Am 23.06.2016 stimmten 52 % der Wählerinnen und Wähler für einen Austritt des Vereinigten Königreichs aus der EU. Ein solcher Austritt wäre gemäß Art 50 des Vertrag von Lissabon für Großbritannien möglich. Während – so die Medienberichterstattungen – ein Austritt aus der EU dennoch noch nicht sicher erscheint, erhalten wir bereits viele Anfragen, ob hinsichtlich Dienstleistern, die in Großbritannien ansässig sind, datenschutzrechtliche Maßnahmen zu ergreifen sind.
Da jedoch Großbritannien bis zum rechtskräftigen Austritt aus der EU noch Mitglied der EU ist, besteht derzeit rechtlich gesehen kein Handlungsbedarf. Der Datenverkehr nach und von Großbritannien ist nach wie vor gemäß §§ 4b, 4c und § 11 BDSG privilegiert; der Abschluss einer gesonderten Vereinbarung nur aufgrund des Brexit-Votums unnötig. Es ist anzunehmen, dass im Rahmen der Austrittsverhandlungen bereits Regelungen für den Transfer personenbezogener Daten getroffen würden. Insofern ist es denkbar, dass die EU-Kommission die Angemessenheit des Schutzniveaus in Großbritannien unmittelbar bestätigt, so dass ein Datenfluss nach Großbritannien auch nach dem Austritt aus der EU zulässig wäre. Es bleibt damit abzuwarten, wie die Austrittsverhandlungen gestalten werden und welche Beschlüsse die EU-Komission in diesem Zusammenhang veröffentlicht.
Soweit neue Dienstleister beauftragt werden sollen, empfehlen wir, den potentiellen Austritt aus der EU bereits in den neuen Vertrag aufzunehmen. Insoweit sollte geregelt werden, was in datenschutzrechtlicher Hinsicht veranlasst werden soll, wenn der Austritt aus der EU rechtskräftig wird. Hier kann insoweit sowohl eine Exit-Klausel, wie auch bereits konkrete Vereinbarungen, welcher Vertrags abgeschlossen werden soll, vereinbart werden.
Hinsichtlich der 2018 in Kraft tretenden Datenschutzgrundverordnung gilt Folgendes:
Sollte Großbritannien tatsächlich aus der EU austreten, so wird Großbritannien zunächst (!) zum unsicheren Drittstaat, so dass eine freie Datenübermittlung an in Großbritannien liegende Unternehmen nicht mehr möglich sein wird. Es werden sodann die Vorschriften über die Datentransfers in Drittstaaten nach Art. 44 ff. DSGVO (früher § 4b, 4c BDSG) gelten. Gemäß Art. 46 DSGVO werden sodann angemessene Schutzmaßnahmen durch die Zielunternehmen bestehen müssen. Wie bereits heute sind Instrumentarien für die Übertragung personenbezogener Daten in einen Drittstaat Binding Corporate Rules und Standardvertragsklauseln.
Ergeht die bereits oben angesprochene Angemessenheitsentscheidung, so wäre Großbritannien ein „sicherer Drittstaat“, für den grundsätzlich die gleichen Rechte wie innerhalb der EU gelten. Dann würden z.B. die bis heute geschlossenen Auftragsdatenverarbeitungsverträge weiter gelten.
Fazit
Unsere Empfehlung an Sie lautet damit, hinsichtlich bereits bestehender datenschutzrechtlicher Verträge noch nicht tätig zu werden, sondern die offiziellen Beschlüsse der EU-Kommission und den Austrittsentschluss abzuwarten. Sollten Sie neue Dienstleister in Großbritannien beauftragen, so empfehlen wir, die Unsicherheit aufgrund des Brexit in Ihre Vertragsverhandlungen einzubeziehen und entsprechend kurzfristig zu planen. Hierbei beraten wir Sie gerne.
PDF Download:
Laden Sie sich unsere Dateien als PDF