Veröffentlicht von:
Brexit und Datenschutzrecht: Unternehmen müssen Datentransfer nach Großbritannien neu regeln
- 2 Minuten Lesezeit
Die Briten haben am 23.06.2016 für den EU-Ausstieg gestimmt. Welche Folgen wird der Brexit auf das Datenschutzrecht haben? Ein erster Überblick:
Referendum am 23.06.2016: Knappe Mehrheit für den Brexit
51,9 Prozent der Stimmen fielen am 23.06.2016 für den Brexit aus.
Zunächst bleibt Großbritannien Mitglied der EU. Die Regierung in London wird nun mit Brüssel über die Austrittbedingungen und die zukünftigen Beziehungen zur EU und ihren restlichen Mitgliedsstaaten verhandeln. Diese Verhandlungen können sich über mehrere Jahre hinziehen.
Brexit hat Auswirkung auf das Datenschutzrecht
Solange Großbritannien noch EU-Mitglied ist, wird dort auch die zukünftig geltende Datenschutzgrundverordnung – Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 – unmittelbar greifen. Großbritannien wird sich also – Ausnahme: Öffnungsklauseln – mit allen anderen EU-Mitgliedstaaten ein weitgehend einheitliches Datenschutzrecht teilen. Solange Großbritannien noch zur EU gehört, zählt es damit weiterhin zum „datenschutzrechtlichen Binnenraum".
Die Zukunft: Großbritannien wird datenschutzrechtliches Drittland
Mit dem Ende der EU-Mitgliedschaft ändert sich das: Großbritannien gehört dann nicht mehr zum Binnenraum, sondern wird „Drittland" – so wie etwa die USA.
Wer personenbezogene Daten in ein Drittland übermitteln will, muss sicherstellen, dass auch in diesem Zielstaat ein angemessenes Datenschutzniveau gewährleistet ist. Erforderlich ist also eine Zwei-Stufen-Prüfung:
- Erste Stufe: Ist die Datenübermittlung als solche nach zulässig (§§ 28 – 30a BDSG)?
- Zweite Stufe: Herrscht im Zielstaat angemessenes Datenschutzniveau?
Auf Unternehmen kommen beim Datenaustausch grundlegende Veränderungen zu
Auch die Weitergabe von Daten innerhalb eines Konzerns stellt eine datenschutzrechtlich relevante Datenübermittlung dar: Es gibt kein datenschutzrechtliches Konzernprivileg. Ein angemessenes Datenschutzniveau setzt eine nationale Gesetzgebung in dem Drittstaat voraus, die die wesentlichen Datenschutzgrundsätze in einer Weise festlegt, wie sie auch für das Datenschutzrecht der EU und der EU-Mitgliedsstaaten gelten.
Die Internet-Überwachung durch die britischen Geheimdienste ist zumindest ein Hinweis darauf, diesseits und jenseits des Ärmelkanals unterschiedliche Vorstellungen herrschen, was das Datenschutzrecht erlauben und verbieten soll.
Der Austritt Großbritanniens aus der EU wird nicht von heute auf morgen abgeschlossen sein. Trotzdem: Auf Unternehmen, die Daten mit britischen Empfängern austauschen, kommen grundlegende Veränderungen zu. „Same procedure as usual" ist seit dem 23.06.2016 keine Zukunftsperspektive mehr.
Artikel teilen: