Kurzum: Eine Datenübermittlung erfolgt nicht mehr innerhalb der EU. Nach dem Brexit wird Großbritannien zum Drittstaat. Sämtliche Verhältnisse mit britischen Unternehmen oder Unternehmen mit Standorten in Großbritannien, bei denen personenbezogene Daten übermittelt werden, müssen geprüft und neu vereinbart werden. Eine Vereinbarung über die Verarbeitung von personenbezogenen Daten gemäß §11 BDSG (Auftragsdatenverarbeitung) ist nicht mehr ausreichend.
Die EU-Datenschutzgrundverordnung (DSGVO) wird ab dem 25. Mai 2018 europaweit gültig (alles zu den Folgen für Unternehmen lesen Sie auch in unserem "COMPUTERWOCHE-Insider" zur Datenschutzreform). Solange Großbritannien noch EU-Mitglied ist, wird diese Regelung unmittelbar greifen. Großbritannien wird sich also mit allen anderen EU-Mitgliedstaaten ein weitgehend einheitliches Datenschutzrecht teilen. Solange Großbritannien noch zur EU gehört, zählt es damit weiterhin zum "datenschutzrechtlichen Binnenraum".
Blick in die Kristallkugel
Nach der Übergangszeit, die die EU bis zum endgültigen Austritt sicherlich einräumen wird? Großbritannien wird aus Datenschutzsicht zum Drittland. Es ist dabei nicht gewährleistet, dass Großbritannien automatisch ein entsprechendes Datenschutzniveau (Angemessenheitsentscheidung) bestätigt wird.
Szenario 1: Großbritannien ist vor dem 25. Mai 2018 kein EU-Mitglied mehr
Es gelten die Regelungen des Bundesdatenschutzgesetzes (BDSG): die Vorschriften über den Datentransfer in Drittstaaten nach §4b und §4c BDSG.
Wer personenbezogene Daten in ein Drittland übermitteln will, muss sicherstellen, dass auch in diesem Zielstaat ein angemessenes Datenschutzniveau gewährleistet ist.
Prüfen der Zulässigkeit der Datenübermittlung in Drittstaaten in einem zweistufen Verfahren:
• Erste Stufe: Ist die Datenübermittlung als solche nach nationalen Datenschutzvorschriften (insbesondere §28 und §32 BDSG) zulässig?
• Zweite Stufe: Werden die besonderen Anforderungen bzgl. des Drittstaatentransfers nach §§4b, 4c BDSG im Zielstaat eingehalten, kurz gesagt: herrscht im Zielstaat ein angemessenes Datenschutzniveau?
Auch die Weitergabe von Daten innerhalb eines Konzerns stellt eine datenschutzrechtlich relevante Datenübermittlung dar. Das BDSG kennt kein Konzernprivileg. Ein angemessenes Datenschutzniveau setzt eine nationale Gesetzgebung in dem Drittstaat voraus, die die wesentlichen Datenschutzgrundsätze in einer Weise festlegt, wie sie auch für das Datenschutzrecht der EU und der EU-Mitgliedsstaaten gelten.
Szenario 2: Großbritannien ist nach dem 25. Mai 2018 kein EU-Mitglied mehr
Die Unternehmen mit Sitz in Großbritannien werden sicherlich weiterhin Geschäfte mit Ländern in der EU machen wollen. Es gelten hier die in der verabschiedeten EU-DSGVO verankerten Richtlinien und Vorgaben. Großbritannien kann sich mit dem Austritt aus der EU nicht von der DSGVO "verabschieden". Unter anderem regelt Art. 3 der DSGVO den räumlichen Anwendungsbereich, hier Absatz 2 "Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der Union befinden, durch einen nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter, wenn die Datenverarbeitung im Zusammenhang damit steht."
Es gelten außerdem die Vorschriften über den Datentransfer in Drittstaaten nach Art. 44 ff DSGVO. Damit müsste grundsätzlich sichergestellt sein, dass angemessene Schutzmaßnahmen in Großbritannien als Drittstaat durch die Zielunternehmen bestehen (Art. 46 DSGVO). Diese Maßnahmen beinhalten Standardvertragsklauseln, Binding Corporate Rules oder ähnliche Instrumente. Auftragsdatenverarbeitung ist bei Anwendung der zusätzlichen Instrumente nach der DSGVO auch in Drittstaaten möglich.
