezogenen Daten nach Großbritannien nur dann vorgenommen werden, wenn die Kommission beschlossen hat, dass Großbritannien ein angemessenes Schutzniveau bietet.
Ein Vorteil, wenn sich der Austritt bis nach 28. Mai 2018 „verzögert“: Ein angemessenes Datenschutzniveau bzw. das gleiche Niveau wie innerhalb der Europäischen Union ist (sollte) gewährleistet sein. Dies erleichtert die Verhandlungen über die Einstufung von Großbritannien, d. h. einer Anerkennung als sicherer Drittstaat gemäß Art. 46 DSGVO sollte nichts im Wege stehen.
Großbritannien ist ab März 2019 kein EU-Mitglied mehr
Nach der Übergangszeit, der zweijährigen Verhandlungsperiode, wird Großbritannien aus Datenschutzsicht zum Drittland. Der wichtigste Unterschied wird sein, dass die Daten von Bürgern aus Großbritannien nicht mehr unter die DS-GVO fallen. Die Daten aller EU-Bürger allerdings schon.
Sämtliche Verhältnisse mit britischen Unternehmen oder Unternehmen mit Standorten in Großbritannien, bei denen personenbezogene Daten übermittelt werden, müssen geprüft und neu vereinbart werden. Eine Vereinbarung über die Verarbeitung von personenbezogenen Daten gemäß Artt. 28, 29 DSGVO (Auftragsverarbeiter) [4] ist nicht mehr ausreichend.
Die Unternehmen mit Sitz in Großbritannien werden sicherlich weiterhin Geschäfte mit Ländern in der Europäischen Union machen wollen, wie auch EU-Unternehmen mit Großbritannien. Es gelten hier die in der verabschiedeten DSGVO verankerten Richtlinien und Vorgaben. Großbritannien kann sich mit dem Austritt aus der EU nicht von der DSGVO „verabschieden“. U. a. regelt Art. 3 der DSGVO den räumlichen Anwendungsbereich, hier Abs. 2 „Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der Union befinden, durch einen nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter, wenn die Datenverarbeitung im Zusammenhang damit steht.“
Es gelten außerdem die Vorschriften über den Datentransfer in Drittstaaten nach Art. 44 ff DSGVO
Damit müsste grundsätzlich sichergestellt sein, dass angemessene Schutzmaßnahmen in Großbritannien als Drittstaat durch die Zielunternehmen bestehen (Art. 46 DSGVO). Diese Maßnahmen beinhalten Standardvertragsklauseln, Binding Corporate Rules o.ä. Instrumente. Auftragsdatenverarbeitung ist bei Anwendung der zusätzlichen Instrumente nach der DSGVO auch in Drittstaaten möglich.
Unternehmen aus Großbritannien müssen Strategien entwickeln, wie sie damit umgehen können und müssen.
Welche Herausforderungen entstehen?
Mit dem Austritt entstehen einige Herausforderungen für die Unternehmen und es gilt sich einen umfassenden Überblick über die Daten zu verschaffen:
- Einhaltung der Betroffenenrechte
wie z. B. das Recht auf Vergessen (Art. 17 DSGVO) Wie kann gewährleistet werden, dass der Betroffene sein Recht wahrnehmen kann? - Auch die Weitergabe von Daten innerhalb eines Konzerns (verbundene Unternehmen) stellt eine datenschutzrechtlich relevante Datenübermittlung dar. Die DSGVO kennt, wie auch das Bundesdatenschutzgesetz (BDSG) kein Konzernprivileg. Ein angemessenes Datenschutzniveau setzt eine nationale Gesetzgebung in dem Drittstaat voraus, die die wesentlichen Datenschutzgrundsätze in einer Weise festlegt, wie sie auch für das Datenschutzrecht der EU und der EU-Mitgliedsstaaten gelten. Das bedeutet, dass das Mutter- bzw. Tochterunternehmen wie ein „fremdes Unternehmen“ zu betrachten und dementsprechend zu agieren ist. [5]
Szenario Großbritannien ist vor dem 25. Mai 2018 kein EU-Mitglied mehr
Aufgrund der zweijährigen Verhandlungsperiode ist dieses Szenario eigentlich nicht mehr möglich. Der Vollständigkeit halber möchte ich es aber dennoch erwähnen:
Es gelten die Regelungen des Bundesdatenschutzgesetzes (BDSG): die Vorschriften über den Datentransfer in Drittstaaten nach § 4b und § 4c BDSG.
Wer personenbezogene Daten in ein Drittland übermitteln will, muss sicherstellen, dass auch in diesem Zielstaat ein angemessenes Datenschutzniveau gewährleistet ist.
Prüfen der Zulässigkeit der Datenübermittlung in Drittstaaten in einem zweistufen Verfahren:
Erste Stufe: Ist die Datenübermittlung als solche nach nationalen Datenschutzvorschriften (insbesondere § 28 und § 32 BDSG) zulässig?
Zweite Stufe: Werden die besonderen Anforderungen bzgl. des Drittstaatentransfers nach §§ 4b, 4c BDSG im Zielstaat eingehalten, kurz gesagt: herrscht im Zielstaat ein angemessenes Datenschutzniveau?
Ausblick
Großbritannien bleibt trotz Referendum bis auf Weiteres ein vollwertiges Mitglied. Erst wenn es einen Antrag nach Artikel 50 des Vertrages von Lissabon stellt, beginnt eine zweijährige Frist für die Verhandlungen. Sollte kein Antrag gestellt werden, ändert sich nichts. Der Austritt Großbritanniens aus der EU wird also nicht von heute auf morgen abgeschlossen sein.
Auf Unternehmen, die Daten mit britischen Empfängern austauschen, kommen auf jeden Fall dann grundlegende Veränderungen zu und sie sollten schon jetzt prüfen, welche Datenflüsse von und nach Großbritannien gehen. Insbesondere aus Sicht des deutschen Datenschutzrechts (BDSG) sind die Herausforderungen mit Drittländern keine neuen Herausforderungen. Man wird sich in erster Linie aus Datenschutzsicht – und dies gilt vor allem für verbundene Unternehmen – von alten „Datenübermittlungs-Gewohnheiten“ sowie den damit einhergehenden Prozessen verabschieden müssen. Unser Spruch „Datenschutz ist kein Produkt, Datenschutz ist ein Prozess.“ greift hier mehr denn je. Es gibt also keinen Grund zur Panik und zur Hektik, solange man vorbereitet ist.
Die Autorin:
Regina Mühlich, Inhaberin der Managementberatung AdOrga Solutions in München
Expertin für Datenschutz und Qualitätsmanagement
Zu ihren fachlichen Kompetenzen zählen der internationale Datenschutz, Implementierung BCM (ISO 22301) und ISO 9001 (zert. Datenschutz-Auditorin, anerk. + geprf. Sachverständige für IT und Datenschutz, zert. Qualitätsmanagementbeauftragte sowie Auditorin für Qualitätsmanagement).
———————————————————–
[1] EU-Vertrag, Titel VI, Schlussbestimmungen https://dejure.org/gesetze/EU/50.html
[2] Brexit: PM to trigger Article 50 by end of March BBC News, 2. Oktober 2016, abgerufen am 2. Oktober 2016 (englisch).
[3] https://de.wikipedio.org/wiki/[4] DS-GVO http://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=OJ:L:2016:119:FULL&from=DE[5] BvD Blog Konzernprivileg und Datenschutz https://www.bvdnet.de/verband/bvd-blog/post/2015/09/15/konzernprivileg-und-datenschutz-die-verantwortliche-stelle.html