Die Folgen des Brexits für den Datenschutz
11. September 2020 | von Lisa Wiltschko
Zum 01.02.2020 ist das Vereinigte Königreich nach Ratifizierung des Austrittsabkommens aus der EU ausgetreten. Von diesem Zeitpunkt an bis zum 31.12.2020 liegt eine Übergangsphase vor. Während dieser Übergangsphase gilt nach dem Austrittsabkommen das EU-Recht im und gegenüber dem Vereinigten Königreich weiter. Dem Vereinigten Königreich steht es aber auch frei bereits in der Übergangsphase seine nationalen Datenschutzgesetze neu zu gestalten und die DSGVO durch eine originäre Gesetzgebung zu ersetzen. Gemäß dem Austrittsabkommen muss diese dem Schutzniveau des EU-Rechts im Wesentlichen entsprechen.
Derzeit können personenbezogene Daten noch ohne Einschränkungen aus der EU in das Vereinigte Königreich übermittelt werden; das Datenschutzniveau nach europäischen Standards kann bis Ende 2020 garantiert werden. Wie es nach der Übergangsphase weitergeht, ist zwischen der EU und dem Vereinigten Königreich noch nicht abschließend geklärt. Ziel der EU ist es jedoch auch in der Zukunft eine möglichst enge Partnerschaft mit dem Vereinigten Königreich zu pflegen.
Um der starken datenwirtschaftlichen Verflechtung der EU mit dem Vereinigten Königreich auch nach dem 31.12.2020 weiterhin gerecht zu werden, sollen langfristige Lösungen im künftigen „Partnerschaftsabkommen“ und ggf. in ergänzenden Abkommen erfolgen.
Ohne ein Abkommen gelten die allgemeinen Vorschriften der DSGVO für Drittländer.
Für eine Drittlandübermittlung regelt besonders Kapitel V der DSGVO (Art. 44 ff. DSGVO) eine Reihe an Mitteln, mit denen sichergestellt wird, dass bei einer Datenübermittlung in Drittländer das in der Union garantierte Schutzniveau für natürliche Personen nicht untergraben wird. Nach Art. 45 DSGVO wäre der Erlass eines „Angemessenheitsbeschlusses“ durch die EU ein mögliches Instrument. Voraussetzung für den Erlass ist dabei aber, dass die Europäische Kommission davon überzeugt ist, dass ein Drittland ein der EU entsprechendes angemessenes Datenschutzniveau bietet und somit die Voraussetzungen erfüllt.
Ein Hindernis für den Erlass eines Angemessenheitsbeschlusses für den Fall des Vereinigten Königreichs könnte allerdings in der engen Kooperation des Vereinigten Königreichs mit dem US-Nachrichtendienst NSA und einer innerstaatlichen Rechtslage liegen, die es den Sicherheits- und Nachrichtendiensten des Vereinigten Königreichs ermöglicht, bei Betreibern öffentlicher Telekommunikations-Diensten anfallende Massen-Telekommunikations-Daten zu nuten.
Ein weiteres Instrument der Datenübermittlung im Falle des Fehlens eines Angemessenheitsbeschlusse stellen Standardvertragsklauseln nach Art. 46 Abs. 1 S. 2 lit. c) DSGVO und Binding corporate Rules nach Art. 46 Abs. 1 S. 2 lit. b) DSGVO dar. Hier hat jedoch eine Prüfung zu erfolgen, ob betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen.
Die Europäische Kommission rät Unternehmen und öffentlichen Verwaltungen dazu „notwendige Maßnahmen zu treffen, dass die Übermittlung personenbezogener Daten in das Vereinigte Königreich unabhängig davon, nach welchen Szenarien die EU einen Angemessenheitsbeschluss in Bezug auf das Vereinigte Königreich erlassen wird, im Einklang mit dem Datenschutzrecht der Union erfolgt. Dies kann durch geeignete Garantien, wie sie in der DSGVO vorgesehen sind, u. a. verbindliche interne Datenschutzvorschriften, oder durch spezifische Ausnahmeregelungen erreicht werden.
Zu gegebener Zeit werden wir über Neuerungen der Brexit-Verhandlungen berichten. Bis dahin können Sie sich bei Fragen zu konkreten Fällen gerne an das Team der Datenschutzbeauftragten wenden.
Weitere Tipps und Hinweise finden Sie unter:
https://www.uni-regensburg.de/informationssicherheit/datenschutz/arbeitshilfen/index.html
Quellen:
ZD 2020, 391 Gerhard Kunnert: Der Brexit als Exit aus der DS-GVO: https://beck-online.beck.d /Dokument?vpath=bibdata%2Fzeits%2Fzd%2F2020%2Fcont%2Fzd.2020.391.1.htm&anchor=Y-300-Z-ZD-B-2020-S-391-N-1
https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:52020DC0324&from=DE
