Zum Inhalt springen Zur Navigation springen
BREXIT auch im Datenschutz?

BREXIT auch im Datenschutz?

Heute möchten wir mal einen Blick in die Datenschutz-Glaskugel werfen. Am 23. Juni 2016 werden die Briten per Referendum über den Verbleib in der Europäischen Union (EU) entscheiden und die Wirtschaft wappnet sich schon mal für den Ernstfall. Wird es auch einen BREXIT im Datenschutz geben?

Was bedeutet BREXIT?

Das Wort BREXIT ist ein Kunstwort. BREXIT setzt sich aus den Begriffen „Britain“ und „Exit“ zusammen und steht für die stete Diskussion eines Austritts von Großbritannien aus der EU; ein Szenario, das die Wirtschaft derzeit in starke Aufregung versetzt.

Das britische Volk hat beim Referendum über die Frage abzustimmen, ob Großbritannien Mitglied der Europäischen Union bleibt oder diese verlassen sollte. Stimmt die Mehrheit mit „Nein“, müsste die britische Regierung nach dem EU-Vertrag ein Abkommen mit der Union verhandeln, das sowohl die Einzelheiten des Austritts als auch die künftigen Beziehungen zur EU regeln wird. Man möchte sich gar nicht wirklich vorstellen, was ein Austritt für die Wirtschaft bedeuten würde. Deswegen haben in Brüssel, wie der Spiegel berichtet, bereits erste Vorbereitungen begonnen.

BREXIT auch im Datenschutz?

Aber wie sieht es im Datenschutz aus? Um diese Frage zu beantworten müsste man eigentlich die Entscheidung vom 23. Juni 2016 und die darauf folgenden 2 Jahre, die von intensiven Verhandlungen geprägt sein dürften, kennen. Wir möchten jedoch an dieser Stelle einen kurzen Blick in die Datenschutz-Glaskugel werfen. Bedeutet der BREXIT auch gleich ein BREXIT im Datenschutz?

Votum gegen den BREXIT

Sollten sich die Briten am 23. Juni gegen einen Austritt von Großbritannien aus der EU entscheiden, ist die Situation recht simpel – alles bleibt beim Alten. Großbritannien ist weiterhin Teil der EU und die zukünftig geltende Datenschutzgrundverordnung (DSGVO) findet direkte Anwendung. Damit würde sich Großbritannien mit allen Mitgliedstaaten ein relativ einheitliches Datenschutzrecht (mit Ausnahme der Öffnungsklauseln) teilen.

Votum für einen BREXIT

Sollten die Briten sich hingegen für einen Austritt von Großbritannien entscheiden, könnte die Datenschutz-Welt auf den Kopf gestellt werden. Einerseits haben viele Unternehmen einen Sitz oder ihre Muttergesellschaft in Großbritannien; andererseits übermitteln zahlreiche Unternehmen Daten nach Großbritannien – sei es auf Grund eines konzernweiten Shared Services, der dort angesiedelt ist, oder weil sie dort einen Dienstleister beschäftigen – die Möglichkeiten sind endlos.

Bei einem Votum für einen BREXIT würde eine Datenübermittlung nicht mehr so einfach von statten gehen, da man bei der Datenübermittlung außerhalb der EU/EWR ein angemessenes Datenschutzniveau sicherstellen muss. In diesem Fall, hätte Großbritannien theoretische die Möglichkeit ein eigenes Datenschutzrecht zu schaffen, da es sich weder an der Datenschutzrichtlinie 95/46/EG orientieren muss noch die DSGVO direkte Anwendung findet.

Neue Datenschutzgesetze für Großbritannien?

Natürlich könnte ein eigenes UK Datenschutzrecht gewisse Vorteile für Unternehmen bedeuten, aber ist ein solches Szenario wirklich sinnvoll und praktikabel? Wohl eher nicht. Aus datenschutzrechtlicher Sicht wäre ein eigenständiges Datenschutzrecht wohl eher unpraktikabel. Großbritannien würde sich von einem System, in dem Europa eine Vorreiterrolle innehat, isolieren, obwohl sie ihm Jahre lang gefolgt sind.

Orientierung am EU-Datenschutzrecht

Realistischer wäre wohl die Annahme, dass Großbritannien in Falle eines Austritts aus der EU sich weiterhin an dieser orientieren würde. Bereits jetzt wappnet sich die britische Aufsichtsbehörde, das Information Commissioner’s Office (ICO), für die DSGVO und gibt Handreichungen zur Implementierung heraus. Die Orientierung an der EU ist auch wesentlich praktikabler, bedenkt man, dass das britische Datenschutzrecht sich nunmehr mehr als 10 Jahre lang bereits am EU Recht orientiert hat. Warum sollte sich also etwas ändern?

