Logo der activeMind AG

Brexit-Deal: Die Auswirkungen auf den Datenschutz

Inhalt

Der Brexit ist vollzogen, die Übergangsfrist ist seit dem 31. Dezember 2020 vorbei. In sprichwörtlich letzter Sekunde haben sich das Vereinigte Königreich und die EU doch noch auf einen Brexit-Deal geeinigt. Neben vielen anderen Dingen ist in dem 1.250 Seiten umfassenden Vertrag (PDF) auch der Datenschutz geregelt – zumindest für eine gewisse Zeit. Die Regelungen finden sich im Kapitel „Article FINPROV.10A: Interim provision for transmission of personal data to the United Kingdom“ ab Seite 406.

Die gute Nachricht

Für Unternehmen, die personenbezogene Daten im Vereinigten Königreich verarbeiten oder speichern bzw. die dort mit Unternehmen zusammenarbeiten, gibt es immerhin eine gute Nachricht: Es gibt nach dem 1. Januar 2021 noch eine (weitere) Schonzeit.

  • Für vorerst vier Monate ist vereinbart, dass das Vereinigte Königreich nicht als Drittland gilt.
  • Es ist sogar vorgesehen, dass diese Frist sich automatisch um zwei weitere Monate verlängert.
  • Damit wäre ein Datentransfer zumindest bis zum 30. April 2021, vielleicht sogar bis zum 30. Juni 2021 unter unveränderten Bedingungen möglich.

Die nicht ganz so gute Nachricht

Beide Seiten können der automatischen Verlängerung widersprechen. Es ist also gut möglich, dass das Vereinigte Königreich doch noch relativ bald zum Drittland wird. Und damit bestehen zusätzliche Hürden, um personenbezogene Daten in das Vereinigte Königreich transferieren zu dürfen. Insbesondere wären auch die bereits bekannten Datenschutz-Garantien notwendig.

Die schlechte Nachricht

Eine dauerhafte Lösung ist das Ganze nicht. Es besteht zwar theoretisch die Möglichkeit, dass die EU-Kommission rechtzeitig einen Angemessenheitsbeschluss erlässt. Dann bliebe das Vereinigte Königreich zwar Drittland, dieses wäre aber aus Sicht des Datenschutzes „sicher“. Ob das allerdings in der knappen Zeit passiert, ist fraglich. Zudem haben Sicherheitsbehörden im Vereinigten Königreich ähnlich weitreichende Befugnisse, wie es beispielsweise in den USA der Fall ist. Die Konsequenzen sind bekannt – wir erinnern an das implodierte Safe Harbor, das unwirksame EU-U.S. Privacy Shield und nicht zuletzt die Nebenaussagen im Schrems-II-Urteil.

Diese Befugnisse für Sicherheitsbehörden waren bislang nicht beachtlich, da im Vereinigten Königreich als EU-Mitglied die DSGVO ja immerhin direkt galt und das Datenschutzniveau damit nicht nur „vergleichbar angemessen“, sondern gleich war. Die DSGVO schränkt nämlich die Befugnisse von Sicherheitsbehörden der EU-Mitglieder gar nicht ein!

Mit dem Austritt und der damit verbundenen Lösung vom EU-Recht aber gilt die DSGVO nicht mehr und die Angemessenheit würde mit Blick auf die komplette Rechtsordnung des betroffenen Staates beurteilt werden. Die Lage ist damit die Gleiche, wie etwa bei den Vereinigten Staaten. Ein Angemessenheitsbeschluss wäre daher inkonsequent und nicht zuletzt der Europäische Gerichtshof hätte vermutlich Einwände.

Der Hoffnungsschimmer

Falls wider Erwarten ein Angemessenheitsbeschluss käme, bevor die Übergangsfrist abläuft, könnte der Datentransfer weitergehen wie bislang.

Perspektiven für Unternehmen

Insgesamt bestehen leider noch viele Ungewissheiten. Die Übergangsfrist des Brexit-Deals ist unserer Einschätzung nach nichts weiter als ein Aufschub. Dass sich das Vereinigte Königreich weiter an ein Datenschutzrecht hält, das den immerhin als Gängelung und Bevormundung empfundenen EU-Vorstellungen entspricht, halten wir für ebenso unwahrscheinlich wie eine Beschneidung der Befugnisse der Sicherheitsbehörden. Angesichts der kurzen Schonfrist stellt sich auch die Frage, ob solche Gesetzesanpassungen überhaupt noch rechtzeitig kämen.

Für Unternehmen bleibt also entweder die Möglichkeit, nach alternativen Geschäftspartnern bzw. Dienstleistern innerhalb der EU zu suchen. Oder sie sorgen rechtzeitig dafür, dass zusätzliche Datenschutzgarantien vorliegen und defacto auch durchsetzbar sind. Dafür ist eine individuelle Beratung durch erfahrene Datenschutz-Juristen dringend anzuraten.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Weiterlesen

Newsletter

Sichern Sie sich das Wissen unserer Experten.

Zweimal im Monat alles Wichtige zu Datenschutz, Informationssicherheit und künstlicher Intelligenz.