“Das Abkom­men sieht vor, dass Daten­über­mitt­lun­gen per­so­nen­be­zo­ge­ner Daten aus der Uni­on in das Ver­ei­nig­te König­reich vor­über­ge­hend nicht als Über­mitt­lung an einen Dritt­staat im Sin­ne des Uni­ons­rechts gel­ten sol­len.” – Eileen Binder

In unse­rem letz­ten Arti­kel zum Brexit (hier geht’s zum Arti­kel), als das Jahr 2020 in den letz­ten Zügen lag, wur­de mit Span­nung erwar­tet, ob sich Groß­bri­tan­ni­en und die EU bis zum Ende der Über­gangs­frist für den Brexit wür­den eini­gen kön­nen, wie das Ver­hält­nis zwi­schen der Insel und dem Kon­ti­nent zukünf­tig aus­se­hen könn­te. Und tat­säch­lich, in buch­stäb­lich letz­ter Sekun­de haben sich bei­de doch noch auf einen Brexit-Deal geei­nigt. Unter ande­rem geht es in dem 1250 Sei­ten star­ken Handels- und Koope­ra­ti­ons­ab­kom­men auch um den Daten­schutz. Was hat sich nun verändert?

Das Abkom­men sieht in Arti­kel FINPROV.10A (S. 468) vor, dass Daten­über­mitt­lun­gen per­so­nen­be­zo­ge­ner Daten aus der Uni­on in das Ver­ei­nig­te König­reich vor­über­ge­hend nicht als Über­mitt­lung an einen Dritt­staat im Sin­ne des Uni­ons­rechts gel­ten sol­len. Damit sind Daten­über­mitt­lun­gen in das Ver­ei­nig­te König­reich ohne wei­te­re Garan­tien wie z.B. Stan­dard­ver­trags­klau­seln oder Cor­po­ra­te Bin­ding Rules möglich.

Doch Ach­tung! Es han­delt sich dabei nur um eine Inte­rims­lö­sung. Die Über­brü­ckungs­frist gilt nur bis zu einem etwa­igen Ange­mes­sen­heits­be­schluss durch die EU-Kommission, längs­tens jedoch für vier Mona­te und ist um zwei Mona­te ver­län­ger­bar. Spä­tes­tens im Juli 2021 wird die Rechts­la­ge rund um den Daten­schutz wie­der neu ver­han­delt wer­den müssen.

Ob die EU-Kommission bis dahin einen Ange­mes­sen­heits­be­schluss, der das Daten­schutz­ni­veau des Ver­ei­nig­ten König­reichs bestä­tigt, erlas­sen wird, ist im dop­pel­ten Sin­ne frag­lich. Zum einen, da die EU-Kommission bereits seit Anfang 2020 an dem Beschluss arbei­tet und nun­mehr nur noch 4 Mona­te Zeit haben soll. Zum ande­ren, weil noch unsi­cher ist, ob auf­grund bri­ti­schen Rechts ein Ange­mes­sen­heits­be­schluss über­haupt mög­lich ist. Denn auch dort haben – ver­gleich­bar mit der Situa­ti­on in den USA — inlän­di­sche Behör­de umfas­sen­de Zugriffs­rech­te auf per­so­nen­be­zo­ge­ne Daten. Wie das enden kann, hat uns das Schrems II-Urteil (Hier geht’s zum Arti­kel) gezeigt.

Was kön­nen Unter­neh­men tun?

Obwohl sowohl die EU als auch das Ver­ei­nig­te König­reich bekräf­ti­gen, Daten­über­mitt­lun­gen auf Ange­mes­sen­heits­be­schlüs­se stüt­zen zu wol­len, soll­ten Unter­neh­men die Ent­wick­lun­gen nicht aus den Augen ver­lie­ren. Soll­te es kei­nen Ange­mes­sen­heits­be­schluss geben, wird Groß­bri­tan­ni­en nach Ablauf der 6 Mona­te zum daten­schutz­recht­li­chen Dritt­staat. Daten­über­mitt­lun­gen sind dann nur noch mit­tels geeig­ne­ter Garan­tien wie den oben erwähn­ten Stan­dard­ver­trags­klau­seln oder Bin­ding Cor­po­ra­te Rules möglich.

Neben der Daten­über­mitt­lung gilt es auch zu beach­ten, dass das nun­mehr natio­na­le Daten­schutz­recht Groß­bri­tan­ni­ens „UK GDPR“ einen UK-Vertreter vor­sieht („UK Repre­sen­ta­ti­ve“). Unter­neh­men müs­sen also jetzt klä­ren, ob und inwie­weit sie Vor­ga­ben des bri­ti­schen Rechts berück­sich­ti­gen müs­sen und ob die Benen­nung eines Ver­tre­ters im Ver­ei­nig­ten König­reich erfor­der­lich ist.

Fazit

Die EU und das Ver­ei­nig­te König­reich haben einen last-minute Brexit-Deal geschlos­sen, das Handels- und Koope­ra­ti­ons­ab­kom­men. Danach sind Daten­über­mitt­lun­gen auf die Insel wei­ter­hin unein­ge­schränkt zuläs­sig. Das gilt jedoch nur für maxi­mal 6 Mona­te. Unter­neh­men soll­ten die Ent­wick­lun­gen daher im Auge behal­ten und prü­fen, inwie­fern Sie unter das bri­ti­sche Daten­schutz­recht fal­len. Unter Umstän­den ist die Benen­nung eines UK-Vertreters notwendig.