Brexit und die Folgen für das Datenschutzrecht

Die Bürger Großbritanniens haben am 23.06.2016 für den Austritt aus der Europäischen Union (EU) gestimmt – doch welche Folgen wird der Brexit (Brexit setzt sich aus den Begriffen „Britain“ und „Exit“ zusammen) auf das Datenschutzrecht und die Datenübermittlung nach Großbritannien haben?

Momentan gilt für internationale Datentransfers die EU-Datenschutzrichtlinie bzw. deren Umsetzung in den nationalen Datenschutzgesetzen der EU-Mitgliedsstaaten. Diese wird jedoch am 25.05.2018 durch die europäische Datenschutzgrundverordnung (DSGVO) – Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 – ersetzt, welche grundsätzlich für alle Mitgliedsstaaten der EU (Art. 3 Abs. 1 DSGVO) gilt und dann für Unternehmen und Behörden anwendbar wird.

Beiden Rechtsvorschriften liegt eine Differenzierung der Anforderung internationaler Datentransfers zugrunde mit enormen Privilegierungen für den Datentransfer innerhalb der EU und des Europäischen Wirtschaftsraums (EWR). Das bedeutet unter anderem, dass die EU-Datenschutzrichtlinie als auch die DSGVO davon ausgehen, dass in jedem der Mitgliedsstaaten des EWR ein angemessenes Datenschutzniveau während eines Datentransfers herrscht. Durch das Votum für einen Brexit ist Großbritannien nicht mehr Teil der EU, so dass sich dieses mit allen anderen EU-Mitgliedstaaten kein einheitliches Datenschutzrecht mehr teilt. Es zählt nicht mehr zum „datenschutzrechtlichen Binnenraum“, sondern wird „Drittland“ – so wie etwa die USA. Eine freie Datenübermittlung nach den allgemeinen EU-Grundsätzen ist nicht mehr möglich, vielmehr greifen nun die Vorschriften über die Datentransfers in Drittstaaten nach Art. 44 ff. DSGVO.

Großbritannien muss ein angemessenes Datenschutzniveau sicherstellen

Großbritannien muss also künftig ein angemessenes Datenschutzniveau sicherstellen (Art. 46 DSGVO). Erforderlich ist hierfür eine Zwei-Stufen-Prüfung: Ist die Datenübermittlung als solche nach Art. 6 DSGVO zulässig (erste Stufe) Und: Herrscht im Zielstaat, einem Gebiet oder einem oder mehreren spezifischen Sektoren im Drittland ein angemessenes Datenschutzniveau bzw. können geeignete Garantien geschaffen werden (zweite Stufe).

Ein angemessenes Datenschutzniveau wiederum setzt grundsätzlich eine Gesetzgebung voraus, die die wesentlichen Datenschutzgrundsätze festlegt, wie sie auch in den europäischen Regelungen enthalten sind. Die Europäische Kommission kann gemäß Art. 45 Abs. 1 DSGVO prüfen und feststellen, ob Großbritannien ein mit der EU vergleichbares Datenschutzniveau aufweist (Angemessenheitsentscheidung). Im Falle einer Angemessenheitsentscheidung hätte Großbritannien trotz Brexit den Status eines „sicheren Drittstaates“, für den grundsätzlich die gleichen Rechte wie innerhalb der EU gelten.

Sofern keine Angemessenheitsenscheidung ergeht, ist eine Datenübermittlung vorbehaltlich geeigneter Garantien (Art. 46 DSGVO) möglich. Geeigneten Garantien, die durch die verantwortliche Stelle zu schaffen sind, sind beispielsweise die Verwendung sogenannter „Binding Corporate Rules“ bzw. verbindliche interne Datenschutzvorschriften (Art. 47 DSGVO), die jedoch von der zuständigen Aufsichtsbehörde genehmigt werden müssen. Darüber hinaus können Standarddatenschutzklauseln oder interne Verhaltensregeln (Art. 40 DSGVO) eine geeignete Garantie darstellen.

Fazit zu Brexit und Folgen für das Datenschutzrecht mit Praxisempfehlungen

Der Brexit stellt ein reichlich schwieriges Unterfangen für Unternehmen in Großbritannien dar, da viele Anbieter, gerade im Bereich Cloud oder Finance, ihren Sitz dort haben. Die Herausforderung dabei wird der datenschutzkonforme Transfer personenbezogener Daten dorthin sein, sofern keine Angemessenheitsentscheidung ergeht.

Haben Sie Fragen? Kontaktieren Sie gerne: RA Nicole Schmidt, LL.M.
Leistung: Beratung Datenschutzrecht

 

Tags: , , , , , , , , , , , , ,

Comments are closed.