Die Briten haben am 23.06.2016 für den EU-Ausstieg gestimmt – welche Folgen wird der Brexit auf das Datenschutzrecht und die Datenübermittlung nach Großbritannien haben? Ein erster Überblick.
Inhalt
Referendum am 23.06.2016: Knappe Mehrheit für den Brexit
Knapp 52 Prozent der Wählerinnen und Wähler stimmten am 23.06.2016 für den Brexit.
Zunächst bleibt Großbritannien Mitglied der EU. Die Regierung in London muss nun mit Brüssel über die Bedingungen des Austritts und die zukünftigen Beziehungen verhandeln. Diese Verhandlungen können sich über mehrere Jahre hinziehen.
Brexit: Auswirkung auf das Datenschutzrecht
Solange Großbritannien noch Teil der EU ist, wird dort auch die zukünftig geltende Datenschutzgrundverordnung – Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 – unmittelbar gelten. Großbritannien wird sich also mit allen anderen EU-Mitgliedstaaten ein weitgehend einheitliches Datenschutzrecht – mit Ausnahme der Öffnungsklauseln – teilen. Solange Großbritannien noch Mitglied der EU ist, zählt es für die grenzüberschreitenden Datentransfer weiterhin zum „datenschutzrechtlichen Binnenraum“.
Großbritannien wird datenschutzrechtliches Drittland
Mit dem Ende der EU-Mitgliedschaft ändert sich das: Großbritannien gehört dann nicht mehr zum Binnenraum, sondern wird „Drittland“ – so wie etwa die USA.
Wer personenbezogene Daten in ein Drittland übermitteln will, muss zunächst sicherstellen, dass auch in diesem Zielstaat ein angemessenes Datenschutzniveau gewährleistet ist. Erforderlich ist also eine Zwei-Stufen-Prüfung:
- Ist die Datenübermittlung als solche nach §§ 28 – 30a BDSG zulässig (erste Stufe)?
- Herrscht im Zielstaat angemessenes Datenschutzniveau (zweite Stufe)?
Auf Unternehmen kommen grundlegende Veränderungen zu
Auch der Datenaustausch innerhalb eines Konzerns stellt eine Datenübermittlung dar – es gibt kein datenschutzrechtliches Konzernprivileg. Ein angemessenes Datenschutzniveau setzt eine nationale Gesetzgebung in dem Drittstaat voraus, die die wesentlichen Datenschutzgrundsätze in einer Weise festlegt, wie sie auch für das Datenschutzrecht der EU und der EU-Mitgliedsstaaten gelten.
Die Internet-Überwachung durch den britischen Geheimdienst ist zumindest ein Hinweis darauf, dass die grundsätzlichen Vorstellungen vom Datenschutz diesseits und jenseits des Ärmelkanals unterschiedlich sind.
Der Austritt Großbritanniens aus der EU wird nicht von jetzt auf dann abgeschlossen sein. „Same procedure as usual“ bietet seit dem 23.06.2016 keine Zukunftsperspektive mehr. Auf Unternehmen, die Daten mit britischen Empfängern austauschen, kommen grundlegende Veränderungen zu.
© RA Stefan Loebisch | Kontakt