Angemessenes Datenschutzniveau

Im Falle eines Austritts müsste bei der Übermittlung von personenbezogenen Daten ein angemessenes Datenschutzniveau zum Zielstaat (Großbritannien) sichergestellt werden (2-Stufen Prüfung). Ein angemessenes Datenschutzniveau setzt grundsätzlich eine Gesetzgebung voraus, die die wesentlichen Datenschutzgrundsätze festlegt, wie sie auch in der europäischen Datenschutzrichtlinie enthalten sind. Da es wohl realistischer ist, dass sich Großbritannien weiterhin an der EU orientieren würde, wäre es beim BREXIT-Szenario absehbar, dass sich Großbritannien ein angemessenes Datenschutzniveau durch die Europäische Kommission, ebenso wie u.a. die Schweiz, attestieren lassen würde.

BREXIT oder kein BREXIT

…. das ist die Frage! Auch wenn ein BREXIT-Szenario wirtschaftlich große Wellen schlagen würde, würden sich die Wogen aus datenschutzrechtlicher Sicht wohl in Grenzen halten.

Update 24.06.2016 – BREXIT:

Nachdem sich die Briten am 23. Juni 2016 gegen einen Verbleib in der Europäischen Union entschieden haben, stellt sich für viele internationale Unternehmen die Frage, wie es weiter geht. Zu mindestens beim Datenschutz kann erstmal aufgeatmet werden. Das Information Comissioner’s Office beteuerte in einer Stellungnahme, dass

„die Richtlinie 95/46/EG weiterhin als Datenschutzgesetz Großbritanniens bestehen bleibt, ungeachtet des Ausgangs der BREXIT-Abstimmung.“

Die Stellungnahme wurde zwischenzeitlich dahingehend abgeändert, dass man die Regierung überzeugen will, die beschlossenen Reformen am Datenschutzrecht durch die Datenschutz-Grundverordnung zu übernehmen. Dieser Schritt sei der einzig logische, um ein angemessenes Datenschutzniveau zu schaffen, dass es dem Land erlaubt weiterhin mit dem europäischen Binnenmarkt Handel zu treiben.

Update 30.11.2016 – Investigatory Powers Bill:

Vor kurzem verabschiedete das britische Parlament die Investigatory Powers Bill. Das Gesetz räumt u.a. den britischen Strafverfolgungsbehörden weitreichende Befugnisse ein und ermöglicht erneut eine Vorratsdatenspeicherung (Näheres dazu: netzpolitk.org / Zeit.de). Dies könnte Auswirkungen auf Datentransfers in das Vereinigte Königreich haben.

Nach einem erfolgreichen BREXIT müsste ein angemessenes Datenschutzniveau in Großbritannien bestehen. Wenn sich die Briten bei ihrem neuen Datenschutzgesetz an den Vorgaben der Datenschutz-Grundverordnung orientieren würden, könnte ein solches per Angemessenheitsentscheidung durch die Europäische Kommission festgestellt werden.

Etwas anderes könnte sich aber nun durch die Investigatory Powers Bill ergeben. Die neuen Befugnisse der Geheimdienste könnten eine Rechtfertigung für Datentransfers nach Großbritannien nach vollzogenem BREXIT also erschweren. Denn der Europäische Gerichtshof erklärte schon letztes Jahr das Safe Harbor Abkommen, aufgrund der Massenüberwachung der US-Geheimdienste, für nichtig. Und auch das Nachfolgeabkommen, Privacy Shield, steht auf wackligen Beinen. Die Chancen auf eine Angemessenheitsentscheidung oder einem Abkommen mit der Europäischen Kommission stehen, dank der Ausweitung der Überwachungsbefugnisse des GCHQ, schlechter als zuvor.

Update 19.07.2017 – House of Lords:

Das House of Lords hat die Regierung aufgefordert, bei den Brexit Verhandlungen eine Adäquanzentscheidung seitens der EU anzustreben. Mehr dazu hier.

Update 09.01.2018 – EU-Kommission:

Die EU-Kommission hat in einer Stellungnahme mitgeteilt, dass Großbritannien mit Austritt am 30. März 2019 zu einem Drittland wird und nicht automatisch ein Angemessenheitsbeschluss erhält. Mehr dazu im unserem Beitrag Datentransfer mit UK nach dem BREXIT.

Update 26.05.2018 – Rede des EU-Chefverhandlers:

In einer Rede hat der EU-Chefverhandler anlässlich der Anwendbarkeit der DSGVO seine Position zu den britischen Forderungen im Datenschutz noch einmal deutlich gemacht:

Das Vereinigte Königreich möchte, dass seine Datenschutzaufsichtsbehörde einen Sitz im europäischen Datenschutzausschuss erhält und Teil des One-Stop-Shop System bleibt. Man meine dies sei im Interesse von europäischen Unternehmen.

Eins muss aber klar sein, der Brexit ist und wird auch nie im Interesse von europäischen Unternehmen sein. Und er wird besonders nicht im Interesse von europäischen Unternehmen sein, wenn wir dadurch die Beschlussfassungsautonomie der EU verlieren. Die Europäische Union kann und wird ihre Beschlussfassungsautonomie nicht mit einem Drittland teilen, dies umfasst auch einen ehemaligen Mitgliedstaat, der nicht mehr Teil desselben Rechtsrahmen sein möchte, dem wir alle angehören. Die komplette Rede finden Sie hier.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 31.12.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.