Was EU- und US-Unternehmen erwartet

Datenschutz nach dem Brexit

Regina Mühlich ist Inhaberin der Managementberatung AdOrga Solutions. Sie ist anerk. und gepr. Sachverständige für IT und Datenschutz, Datenschutz-Auditorin und Datenschutzbeauftragte sowie Qualitätsmanagementbeauftragte und Projektmanagerin. Sie war über 20 Jahre in internationalen Unternehmen als COO, Leiterin Projekt-, Qualitätsmanagement und Konzerndatenschutzbeauftragte tätig.
Großbritannien hat sich für den Austritt aus der EU entschieden. Was bedeutet der Ausstieg für den Datenschutz?

Kurzum: Eine Datenübermittlung erfolgt nicht mehr innerhalb der EU. Nach dem Brexit wird Großbritannien zum Drittstaat. Sämtliche Verhältnisse mit britischen Unternehmen oder Unternehmen mit Standorten in Großbritannien, bei denen personenbezogene Daten übermittelt werden, müssen geprüft und neu vereinbart werden. Eine Vereinbarung über die Verarbeitung von personenbezogenen Daten gemäß §11 BDSG (Auftragsdatenverarbeitung) ist nicht mehr ausreichend.

Großbritanniens Volk hat entschieden: Die EU-Entscheider sollen im Königreich keinen Einfluss mehr haben, der Austritt aus der Europäischen Union ist beschlossene Sache.
Großbritanniens Volk hat entschieden: Die EU-Entscheider sollen im Königreich keinen Einfluss mehr haben, der Austritt aus der Europäischen Union ist beschlossene Sache.
Foto: shockfactor.de - www.shutterstock.com

Die EU-Datenschutzgrundverordnung (DSGVO) wird ab dem 25. Mai 2018 europaweit gültig (alles zu den Folgen für Unternehmen lesen Sie auch in unserem "COMPUTERWOCHE-Insider" zur Datenschutzreform). Solange Großbritannien noch EU-Mitglied ist, wird diese Regelung unmittelbar greifen. Großbritannien wird sich also mit allen anderen EU-Mitgliedstaaten ein weitgehend einheitliches Datenschutzrecht teilen. Solange Großbritannien noch zur EU gehört, zählt es damit weiterhin zum "datenschutzrechtlichen Binnenraum".

Blick in die Kristallkugel

Nach der Übergangszeit, die die EU bis zum endgültigen Austritt sicherlich einräumen wird? Großbritannien wird aus Datenschutzsicht zum Drittland. Es ist dabei nicht gewährleistet, dass Großbritannien automatisch ein entsprechendes Datenschutzniveau (Angemessenheitsentscheidung) bestätigt wird.

Szenario 1: Großbritannien ist vor dem 25. Mai 2018 kein EU-Mitglied mehr

Es gelten die Regelungen des Bundesdatenschutzgesetzes (BDSG): die Vorschriften über den Datentransfer in Drittstaaten nach §4b und §4c BDSG.

Wer personenbezogene Daten in ein Drittland übermitteln will, muss sicherstellen, dass auch in diesem Zielstaat ein angemessenes Datenschutzniveau gewährleistet ist.

Prüfen der Zulässigkeit der Datenübermittlung in Drittstaaten in einem zweistufen Verfahren:

• Erste Stufe: Ist die Datenübermittlung als solche nach nationalen Datenschutzvorschriften (insbesondere §28 und §32 BDSG) zulässig?

• Zweite Stufe: Werden die besonderen Anforderungen bzgl. des Drittstaatentransfers nach §§4b, 4c BDSG im Zielstaat eingehalten, kurz gesagt: herrscht im Zielstaat ein angemessenes Datenschutzniveau?

Auch die Weitergabe von Daten innerhalb eines Konzerns stellt eine datenschutzrechtlich relevante Datenübermittlung dar. Das BDSG kennt kein Konzernprivileg. Ein angemessenes Datenschutzniveau setzt eine nationale Gesetzgebung in dem Drittstaat voraus, die die wesentlichen Datenschutzgrundsätze in einer Weise festlegt, wie sie auch für das Datenschutzrecht der EU und der EU-Mitgliedsstaaten gelten.

Szenario 2: Großbritannien ist nach dem 25. Mai 2018 kein EU-Mitglied mehr

Die Unternehmen mit Sitz in Großbritannien werden sicherlich weiterhin Geschäfte mit Ländern in der EU machen wollen. Es gelten hier die in der verabschiedeten EU-DSGVO verankerten Richtlinien und Vorgaben. Großbritannien kann sich mit dem Austritt aus der EU nicht von der DSGVO "verabschieden". Unter anderem regelt Art. 3 der DSGVO den räumlichen Anwendungsbereich, hier Absatz 2 "Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der Union befinden, durch einen nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter, wenn die Datenverarbeitung im Zusammenhang damit steht."

Es gelten außerdem die Vorschriften über den Datentransfer in Drittstaaten nach Art. 44 ff DSGVO. Damit müsste grundsätzlich sichergestellt sein, dass angemessene Schutzmaßnahmen in Großbritannien als Drittstaat durch die Zielunternehmen bestehen (Art. 46 DSGVO). Diese Maßnahmen beinhalten Standardvertragsklauseln, Binding Corporate Rules oder ähnliche Instrumente. Auftragsdatenverarbeitung ist bei Anwendung der zusätzlichen Instrumente nach der DSGVO auch in Drittstaaten möglich.

Die nächsten Schritte

Der Austritt Großbritanniens aus der EU wird nicht von heute auf morgen abgeschlossen sein. Großbritannien bleibt trotz Referendum erstmal vollwertiges Mitglied. Erst wenn sie einen Antrag stellt, beginnt eine zweijährige Frist für die Verhandlungen. Der Austritt Großbritanniens aus der EU wird also nicht von heute auf morgen abgeschlossen sein.

Auf Unternehmen, die Daten mit britischen Empfängern austauschen, kommen auf jeden Fall bei einem Austritt, egal zu welchem Zeitpunkt, grundlegende Veränderungen zu und sie sollten schon jetzt prüfen, welche Datenflüsse von und nach Großbritannien gehen.

Ich empfehle unseren Kunden, die Gelegenheit zu nutzen bestehende Dokumentationen im Hinblick auf Großbritannien zu überprüfen und Verträge, konkret Auftragsdatenverarbeitungen gemäß §11 BDSG. Vor allem im Hinblick auf Regelungen zu Unterauftragsverhältnissen. Ein aktueller Stand ist immer von Vorteil und stellen Sie einen Aktionsplan für den Fall der Fälle auf.

Es gibt keinen Grund zur Panik und zur Hektik, solange man vorbereitet ist. Datenschutz ist kein Produkt, sondern ein Prozess. (sh)