(MSC) Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat in einer aktuellen Pressemitteilung vom 28.12.2020 Hinweise aus aktuellem Anlass gegeben:
„Danach sollen Übermittlungen personenbezogener Daten von der EU in das Vereinigte Königreich Großbritannien und Nordirland für eine Übergangsperiode nicht als Übermittlungen in ein Drittland (Art. 44 DSGVO) angesehen werden. Diese Periode beginnt mit dem Inkrafttreten des Abkommens und endet, wenn die EU-Kommission das Vereinigte Königreich betreffende Adäquanzentscheidungen nach Art. 45 Abs. 3 DSGVO und Art. 36 Abs. 3 Richtlinie (EU) 2016/680 getroffen hat, spätestens jedoch nach vier Monaten. Dieses Enddatum kann um zwei Monate verlängert werden, falls keine der beteiligten Parteien widerspricht“. (DSK 28.12.2020)
Ziel des Brexit-Vertrages nach Aussage der EU-Kommission: „den digitalen Handel zu erleichtern, indem ungerechtfertigte Hindernisse beseitigt“ werden. Gleichzeitig sollen „hohe Standards für den Schutz personenbezogener Daten gewährleistet werden“.
Bis Ende April bzw. mit Verlängerung bis zum 30.06.2021 kann der Datenverkehr also ungehindert erfolgen.
Bis zu diesem Zeitpunkt muss die EU-Kommission einen Angemessenheitsbeschluss mit dem UK vereinbaren.
Zu Ende Juni können wir aus momentaner Sicht von zwei Szenarien ausgehen:
- Die beiden Parteien erzielen trotz aller bisherigen Differenzen einen Angemessenheitsbeschuss oder
- Der harte Brexit wird ohne Angemessenheitsbeschluss durchgeführt und das UK gilt ab dem 1.07.2021 als Drittland.
Sollte kein Angemessenheitsbeschluss vereinbart werden, wird es spannend, ob es gelingt, das UK als „sicheres Drittland“ – wie z.B. Argentinien, Israel, Kanada (tlw.), Neuseeland, Schweiz …einzuordnen. In diesen Staaten ist von einem dem europäischen Recht entsprechenden Datenschutzniveau auszugehen und ein uneingeschränkter Datentransfer möglich. Entsprechende Verhandlungen laufen bereits seit einigen Monaten – Experten bezweifeln jedoch, dass die Frist für die erforderlichen Vereinbarungen ausreicht.
Ein Kritikpunkt für eine solche Vereinbarung ist derzeit u.a. die Rolle der britischen Geheimdienste und deren Verbindungen zu den amerikanischen Geheimdiensten, manifestiert im UKUSA-Vertrag von 1946 zwischen dem UK und den USA. Bei diesem Vertrag sind auch Australien, Kanada und Neuseeland als überwachungsfreundliche Staaten vertreten (Five-Eyes-Allianz), was jedoch bei Kanada und Neuseeland zur Einstufung als sicheres Drittland kein Hindernis darstellte.
Sollte dieser Angemessenheitsbeschluss hingegen nicht möglich sein, und somit kein hinreichender Schutz der Daten der EU-Bürger gewährleistet werden können, würde Großbritannien ab dem 1.07. zur Kategorie der unsicheren Drittländer wie China, Russland, Indien und auch den USA zählen. Dies bedeutet, dass hier Art. 44 ff DS-GVO anzuwenden ist und eine Datenübertragung nur dann erfolgen darf, wenn „der Verantwortliche oder der Auftragsverarbeiter geeignete Garantien vorgesehen hat und sofern den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen“. (Art 46 DS-GVO).
Natürlich sind wir optimistisch und hoffen, dass der letztgeschilderte Fall nicht eintreten wird. Dennoch sollten wir uns aber mit diesem Szenario auseinandersetzen.
Deshalb unser Tipp: Klären Sie die bestehenden Verbindungen und somit Datenübertragungen zu Unternehmen in dem UK und denken Sie über Alternativen nach, die ggf. auch ohne Angemessenheitsbeschluss funktionieren. Vielleicht wird in diesem Fall der Abschluss von Standarddatenschutzklauseln erforderlich, also die von der EU-Kommission vorgesehene Möglichkeit den Datentransfer mittels vorformulierter Vertragsklauseln abzusichern. Allerdings müssen Sie hierbei auch an den Einsatz geeigneter technischer und organisatorischer Maßnahmen beachten, um einen Datentransfer rechtlich zu ermöglichen.
Wir behalten den Ablauf der Frist im Auge – gehen aber auch davon aus, dass unsere Behörden im Fall des harten Brexits keine Ausnahmen dulden werden. Bereits im Juni 2019 hat unser Bundesdatenschutzbeauftragter Ulrich festgestellt:
„Eine Übergangs- oder aufsichtsbehördliche Schonfrist wird es definitiv nicht geben. Sollten dennoch Daten ohne entsprechende Rechtsgrundlage übermittelt werden, würde dies einen grundsätzlich sanktionierbaren Datenschutzverstoß darstellen.“ (Handelsblatt, 5.09.2019).