1.
Internationale Datenübermittlungen ^
2.
Aktueller Status Großbritanniens ^
Dieser Nachweis dürfte mit gewissen Herausforderungen verbunden sein. Die ab 2018 geltende EU-DSGVO führt im Vergleich zur EU-DSRL zahlreiche Neuregelungen ein, die in Großbritannien bislang nicht umgesetzt sind, zum Beispiel die Verzeichnisse von Verarbeitungstätigkeiten gemäß Art. 30 EU-DSGVO, die Bestellung eines Datenschutzbeauftragten gemäß Art. 37 EU-DSGVO oder die Verträge zur Auftragsdatenverarbeitung gemäß Art. 28 EU-DSGVO.5
3.
Gestaltung des datenschutzrechtlichen Status von Großbritannien ^
Aktuell ist Großbritannien noch Mitglied der EU. Das kann sich gemäß Art. 50 Abs. 2 Vertrag über die Europäische Union (EU-Vertrag) auch erst ändern, wenn Großbritannien dies verbindlich beschließt und dem Europäischen Rat mitteilt, also einen entsprechenden Antrag stellt. Dann kommt es zu Austrittsverhandlungen und zum Abschluss eines Abkommens in dem die gegenseitigen Beziehungen für die Zukunft geregelt werden.6 Es ist nicht zwingend, aber natürlich sinnvoll, auch den datenschutzrechtlichen Status Großbritanniens in einem solchen Abkommen zu regeln. Welchen Inhalt ein Austrittsabkommen zwischen der EU und Großbritannien in dieser Hinsicht haben wird, ist aktuell nicht sicher vorherzusagen. Wahrscheinlich sind jedoch die im Folgenden aufgezeigten Szenarien.
3.1.
Beitritt zum EWR – das Norwegen Modell ^
Das Szenario mit der geringsten Auswirkung auf die Gestaltung von Datenübermittlungen zwischen EU bzw. EWR und Großbritannien wäre ein Beitritt Großbritanniens zum EWR. Diesen Weg haben zuvor schon Island, Liechtenstein und Norwegen gewählt, indem sie mit der EU ein Abkommen über den gemeinsamen Binnenmarkt geschlossen haben. Dieser Weg ist auch unter dem Stichwort «Norwegen Modell» bekannt.
Die EU-DSRL ist in diesem Verfahren geltendes Recht in Island, Liechtenstein und Norwegen geworden und hat zur Umsetzung entsprechender nationaler Datenschutzgesetze geführt, die ein angemessenes Datenschutzniveau sicherstellen.
3.2.
Der Schweizer Weg ^
3.3.
Datenübermittlungen nach Großbritannien als unsicheres Drittland ^
4.
Handlungsmöglichkeiten betroffener Unternehmen ^
In Konzernstrukturen können Möglichkeiten bestehen, alternative Routen und Verantwortlichkeiten zu wählen, um die Datenübermittlungen nach Großbritannien zu vermeiden. Solche Gestaltungen können im Zweifel auch als Fall Back Lösung für den Ernstfall vorgesehen werden. Soweit eine solche Gestaltung nicht oder nur mit unverhältnismäßigem Aufwand möglich ist, sollte man aber jetzt (noch) nicht in Panik verfallen. Abhängig von den Austrittsverhandlungen kann am Ende schließlich immer noch alles gut werden. Dass es zum Äußersten kommt und Großbritannien von heute auf morgen zum unsicheren Drittstaat wird, ist jedenfalls nicht besonders wahrscheinlich.
5.
Fazit ^
Rechtsanwalt Dr. Bernd Schmidt, LL.M., und Rechtsanwältin Claudia Bischof sind Gründungspartner der Hamburger Kanzlei PLANIT // LEGAL. Sie beraten nationale und internationale Unternehmen im IT- und Datenschutzrecht.
- 1 https://www.edoeb.admin.ch/datenschutz/00626/00753/index.html?lang=de&download=NHzLpZeg7t,lnp6I0NTU042l2Z6ln1acy4Zn4Z2qZpnO2Yuq2Z6gpJCDdXt3fmym162epYbg2c_JjKbNoKSn6A-- (alle Websites zuletzt besucht am 29. August 2016).
- 2 http://ec.europa.eu/justice/data-protection/international-transfers/adequacy/index_en.htm.
- 3 Tim Wybitul, Handbuch Datenschutz im Unternehmen, Verlag Recht und Wirtschaft, Frankfurt 2011, Rn. 272 f.
- 4 Barbara Mayer/Gerhard Manz, Der Brexit und seine Folgen auf den Rechtsverkehr zwischen der EU und dem Vereinigten Königreich, in: Betriebs-Berater 2016, Heft 30 (59), S. 1731–1740.
- 5 Sibylle Gierschmann, Brexit – Was passiert, wenn Großbritannien «Drittland» wird?, in: MultiMedia und Recht 2016, Heft 8, S. 501–502.
- 6 Zur Geschichte dieser erst mit dem Vertrag von Lissabon geschaffenen Regelung und ihren Anforderungen im Detail siehe Alexander Thiele, Der Austritt aus der EU – Hintergründe und rechtliche Rahmenbedingungen eines «Brexit», in: Europarecht 2016, Heft 3, S. 281.
- 7 Urteil des EuGH C362/14 vom 6. Oktober 2015.
- 8 Mayer/Manz (Fn. 4), S. 1731–1740.
- 9 Siehe hierzu grundlegend aus der Perspektive des deutschen Datenschutzrechts: Detlev Gabel, in: Jürgen Taeger/Detlev Gabel (Hrsg.), BDSG und Datenschutzvorschriften des TKG und TMG, 2. Auflage, Verlag Recht und Wirtschaft, Frankfurt 2013, § 4c Rn. 21 ff.
- 10 Ehmann/Helfrich, EG-Datenschutzrichtlinie, Otto Schmid Verlag, Köln 1999, Art. 26, Rn. 21.
- 11 Mayer/Manz (Fn. 4), S. 1731.
- 12 Peter Cullen, Brexit – ein Projekt der Unvernunft, in: Europäische Zeitschrift für Wirtschaftsrecht 2016, Heft 11, S. 401.