Brexit-Deal: Die Auswirkungen auf den Datenschutz

Geschrieben am: | Geschätzte Lesezeit: 3 Minuten

Der Brexit ist vollzogen, die Übergangsfrist ist seit dem 31. Dezember 2020 vorbei. In sprichwörtlich letzter Sekunde haben sich das Vereinigte Königreich und die EU doch noch auf einen Brexit-Deal geeinigt. Neben vielen anderen Dingen ist in dem 1.250 Seiten umfassenden Vertrag (PDF) auch der Datenschutz geregelt – zumindest für eine gewisse Zeit. Die Regelungen finden sich im Kapitel „Article FINPROV.10A: Interim provision for transmission of personal data to the United Kingdom“ ab Seite 406.

Die gute Nachricht

Für Unternehmen, die personenbezogene Daten im Vereinigten Königreich verarbeiten oder speichern bzw. die dort mit Unternehmen zusammenarbeiten, gibt es immerhin eine gute Nachricht: Es gibt nach dem 1. Januar 2021 noch eine (weitere) Schonzeit.

  • Für vorerst vier Monate ist vereinbart, dass das Vereinigte Königreich nicht als Drittland gilt.
  • Es ist sogar vorgesehen, dass diese Frist sich automatisch um zwei weitere Monate verlängert.
  • Damit wäre ein Datentransfer zumindest bis zum 30. April 2021, vielleicht sogar bis zum 30. Juni 2021 unter unveränderten Bedingungen möglich.

Die nicht ganz so gute Nachricht

Beide Seiten können der automatischen Verlängerung widersprechen. Es ist also gut möglich, dass das Vereinigte Königreich doch noch relativ bald zum Drittland wird. Und damit bestehen zusätzliche Hürden, um personenbezogene Daten in das Vereinigte Königreich transferieren zu dürfen. Insbesondere wären auch die bereits bekannten Datenschutz-Garantien notwendig.

Die schlechte Nachricht

Eine dauerhafte Lösung ist das Ganze nicht. Es besteht zwar theoretisch die Möglichkeit, dass die EU-Kommission rechtzeitig einen Angemessenheitsbeschluss erlässt. Dann bliebe das Vereinigte Königreich zwar Drittland, dieses wäre aber aus Sicht des Datenschutzes „sicher“. Ob das allerdings in der knappen Zeit passiert, ist fraglich. Zudem haben Sicherheitsbehörden im Vereinigten Königreich ähnlich weitreichende Befugnisse, wie es beispielsweise in den USA der Fall ist. Die Konsequenzen sind bekannt – wir erinnern an das implodierte Safe Harbor, das unwirksame EU-U.S. Privacy Shield und nicht zuletzt die Nebenaussagen im Schrems-II-Urteil.

Diese Befugnisse für Sicherheitsbehörden waren bislang nicht beachtlich, da im Vereinigten Königreich als EU-Mitglied die DSGVO ja immerhin direkt galt und das Datenschutzniveau damit nicht nur „vergleichbar angemessen“, sondern gleich war. Die DSGVO schränkt nämlich die Befugnisse von Sicherheitsbehörden der EU-Mitglieder gar nicht ein!

Mit dem Austritt und der damit verbundenen Lösung vom EU-Recht aber gilt die DSGVO nicht mehr und die Angemessenheit würde mit Blick auf die komplette Rechtsordnung des betroffenen Staates beurteilt werden. Die Lage ist damit die Gleiche, wie etwa bei den Vereinigten Staaten. Ein Angemessenheitsbeschluss wäre daher inkonsequent und nicht zuletzt der Europäische Gerichtshof hätte vermutlich Einwände.

Der Hoffnungsschimmer

Falls wider Erwarten ein Angemessenheitsbeschluss käme, bevor die Übergangsfrist abläuft, könnte der Datentransfer weitergehen wie bislang.

Perspektiven für Unternehmen

Insgesamt bestehen leider noch viele Ungewissheiten. Die Übergangsfrist des Brexit-Deals ist unserer Einschätzung nach nichts weiter als ein Aufschub. Dass sich das Vereinigte Königreich weiter an ein Datenschutzrecht hält, das den immerhin als Gängelung und Bevormundung empfundenen EU-Vorstellungen entspricht, halten wir für ebenso unwahrscheinlich wie eine Beschneidung der Befugnisse der Sicherheitsbehörden. Angesichts der kurzen Schonfrist stellt sich auch die Frage, ob solche Gesetzesanpassungen überhaupt noch rechtzeitig kämen.

Für Unternehmen bleibt also entweder die Möglichkeit, nach alternativen Geschäftspartnern bzw. Dienstleistern innerhalb der EU zu suchen. Oder sie sorgen rechtzeitig dafür, dass zusätzliche Datenschutzgarantien vorliegen und defacto auch durchsetzbar sind. Dafür ist eine individuelle Beratung durch erfahrene Datenschutz-Juristen dringend anzuraten.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

2 Comments

  1. Ferdinand Meier Profile Picture
    Ferdinand Meier

    Moin,

    ist Ihrem Artikel Brexit-Deal: Die Auswirkungen auf den Datenschutz der Satz “Die DSGVO schränkt nämlich die Befugnisse von Sicherheitsbehörden innerhalb der EU gar nicht ein!” wirklich so korrekt? Weshalb gibt es die DSGVO dann überhaupt?

    Viele Grüße
    F. Meier

    Antworten
    1. Michael Plankemann Profile Picture
      Michael Plankemann

      Vielen Dank für Ihre Frage.

      Das ist richtig und liegt ganz einfach am Anwendungsbereich. Die DSGVO regelt viel, aber nicht alles. Für manches gilt sie einfach nicht. So ist ja etwa auch der Bereich Strafverfolgung/Justiz anderweitig geregelt.

      Natürlich arbeiten Stellen, die nicht der DSGVO unterliegen, nicht im rechtsfreien Raum. Es gibt dann spezielle Vorschriften, die ihrerseits aber im Einklang mit dem höherrangigen EU-Recht stehen müssen. Und dieses höherrangige Recht der EU sieht beispielsweise vor, dass die Rechte, insbesondere Grundrechte einer Person gewahrt werden müssen und etwa die Möglichkeit des Rechtsschutzes besteht.

      Der entscheidende Unterschied ist, dass Einrichtungen außerhalb der EU diesem höherrangigen EU-Recht eben (auch) nicht unterliegen. Damit ist nicht sichergestellt, dass im Ergebnis die Vorgehensweise nach den rechtlichen Grundvorstellungen der EU erfolgt.

      Antworten

Eine Antwort hinterlassen

Ihre E-Mail wird nicht veröffentlicht. * Benötigte Felder.

Netiquette: Wir dulden keine grob unsachlichen Beiträge oder Werbung in eigener Sache und werden entsprechende Einträge nicht veröffentlichen, sondern löschen. Alle weiteren Informationen zum Umgang mit Ihren Daten finden Sie in unserer Datenschutzerklärung.