Die Auswirkungen des Brexit auf den Datenschutz sind noch offen - Anlass für Panik besteht derzeit aber nicht!
Seit dem 23. Juni 2016 scheint festzustehen, dass der „Brexit″ kommt. Der Austritt Großbritanniens aus der Europäischen Union hätte auch Auswirkungen auf die rechtlichen Rahmenbedingungen zur Verarbeitung personenbezogener Daten, denn der einstmalige Mitgliedsstaat könnte am Ende zu einem (jedenfalls datenschutzrechtlich) unsicheren Drittland werden. Konkrete Folgen für Unternehmen diesseits und jenseits des Ärmelkanals werden aber von der konkreten Ausgestaltung des Brexit abhängen.
In der aktuellen Unsicherheit um die Umsetzung des Referendums steht eines fest: Vorerst bleibt Großbritannien ein EU-Mitgliedsstaat, denn der Austritt setzt den Abschluss eines Verfahrens voraus, das in Artikel 50 des Vertrages über die Europäische Union geregelt ist.
Zur Einleitung dieses Verfahrens muss Großbritannien (möglicherweise auf Grundlage eines Parlamentsbeschlusses) dem Europäischen Rat seine entsprechende Absicht mitteilen. Erst dann können die Verhandlungen über die zukünftige Gestaltung der Rechtsbeziehungen zwischen Großbritannien und der EU beginnen – und erst in diesem Rahmen wird Klarheit über die Auswirkungen auf die Erhebung, Verarbeitung und Nutzung personenbezogener Daten (etwa von Kunden oder Beschäftigten) geschaffen werden können.
Der datenschutzrechtliche Rahmen
Bislang profitierte Großbritannien wie jeder andere EU-Mitgliedsstaat von dem einheitlichen Datenschutzniveau innerhalb der EU. Sofern personenbezogene Daten von einem Unternehmen in der EU an einen Empfänger in einem anderen EU-Mitgliedsstaat (oder einem Land im Europäischen Wirtschaftsraum) übermittelt werden dürfen, ist dies ohne ergänzende rechtliche Voraussetzungen möglich. Anders ist die bei Empfängern außerhalb von EU und EWR: Diese Staaten gelten aus Sicht des EU-Datenschutzrechts grundsätzlich als „unsicher″, und auch die nach allgemeinen datenschutzrechtlichen Voraussetzungen zulässige Übermittlung bedarf ergänzender Maßnahmen zur Sicherung eines angemessenen Datenschutzniveaus.
Für einige Länder hat die EU-Kommission das erforderliche Schutzniveau im Rahmen von Angemessenheitsentscheidungen positiv festgestellt. Hierzu gehören Andorra, Argentinien, Kanada, Schweiz, Faröer-Inseln, Guernsey, Israel, Isle of Man, Jersey, Neuseeland und Uruguay. Für die USA bestand bis zur Safe Harbor-Entscheidung des Europäischen Gerichtshofs im Oktober 2015 die Möglichkeit, das angemessene Datenschutzniveau durch eine Selbstzertifizierung des US-Empfängers zu gewährleisten; über die Nachfolgeregelung – den sog. „EU-US Privacy Shield″ wird aktuell entschieden.
Für internationale Datentransfers innerhalb von Konzernen können verbindliche Unternehmensregeln („Binding Corporate Rules″), ansonsten vertragliche Vereinbarungen auf Grundlage der „EU Standardvertragsklauseln″ als Grundlage eines angemessenen Datenschutzniveaus dienen; letztere werden in absehbarer Zeit wohl gerichtlich überprüft werden.
Bis auf weiteres: Datenschutz in Großbritannien ist EU-konform
Solange Großbritannien Mitglied in der EU ist, ändert sich in puncto Datenschutz nichts: Die geltende EU-Datenschutzrichtlinie ist in Großbritannien durch den „Data Protection Act 1998″ umgesetzt worden. Gleichwohl hat das Information Commissioner’s Office (ICO) als britische Datenschutz-Aufsichtsbehörde angekündigt, die möglichen Folgen des Brexit-Referendums mit der Regierung zu diskutieren. Bereits vor dem Referendum hatte die Behörde geäußert, dass Großbritannien ungeachtet eines möglichen Brexit auf klare und effektive Datenschutzgesetze angewiesen sei.
