Das Vereinigte Königreich ist mit Ende des Übergangszeitraums zum 31. Dezember 2020 nicht mehr Teil des europäischen Binnenmarktes und der Zollunion. Nun bangen europäische Unternehmen um ihre Geschäftsbeziehungen zu den Briten und stehen bei Datenübermittlungen in den ehemaligen EU-Mitgliedsstaat vor der Frage: Und was jetzt? Die Schonfrist ist vorbei … oder doch nicht? Als das Jahr 2020 sich dem Ende neigte, legten das Vereinigte Königreich (UK) und die Europäische Union (EU) schlussendlich ihre Waffen nieder und einigten sich auf einen Brexit-Deal. Der von Johnson angedrohte harte Bruch mit der EU blieb aus. Wir berichteten bereits vor einem Jahr über den offiziellen Austritt des Vereinigten Königreichs Großbritanniens und Nordirlands aus der EU. Doch inzwischen ist die Schonfrist zum 31. Dezember 2020 abgelaufen und abermals blickt man in fragende Gesichter. Wie ist es jetzt im Wirtschaftsverkehr mit dem Vereinigten Königreich möglich, personenbezogene Daten zu übermitteln? In weiser Voraussicht haben EU und UK in dem Kooperations- und Handelsabkommen in den Schlussbestimmungen folgende Übergangsregelung für die Übermittlung von personenbezogenen Daten beschlossen: “For the duration of the specified period, transmission of personal data from the Union to the United Kingdom shall not be considered as transfer to a third country under Union law, provided that the data protection legislation of the United Kingdom on 31 December 2020, as it is saved and incorporated into United Kingdom law by the European Union (Withdrawal) Act 2018 and as modified by the Data Protection, Privacy and Electronic Communications (Amendments etc) (EU Exit) Regulations 201987(“the applicable data protection regime”), applies and provided that the United Kingdom does not exercise the designated powers without the agreement of the Union within the Partnership Council.” Und was bedeutet dies konkret? Aktuell wird die UK trotz formalen Austritts aus der EU somit nicht als unsicheres Drittland im Rahmen der DSGVO gesehen. Dies gilt jedoch unter der Voraussetzung, dass die UK auch nicht ihre Befugnisse im Rahmen des UK Data Protection Act oder des UK GDPR ohne Zustimmung der Union ausüben wird. Der UK Data Protection Act trat 2018 zur selben Zeit wie die DSGVO in Kraft und sollte ergänzend zur DSGVO gelten. Infolge des Brexits wurde die EU-DSGVO in die neue UK-GDPR (United Kingdom General Data Protection Regulation) überführt, die am 31. Januar 2020 in Kraft trat. Somit wurde auch der UK Data Protection Act dahingehend geändert, dass dieser nicht mehr ergänzend zur EU-DSGVO, sondern zur UK-GDPR gelten sollte. Es zeigt sich somit, dass durchaus Bestrebungen erkennbar sind, ein der EU gleichwertiges Datenschutzniveau herzustellen. Der Übergangszeitraum begann mit Inkrafttreten des Kooperations- und Handelsabkommens und endet, wenn die EU-Kommission Adäquanzentscheidungen nach Art. 45 Abs. 3 DSGVO und Art. 36 Abs. 3 Richtlinie (EU) 2016/680 getroffen hat für die UK, spätestens jedoch nach vier Monaten. Das Abkommen bietet die Möglichkeit einer Verlängerung von zwei Monaten, sofern keine der beteiligten Parteien widerspricht. Der Sächsische Datenschutzbeauftrage Andreas Schurig äußerte sich in einer Pressemitteilung der DSK folgendermaßen zu der neuen Übergangsperiode in Sachen Datentransfer in die UK: „Allerdings ist jetzt die EU-Kommission in der Pflicht, tragfähige Adäquanzentscheidungen vorzulegen, die auch die aktuelle Rechtsprechung des Europäischen Gerichtshofs berücksichtigen und von den Mitgliedstaaten genauso wie vom Europäischen Datenschutzausschuss sorgfältig zu prüfen sein werden.