- Ein Gesetz für alle
EU-weit gelten die gleichen Datenschutzregeln. Das bedeutet auch eine gestiegene Verantwortung und Haftung für alle, die persönliche Daten verarbeiten. - "Recht auf Vergessen"
Wollen Nutzer ihre Daten nicht weiter verarbeitet sehen, werden diese gelöscht - vorausgesetzt, es spricht aus juristischer Sicht nichts dagegen. - "Opt-in" statt "Opt-out"
Sollen persönliche Daten verabeitet werden, müssen Nutzer aktiv zustimmen (und nicht aktiv widersprechen wie bisher). - Recht auf Transparenz
Nutzer haben ein Recht auf Transparenz - sie dürfen erfahren, welche Daten über sie gesammelt und wie diese verarbeitet werden. - Zugang und Portabilität
Der Zugang zu den bei Dritten über einen selbst gespeicherten Daten soll einfacher möglich sein. Zudem ist die Dartenportabilität zu gewährleisten - also sicherzustellen, dass persönliche Informationen leichter von einem Dienstanbieter zu einem anderen übertragen werden können. - Schnellere Meldung
Tritt ein Datenverlust auf, müssen Unternehmen und Organisationen im Regelfall binnen 24 Stunden, mindestens aber so schnell wie möglich ihrer behördlichen Meldepflicht nachkommen. - Weniger Behördenchaos
Unternehmen müssen sich nur noch mit einer einzigen Aufsichtsbehörde auseinandersetzen - und zwar dort, wo sie ihren Hauptsitz haben. - Grenzübergreifend
Privatanwender dürfen jeden Fall von Datenmissbrauch an ihre nationale Aufsichtsbehörde melden - selbst dann, wenn die betroffenen Daten im Ausland verarbeitet wurden. - Erweiterter Geltungsbereich
Die EU-Richtlinie gilt auch für Unternehmen, die keinen Sitz in der EU haben, sobald sie Waren oder Dienstleistungen in der EU anbieten oder auch nur Online-Marktforschung unter EU-Bürgern betreiben. - Höhere Bußgelder
Verstößt ein Unternehmen gegen die Datenschutzbestimmungen, droht ein Bußgeld in Höhe von bis zu vier Prozent des Jahresumsatzes. - Bürokratieabbau
Administrative Umstände wie Meldepflichten für Unternehmen, die persönliche Daten verarbeiten, entfallen. - Erst ab 16
Die rechtswirksame Anmeldung bei Internetnetservices wie Facebook oder Instagr.am soll Jugendlichen im Regelfall erst ab 16 Jahren möglich sein - weil sie erst ab diesem Lebensalter eine gültige Einwilligung in die Verarbeitung ihrer persönlichen Daten geben können. Nationale Gesetze sollen laut Datenschutzverordnung hier aber Ausnahmen möglich machen. - Stärkung der nationalen Aufsichtsbehörden
Nationale Datenschutzbehörden werden in ihren Kompetenzen gestärkt, so dass sie die neuen EU-Regeln besser umsetzen können. Unter anderem dürfen sie einzelnen Unternehmen verbieten, Daten zu verarbeiten. können bestimmte Datenflüsse stoppen und Bußgelder gegen Unternehmen verhängen, die bis zu zwei Prozent der jeweiligen weltweiten Jahreseinkünfte betragen. Darüber hinaus dürfen sie Gerichtsverfahren in Datenschutzfragen anstrengen. <br /><br />(Quelle: Forrester Research)
Die nächsten Schritte
Der Austritt Großbritanniens aus der EU wird nicht von heute auf morgen abgeschlossen sein. Großbritannien bleibt trotz Referendum erstmal vollwertiges Mitglied. Erst wenn sie einen Antrag stellt, beginnt eine zweijährige Frist für die Verhandlungen. Der Austritt Großbritanniens aus der EU wird also nicht von heute auf morgen abgeschlossen sein.
Auf Unternehmen, die Daten mit britischen Empfängern austauschen, kommen auf jeden Fall bei einem Austritt, egal zu welchem Zeitpunkt, grundlegende Veränderungen zu und sie sollten schon jetzt prüfen, welche Datenflüsse von und nach Großbritannien gehen.
Ich empfehle unseren Kunden, die Gelegenheit zu nutzen bestehende Dokumentationen im Hinblick auf Großbritannien zu überprüfen und Verträge, konkret Auftragsdatenverarbeitungen gemäß §11 BDSG. Vor allem im Hinblick auf Regelungen zu Unterauftragsverhältnissen. Ein aktueller Stand ist immer von Vorteil und stellen Sie einen Aktionsplan für den Fall der Fälle auf.
Es gibt keinen Grund zur Panik und zur Hektik, solange man vorbereitet ist. Datenschutz ist kein Produkt, sondern ein Prozess. (sh)