Wie geht es nach dem Brexit mit der Übermittlung personenbezogener Daten zwischen dem Vereinigten Königreich und den EU-Mitgliedsstaaten weiter? Im folgenden Beitrag geben wir einen Überblick über die aktuellen datenschutzrechtlichen Entwicklungen im Zusammenhang mit dem Austritt des Vereinigten Königsreichs aus der Europäischen Union.
Vom Brexit bis zum 31. Dezember 2020
Das Vereinigte Königreich ist am 31. Januar 2020 aus der EU ausgetreten. Mit dem Austritt aus der EU sind aufgrund des Austrittsabkommens zunächst eine Reihe von Übergangsregelungen in Kraft getreten und damit insbesondere auch Regelungen für den grenzüberschreitenden Datenaustausch zwischen der EU und dem Vereinigten Königreich. Hiernach galt das Vereinigte Königreich seit dem Brexit bis zum 31. Dezember 2020 nicht als Drittland, sondern weiterhin als EU-Staat. Dies hatte zur Folge, dass die DS-GVO für die Verarbeitung von personenbezogenen Daten zwischen EU und Vereinigtem Königreich auch im Jahr 2020 Anwendung fand. Eine Übermittlung von personenbezogenen Daten aus der EU in das Vereinigte Königreich und andersherum war daher in dieser Übergangsphase an keine weiteren Bedingungen geknüpft (siehe hierzu auch unseren Blogbeitrag: https://pwwl.de/neues-aus-dem-datenschutz-tatsaechlich-brexit-was-gilt-nach-dem-31-januar-2020/).
Vom 31. Dezember 2020 bis zum 30. Juni 2021
Nach monatelangen Verhandlungen über die Bedingungen ihrer zukünftigen Zusammenarbeit haben sich die EU und das Vereinigte Königreich am 24. Dezember 2020 in sprichwörtlich letzter Sekunde vor dem Ablauf des im Austrittsabkommens vorgesehenen Übergangszeitraums am 31. Dezember 2020 auf ein Handels- und Kooperationsabkommen geeinigt (sog. „Trade and Cooperation Agreement“). Das Abkommen sieht weitere Übergangsregelungen für den Datenaustausch zwischen der EU und dem Vereinigten Königreich vor. Kernaussage der datenschutzrechtlichen Bestimmungen des Abkommens ist, dass das Vereinigte Königreich übergangsweise nicht als Drittstaat i.S.d. DSGVO angesehen wird. Während der Überbrückungszeit vom 1. Januar 2021 bis zum 30. April 2021 („the bridge“ genannt) sind die Art. 44 f. der DS-GVO zur Datenübermittlung in ein Drittland also noch nicht anwendbar. Sofern weder die EU noch das Vereinigte Königreich widersprechen, verlängert sich die Überbrückungszeit automatisch um zwei Monate bis zum 30. Juni 2021.
Die Überbrückungszeit des Handels- und Kooperationsabkommens endet, sobald die EU-Kommission einen sog. Angemessenheitsbeschluss für das Vereinigte Königreich – ähnlich wie für die Schweiz, Argentinien und Japan – erlassen hat. Bis dahin wird der Datenaustausch zwischen der EU und dem Vereinigten Königreich unter Rückgriff auf das Handels- und Kooperationsabkommen fortgesetzt.
Am 1. Januar 2021 hat das Vereinigte Königreich nun auch offiziell den EU-Binnenmarkt und die Zollunion verlassen. Mit dem Austritt gilt die DS-GVO dort nicht mehr. Daten, die seit diesem Tage im Vereinigten Königreich verarbeitet werden, müssen sich nunmehr nach den Vorgaben des nationalen Data Protection Act 2018 und einer neuen, an die DS-GVO angepassten Variante, der “UK GDPR”, richten.
Vom 19. Februar 2021
Am 19. Februar 2021 hat die EU-Kommission das Verfahren zum Erlass eines Angemessenheitsbeschlusses eingeleitet. Das Ziel: Nach dem Ablauf der sechsmonatigen Überbrückungszeit des Handels- und Kooperationsabkommens soll ab dem 1. Juli 2021 ein angemessenes Datenschutzniveau bei der Übermittlung personenbezogener Daten aus der EU in das Vereinigte Königreich gewährleistet sein.
Zum Entwurf des Angemessenheitsbeschlusses
Grundsätzlich sieht Art. 45 Abs. 3 DS-GVO vor, dass die EU-Kommission nach Beurteilung der Angemessenheit des Datenschutzniveaus in einem Drittland im Wege eines Durchführungsrechtsaktes (sog. „Angemessenheitsbeschluss“) beschließen kann, dass das Drittland ein „angemessenes Schutzniveau“, d.h. ein Schutzniveau für personenbezogene Daten, das im Wesentlichen dem Schutzniveau innerhalb der EU entspricht, bietet. Es wird also offiziell festgestellt, dass die Datenübermittlung von der EU in das Vereinigte Königreich keinen Bedenken begegnet. Wenn ein Nicht-EU-Land durch die EU-Kommission in der Folge als „angemessen“ befunden wurde, bedarf eine Übermittlung personenbezogener Daten in dieses Nicht-EU-Land daher keiner besonderen Genehmigung (Art. 45 Abs. 1 Satz 2 DS-GVO).
Hierzu heißt es in der Pressemitteilung der EU-Kommission, die EU-Kommission habe das britische Recht und die britische Praxis zum Schutz personenbezogener Daten in den vergangenen Monaten sorgfältig auf ihr Schutzniveau geprüft. Die EU-Kommission kommt bereits jetzt zu dem Schluss, dass das Vereinigte Königreich ein im Wesentlichen gleichwertiges Schutzniveau gewährleistet wie das, das in der EU durch die DS-GVO gewährleistet wird. Derzeit unterscheidet sich das Datenschutzniveau des Vereinigten Königsreichs nämlich nicht signifikant von dem der EU. Die DS-GVO ist mit nur wenigen Anpassungen Bestandteil des britischen Datenschutzrechts unter dem nationalen Data Protection Act 2018 geworden. Sofern das Vereinigte Königreich sein Datenschutzrecht in den kommenden Monaten nicht drastisch ins Negative verändert, dürfte der Angemessenheitsbeschluss der EU-Kommission also bereits in Sichtweite sein.
Ausblick
Nach Einholung der Stellungnahme des Europäischen Datenschutzausschusses wird die EU-Kommission die Mitgliedstaaten um grünes Licht für den Angemessenheitsbeschluss bitten, um im Anschluss selbst eine endgültige Entscheidung zum „angemessenen Schutzniveau“ für den Datenaustausch aus der EU in das Vereinigte Königreich treffen zu können. Sobald die EU-Kommission einen Angemessenheitsbeschluss erlässt, gilt das Vereinigte Königreich als sicheres Drittland mit der Folge, dass der Datenaustausch aus der EU in das Vereinigte Königreich ohne zusätzliche Garantien möglich ist. Der Angemessenheitsbeschluss der EU-Kommission betrifft zu guter Letzt lediglich den Datentransfer von der EU in das Vereinigte Königreich. Der Datentransfer in die andere Richtung – vom Vereinigten Königreich in die EU – wird bereits seit dem 1. Januar 2021 durch die britische Gesetzgebung geregelt. Das Vereinigte Königreich hat längst entschieden, dass die EU ein angemessenes Schutzniveau gewährleistet und die personenbezogenen Daten frei vom Vereinigten Königreich in die EU fließen können.