Brexit und Datenschutz

Was bedeutet der Brexit für den betrieblichen Datenschutz?

Am 23. Juni 2016 hat die Bevölkerung von Großbritannien im Rahmen eines Referendums entschieden, aus der Europäischen Union (EU) auszuscheiden. Auch wenn die britische Regierung noch nicht final beschlossen hat, ob sie sich an den „Volkswillen“ halten will, stellen schon jetzt viele Unternehmen, die wirtschaftliche Beziehungen zu Unternehmen in Großbritannien haben, die Frage nach den Konsequenzen im Hinblick auf den Datenschutz. Dr. Jörn Voßbein, mehrfach bestellter Datenschutzbeauftragter, ist aber wenig beunruhigt.

Im Rahmen von Dienstleistungen oder Konzern-Verflechtungen finden bei vielen deutschen, österreichischen und anderen europäischen Unternehmen Datentransfers nach Großbritannien statt. Bislang war dies relativ unproblematisch, schließlich sind die britischen Länder Teil der EU, so dass ein angemessenes Datenschutzniveau vorliegt. Doch wie sieht dies aus, wenn der „Brexit“ auch Realität wird.

Zwar erfolgt die Prüfung einer grenzüberschreitenden Datenübermittlung generell zweistufig. So müssen zunächst die Anforderungen einer Datenverarbeitung als solches erfüllt sein und es ist darüber hinaus zu prüfen, ob beim Empfänger ein angemessenes Datenschutzniveau sichergestellt ist. Doch wird innerhalb der EU bzw. des Europäischen Wirtschaftsraums (EWR) – bereits aufgrund der vorhandenen europarechtlichen Vorgaben – das Vorhandensein eines angemessenen Datenschutzniveaus unwiderleglich angenommen. Der Einsatz von britischen Dienstleistern (z. B. Data Centre, Remote Support) oder die Nutzung von „Shared Services“ bei britischen Konzerngesellschaften unterlag den gleichen Anforderungen wie im Inland.

Bei einem Datentransfer nach Großbritannien kann nach einem potentiellen Austritt nicht mehr per se davon ausgegangen werden, dass ein angemessenes Datenschutzniveau existiert. Was bedeutet dies nun für die Übermittlung von personenbezogenen Daten?

Zunächst ist festzuhalten, dass aktuell seitens der Unternehmen noch nichts zu unternehmen ist, schließlich ist der Austritt noch nicht vollzogen. Ferner ist es nicht unrealistisch, dass die Europäische Kommission auch Großbritannien ein angemessenes Datenschutzniveau konstatieren, wie aktuell beispielsweise schon den Ländern Argentinien, Israel, Kanada oder der Schweiz. Die britische Aufsichtsbehörde (Information Commissioner’s Office, ICO) hat bereits direkt nach dem Referendum mitgeteilt, dass sie sich dafür einsetzen wird, ein angemessenes Datenschutzniveau durch entsprechende Umsetzung der Datenschutz-Grundverordnung zu erreichen.

Demnach scheint sich diesbezüglich auch künftig nichts zu ändern. „Nichtsdestotrotz ist es uns betrieblichen Datenschutzbeauftragten natürlich dringend zu empfehlen, das weitere Vorgehen im Auge zu behalten“, empfiehlt Dr. Jörn Voßbein. Doch selbst dann, wenn ein solches Datenschutzniveau nicht attestiert werden sollte, bestehen weiterhin die Möglichkeiten, die sie aktuell und auch künftig im Rahmen der EU-Datenschutz-Grundverordnung geben wird, wie beispielsweise die Nutzung von sog. Standardvertragsklauseln der EU-Kommission oder eines konzernweiten Code of Conduct (sog. „Binding Corporate Rules“) sicherstellen. Vor allem im Rahmen multinationaler Konzerne bieten sich diese verbindlichen Unternehmensrichtlinien als Spielart der vertraglichen Vereinbarungen zur Gewährleistung ausreichender Garantien an.

Demnach ist festzuhalten, dass der Brexit zumindest aktuellim Hinblick auf en Datenschutz noch keine Konsequenzen für Unternehmen in Deutschland, Österreich und anderen EU-Staaten hat. Die weiteren Vorgehensweisen von EU und Großbritannien sollten aber dringend mitverfolgt werden, um möglichst frühzeitig etwaige Maßnahmen zu ergreifen.