Wesentliche Weichenstellungen
Eine wesentliche Weichenstellung wird sich aus der zukünftigen Gestaltung der Beziehungen zwischen der Großbritannien und der EU ergeben. Hierzu werden aktuell drei mögliche Szenarien diskutiert:
- Option 1 – Das „Norwegen″-Szenario: Großbritannien wird Mitglied im EWR und datenschutzrechtlich – wie die bisherigen EWR-Mitglieder Norwegen, Island und Liechtenstein – als sicheres Drittland behandelt. Für Datenübermittlungen nach Großbritannien ändert sich damit nichts.
- Option 2 – Das „Schweiz″ Szenario: Großbritannien folgt dem Vorbild der Schweiz und erkennt bestimmte Elemente des EU-Rechts im Rahmen von separaten Vereinbarungen an. Hierzu könnten auch die EU-Datenschutzrichtlinie oder die zukünftige EU-Datenschutz-Grundverordnung gehören.
- Option 3- Das „Drittstaat″-Szenario: Im dritten Szenario gäbe es keine (kurz- oder mittelfristige) Einigung zwischen dem Vereinigten Königreich und der EU. In diesem Fall würde das Vereinigte Königreich zu einem „Drittstaat″, d.h. für grenzüberschreitende Datentransfers gälten grundsätzlich die gleichen Regelungen wie für Übermittlungen nach Afrika oder Asien.
Die vorgenannten Optionen blieben übrigens auch dann relevant, wenn die Verhandlungen zwischen Großbritannien und der EU über den 25. Mai 2018 hinaus andauerten. Ab diesem Tag ist die neue EU Datenschutz-Grundverordnung („DSGVO″) anwendbar, die am 04. Mai 2016 im Amtsblatt der Europäischen Union veröffentlicht wurde. Diese wäre auch im „Norwegen″-Szenario relevant, denn die DSGVO gilt als „Text mit Bedeutung für den EWR″ auch in den EWR-Ländern. Selbst im „Schweiz″- oder im „Drittstaat″-Szenario könnte die DSGVO bedeutsam bleiben, wenn Großbritannien die DSGVO im Rahmen von separaten Vereinbarungen anerkennt oder – als „Drittstaat″ – die Einhaltung der DSGVO gewährleistet. Letzteres könnte z.B. Grundlage für eine Angemessenheitsentscheidung der Europäischen Kommission sein, die Großbritannien dann auf dieser Grundlage ein angemessenes Datenschutzniveau attestiert.
Unsere Kolleginnen und Kollegen aus dem Vereinigten Königreich haben sich diesen zukünftigen Szenarien rund um die neue Datenschutz-Verordnung auf unserer internationalen Plattform „Law-Now″ gewidmet.
Handlungsbedarf für Unternehmen?
Datenschutzverantwortliche in Unternehmen mit geschäftlichen oder gesellschaftsrechtlichen Verbindungen ins Vereinigte Königreich werden (und sollten!) die weitere Entwicklung rund um den Brexit intensiv verfolgen. Ob sich hieraus wesentlicher Handlungsbedarf für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten ergibt – also etwa Verträge, Betriebsvereinbarungen oder sonstige Regelwerke angepasst werden müssen – wird sich verlässlich erst im Laufe des Austrittsverfahrens beurteilen lassen.
Weitere rechtliche Aspekte sowie eine „Checkliste Brexit″ finden Sie in unserem internationalen Angebot Law-Now. Hier im Blog gibt es weitere Brexit-Informationen zu Dispute Resolution, zu den Folgen für die europäischen Schutzrechte des geistigen Eigentums, Informationen für Arbeitgeber und Arbeitnehmer und was bei einer Limited oder einer Sitzverlegung von Unternehmen zu beachten ist.
