Der Bre­x­it ist voll­zo­gen. Am 31.12.2020 ist die Über­gangs­frist aus­ge­lau­fen. In letz­ter Sekun­de haben sich Groß­bri­tan­ni­en und die EU in einem Handels- und Koope­ra­ti­ons­ab­kom­men einen wei­te­ren gemein­sa­men Weg erar­bei­tet. Dar­in ent­hal­ten sind auch Rege­lun­gen zum Daten­schutz. Ein­tracht oder Auf­schub, lau­tet hier die Fra­ge.

Das Abkom­men sieht vor, dass Daten­über­mitt­lun­gen per­so­nen­be­zo­ge­ner Daten aus der Uni­on in das Ver­ei­nig­te König­reich vor­über­ge­hend nicht als Über­mitt­lung an einen Dritt­staat im Sin­ne des Uni­ons­rechts gel­ten sol­len.” – Eile­en Bin­der

In unse­rem letz­ten Arti­kel zum Bre­x­it (hier geht’s zum Arti­kel), als das Jahr 2020 in den letz­ten Zügen lag, wur­de mit Span­nung erwar­tet, ob sich Groß­bri­tan­ni­en und die EU bis zum Ende der Über­gangs­frist für den Bre­x­it wür­den eini­gen kön­nen, wie das Ver­hält­nis zwi­schen der Insel und dem Kon­ti­nent zukünf­tig aus­se­hen könn­te. Und tat­säch­lich, in buch­stäb­lich letz­ter Sekun­de haben sich bei­de doch noch auf einen Brexit-Deal geei­nigt. Unter ande­rem geht es in dem 1250 Sei­ten star­ken Handels- und Koope­ra­ti­ons­ab­kom­men auch um den Daten­schutz. Was hat sich nun ver­än­dert?

Das Abkom­men sieht in Arti­kel FINPROV.10A (S. 468) vor, dass Daten­über­mitt­lun­gen per­so­nen­be­zo­ge­ner Daten aus der Uni­on in das Ver­ei­nig­te König­reich vor­über­ge­hend nicht als Über­mitt­lung an einen Dritt­staat im Sin­ne des Uni­ons­rechts gel­ten sol­len. Damit sind Daten­über­mitt­lun­gen in das Ver­ei­nig­te König­reich ohne wei­te­re Garan­tien wie z.B. Stan­dard­ver­trags­klau­seln oder Cor­po­ra­te Bin­ding Rules mög­lich.

Doch Ach­tung! Es han­delt sich dabei nur um eine Inte­rims­lö­sung. Die Über­brü­ckungs­frist gilt nur bis zu einem etwai­gen Ange­mes­sen­heits­be­schluss durch die EU-Kommission, längs­tens jedoch für vier Mona­te und ist um zwei Mona­te ver­län­ger­bar. Spä­tes­tens im Juli 2021 wird die Rechts­la­ge rund um den Daten­schutz wie­der neu ver­han­delt wer­den müs­sen.

Ob die EU-Kommission bis dahin einen Ange­mes­sen­heits­be­schluss, der das Daten­schutz­ni­veau des Ver­ei­nig­ten König­reichs bestä­tigt, erlas­sen wird, ist im dop­pel­ten Sin­ne frag­lich. Zum einen, da die EU-Kommission bereits seit Anfang 2020 an dem Beschluss arbei­tet und nun­mehr nur noch 4 Mona­te Zeit haben soll. Zum ande­ren, weil noch unsi­cher ist, ob auf­grund bri­ti­schen Rechts ein Ange­mes­sen­heits­be­schluss über­haupt mög­lich ist. Denn auch dort haben – ver­gleich­bar mit der Situa­ti­on in den USA — inlän­di­sche Behör­de umfas­sen­de Zugriffs­rech­te auf per­so­nen­be­zo­ge­ne Daten. Wie das enden kann, hat uns das Schrems II-Urteil (Hier geht’s zum Arti­kel) gezeigt.

Was kön­nen Unter­neh­men tun?

Obwohl sowohl die EU als auch das Ver­ei­nig­te König­reich bekräf­ti­gen, Daten­über­mitt­lun­gen auf Ange­mes­sen­heits­be­schlüs­se stüt­zen zu wol­len, soll­ten Unter­neh­men die Ent­wick­lun­gen nicht aus den Augen ver­lie­ren. Soll­te es kei­nen Ange­mes­sen­heits­be­schluss geben, wird Groß­bri­tan­ni­en nach Ablauf der 6 Mona­te zum daten­schutz­recht­li­chen Dritt­staat. Daten­über­mitt­lun­gen sind dann nur noch mit­tels geeig­ne­ter Garan­tien wie den oben erwähn­ten Stan­dard­ver­trags­klau­seln oder Bin­ding Cor­po­ra­te Rules mög­lich.

Neben der Daten­über­mitt­lung gilt es auch zu beach­ten, dass das nun­mehr natio­na­le Daten­schutz­recht Groß­bri­tan­ni­ens „UK GDPR“ einen UK-Vertreter vor­sieht („UK Repre­sen­ta­ti­ve“). Unter­neh­men müs­sen also jetzt klä­ren, ob und inwie­weit sie Vor­ga­ben des bri­ti­schen Rechts berück­sich­ti­gen müs­sen und ob die Benen­nung eines Ver­tre­ters im Ver­ei­nig­ten König­reich erfor­der­lich ist.

Fazit

Die EU und das Ver­ei­nig­te König­reich haben einen last-minute Brexit-Deal geschlos­sen, das Handels- und Koope­ra­ti­ons­ab­kom­men. Danach sind Daten­über­mitt­lun­gen auf die Insel wei­ter­hin unein­ge­schränkt zuläs­sig. Das gilt jedoch nur für maxi­mal 6 Mona­te. Unter­neh­men soll­ten die Ent­wick­lun­gen daher im Auge behal­ten und prü­fen, inwie­fern Sie unter das bri­ti­sche Daten­schutz­recht fal­len. Unter Umstän­den ist die Benen­nung eines UK-Vertreters not­wen­dig.

Was Sie noch interessieren könnte:

Das neue TTDSG

26. Novem­ber 2021|

Das Gesetz zur Rege­lung des Daten­schut­zes und des Schut­zes der Pri­vat­sphä­re in der Tele­kom­mu­ni­ka­ti­on und bei Tele­me­di­en („TTDSG“) tritt […]

3G am Arbeitsplatz

23. Novem­ber 2021|

Der Bun­des­tag hat ver­gan­ge­ne Woche zur Ein­däm­mung der Coro­na Pan­de­mie unter ande­rem eine 3G-Pflicht am Arbeits­platz beschlos­sen. Der Bun­des­rat […]

Hinweisgebersystem — Pflicht ab Dezember 2021

4. Okto­ber 2021|

Ein gekipp­ter Gesetzes-Entwurf der noch aktu­el­len Bun­des­re­gie­rung kann für Unter­neh­men schon ab Dezem­ber zu Sank­tio­nen füh­ren. Grund ist die […]

Autorin des Arti­kels:

Eileen Binder

Wirtschaftsjuristin LL.B. & Beraterin im Datenschutz
MEHR ZUR AUTORIN