“ Aktuelle Rechtsprechung des Europäischen Gerichtshofs … da war doch was? Schurig wird insbesondere die Entscheidung des Europäischen Gerichtshofs aus dem vergangenen Jahr zum EU-US-Privacy-Shield-Abkommen im Sinn gehabt haben, welche weitreichende Folgen für den globalen Markt hatte. Wir erinnern uns, dass der EuGH im vergangenen Jahr das Privacy Shield für unwirksam erklärte, da kein angemessenes Datenschutzniveau in den USA gewährleistet werden konnte. Insbesondere kritisierte der Gerichtshof, dass Informationen über europäische Bürger auf US-Servern nicht vor dem Zugriff dortiger Behörden und Geheimdienste geschützt seien. Darüber hinaus würden die Betroffenen nicht über ausreichenden Rechtsschutz verfügen, wenn sie eine unberechtigte Verarbeitung ihrer personenbezogenen Daten vermuteten. Aber dies kann ja nicht einem ehemaligen EU-Mitgliedstaat passieren, oder? Schließlich hat die DSGVO auch in der UK ein angemessenes Datenschutzniveau attestiert. Hier ist jedoch Vorsicht geboten! Denn die Mitgliedsstaaten wurden bei Einführung der DSGVO keiner eingehenden Prüfung unterzogen, wie es beispielsweise der Fall ist bei einem Angemessenheitsbeschluss eines Drittlandes. Die DSGVO ist mit allgemeiner Gültigkeit und unmittelbarer Wirksamkeit in allen EU-Mitgliedsstaaten in Kraft getreten. Fraglich ist demnach, ob das derzeitige britische Datenschutzniveau einer solchen Prüfung standhalten kann. Big Brother is watching Die Entscheidung über die Angemessenheit erfordert keine identischen Gesetze, sondern muss einen im Wesentlichen gleichwertigen Schutz bieten. Die Überführung der EU-DSGVO in das UK-GDPR rettet die Briten also nicht zwangsläufig vor dem kritischen Auge des Europäischen Gerichtshofs. Die datenschutzrechtliche Lage in dem Vereinigten Königreich könnte vergleichbar sein mit den Vereinigten Staaten bezüglich der Überwachungsbefugnisse der nationalen Geheimdienste. Infolge der Auswirkungen der Snowden-Enthüllungen hatte das Vereinigte Königreich das bisher geltende Überwachungsgesetz Regulation of Investigatory Powers Act (RIPA) mit dem Investigatory Powers Act von 2016 ersetzt. Das Gesetz enthält ein umfassendes Regelwerk für gezielte und thematische Massenüberwachung, Geräteeingriffe und Befugnisse zur Erfassung von Kommunikationsdaten. Getauft wurde es im Volksmund „Snooper’s Charter“ (Schnüffelgesetz) aufgrund der ausgeweiteten Überwachungsbefugnisse britischer Geheimdienste. Aber es geht noch weiter: das Vereinigte Königreich ist eng vernetzt mit amerikanischen Geheimdiensten als Teil der „Five Eyes“-Gemeinde, einer Geheimdienstallianz bestehend aus den USA, Großbritannien, Australien, Kanada und Neuseeland. Gegenüber dem Handelsblatt äußerte Stefan Brink, Datenschutzbeauftragter des Landes Baden-Württemberg: „Der britische GCHQ teilt seine Erkenntnisse sehr frei mit der amerikanischen NSA. Das Datenschutzniveau, das der EuGH festgelegt hat, würde so unterlaufen.“ Zwar stand die Zusammenarbeit der Geheimdienste einem Angemessenheitsbeschluss von Kanada nicht im Wege, dennoch lässt diese an einem angemessenen Niveau des britischen Datenschutzrechts zweifeln. So wird sich noch in der anhaltenden Post-Brexit-Phase zeigen, ob die aktuellen Maßstäbe für die EU-Kommission ausreichen werden und ob vor allem der Europäische Gerichtshof hellhörig wird und einen weiteren Paukenschlag zum Besten geben wird wie bei dem „Schrems II“-Urteil. Was können Unternehmen tun? Ähnlich wie bei dem Datentransfer in die USA sollten Unternehmen nun ihre bestehenden Geschäftsbeziehungen und Datenübermittlungen überprüfen und eine Bestandsaufnahme durchführen. Es ist ratsam, dennoch für den Fall gewappnet zu sein, dass die EU-Kommission nicht oder nicht rechtzeitig die Angemessenheit der UK als sicheres Drittland überprüfen wird. Somit sollten angemessene Schutzvorkehrungen getroffen werden, wie beispielsweise der Abschluss von Standarddatenschutzklauseln mit britischen Auftragsverarbeitern oder Verschlüsselungsmöglichkeiten ausgeschöpft werden. Konsultieren Sie im Zweifelsfall Ihren Datenschutzbeauftragten. Beitrag hier kommentieren |