Delphotostock - Fotolia
Was der Brexit wirklich für den Datenschutz bedeutet
Mit dem Brexit gehört das Vereinigte Königreich nicht mehr zum EU-Raum. Die Aufsichtsbehörden haben erklärt, was dies für die Einhaltung der DSGVO bedeutet und worauf nun zu achten ist.
Datenübermittlungen in Drittstaaten sind eine Herausforderung, wenn es sich um personenbezogene Daten handelt. Das Ende des Privacy Shield hat dies für den Fall einer geplanten Datenübermittlung in die USA sehr deutlich gemacht. Die USA sind aber nur ein Beispiel für die Übermittlung personenbezogener Daten in Staaten außerhalb der EU.
Die Aufsichtsbehörden für den Datenschutz haben bereits seit längerem auf die Bedeutung des Brexit für den Datenschutz hingewiesen. So machte der Bundesdatenschutzbeauftragte deutlich, dass das Vereinigte Königreich (Großbritannien und Nordirland) seit dem 1. Februar 2020 durch den Austritt aus der EU ein Drittland ist. Trotzdem konnten personenbezogene Daten bis zum 31. Dezember 2020 weiterhin ohne besondere Schutzmaßnahmen an Partner im Vereinigten Königreich übermittelt werden.
Das Austrittsabkommen zwischen der EU und dem Vereinigten Königreich legte fest, dass die DSGVO (Datenschutz-Grundverordnung) in einem Übergangszeitraum bis zum 31. Dezember 2020 weiterhin auch im Vereinigten Königreich galt. Während des Übergangszeitraums durften personenbezogene Daten daher unter denselben Voraussetzungen zum Vereinigte Königreich übermittelt werden wie bisher. Doch was gilt nun?
Übergangsregelung für Datenübermittlung
Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) wies Unternehmen, Behörden und andere Institutionen in Deutschland kürzlich darauf hin, dass in den Schlussbestimmungen des Entwurfs eines Handels- und Zusammenarbeitsabkommens zwischen dem Vereinigten Königreich und der Europäischen Union eine neue Übergangsregelung für Datenübermittlungen vorgesehen ist, die den bisher befürchteten gravierenden Rechtsunsicherheiten vorbeugt.
Danach sollen Übermittlungen personenbezogener Daten von der EU in das Vereinigte Königreich für eine Übergangsperiode nicht als Übermittlungen in ein Drittland (Art. 44 DSGVO) angesehen werden. Diese Periode beginnt mit dem In-Kraft-Treten des Abkommens und endet, wenn die EU-Kommission das Vereinigte Königreich betreffende Adäquanzentscheidungen nach DSGVO getroffen hat, spätestens jedoch nach vier Monaten. Dieses Enddatum kann um zwei Monate verlängert werden, falls keine der beteiligten Parteien widerspricht.
Andreas Schurig, der Vorsitzende der DSK in 2020, erklärte hierzu: „Damit sind Übermittlungen in das Vereinigte Königreich vorerst weiterhin unter den bisherigen Voraussetzungen möglich. Gravierende Erschwernisse für die betroffenen Unternehmen werden so zunächst vermieden. Allerdings ist jetzt die EU-Kommission in der Pflicht, tragfähige Adäquanzentscheidungen vorzulegen, die auch die aktuelle Rechtsprechung des Europäischen Gerichtshofs berücksichtigen und von den Mitgliedstaaten genauso wie vom Europäischen Datenschutzausschuss sorgfältig zu prüfen sein werden.“
Keine Entwarnung, aber Übergangsfrist
Die in der Vergangenheit genannten Befürchtungen, dass es ohne Deal ab 1. Januar 2021 zu einer Situation kommen könnte, dass zuerst eine neue Rechtsgrundlage gefunden werden muss, wenn man personenbezogene Daten in das Vereinigte Königreich übermitteln will, sind zwar nicht mit dem Stichtag eingetreten, doch eine komplette Entwarnung kann nicht gegeben werden.
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz, Prof. Dr. Dieter Kugelmann, erklärte „Kurz vor der Ziellinie des Brexit hat es geklappt, auch die Datenübermittlungen in das Vereinigte Königreich zu erhalten. Gravierende Erschwernisse für die betroffenen Unternehmen werden so zunächst vermieden. Aber den Unternehmen sollte nicht die Puste ausgehen. Es gilt, sich auf ein Ende der Übergangszeit vorzubereiten, um Geschäftsprozesse gegebenenfalls anzupassen.“
Während der viermonatigen Übergangsfrist ab dem 01. Januar 2021 werden Übermittlungen personenbezogener Daten von der EU in das Vereinigte Königreich Großbritannien und Nordirland für eine Übergangsperiode nicht als Übermittlungen in ein Drittland (Art. 44 DSGVO) angesehen.
Unternehmen, die die Übermittlung personenbezogener Daten in das Vereinigte Königreich vornehmen oder planen, müssen aber die Entwicklung genau im Auge behalten und die Rechtsgrundlage für ihre Datenübermittlungen entsprechend anpassen, zum Beispiel in den Datenschutzerklärungen und in verschiedenen Verträgen. Sollte es keine tragfähige Adäquanzentscheidung der EU-Kommission geben, könnte es doch noch dazu kommen, dass für die Datenübermittlungen nach UK andere Datenschutzinstrumente gesucht und gefunden werden müssen, wie im Fall der USA durch den Wegfall des Privacy Shield.
Es bleibt abzuwarten, was nun von der EU-Kommission und dann entsprechend von dem Europäischen Datenschutzausschuss (EDSA) dazu ausgesagt werden wird.