Das Vereinigte Königreich hat die EU eigentlich schon am 31. Januar 2020 verlassen; wegen der vereinbarten, bis zum 31. Dezember 2020 befristeten Fortgeltung der EU-acquis in Großbritannien und Nordirland, war von den Auswirkungen bislang aber wenig zu spüren. In unseren Beratungen durchaus spürbar war jedoch die zunehmende Sorge um einen ungeregelten Austritt und – nicht zuletzt – was das für Datenflüsse zwischen der EU und UK bedeutet hätte. Hier können Unternehmen nun vorerst aufatmen, zunächst ändert sich nichts. Doch wie geht es weiter und was ist jetzt zu beachten?
Großbritannien ist nun Drittstaat, nur nicht im Sinne der DSGVO
Mit dem Ende der Übergangsphase zum 31. Dezember 2020 ist das Vereinigte Königreich zu einem Drittstaat geworden. Datenschutzrechtlich sogar zu einem unsicheren Drittstaat, da bisher kein Angemessenheitsbeschluss der Kommission vorliegt. Das wirkt sich bekanntlich auf die Zulässigkeit von Datenübermittlungen aus. Unternehmen, die Daten nach Großbritannien übermitteln und Konzerne mit UK-Bezug, mussten bis zuletzt bangen, was sie am 1. Januar 2021 erwarten würde.
Ein Überbrückungsmechanismus stellt nun sicher: Zunächst ändert sich für Datenübermittlungen zwischen der EU und dem Vereinigten Königreich nichts. Die an Heiligabend erzielte britisch-europäische Einigung zu einem Handels- und Kooperationsabkommen sieht in Artikel FINPROV.10A (S. 468) vor, dass Datenübermittlungen personenbezogener Daten aus der Union nach Nordirland, Schottland, Wales und England vorübergehend nicht als Übermittlung an einen Drittstaat im Sinne des Unionsrechts gelten sollen. Das gleiche soll, deren Zustimmung vorausgesetzt, auch für die EWR Staaten Island, das Fürstentum Liechtenstein und das Königreich Norwegen gelten.
Datenübermittlung weiter uneingeschränkt möglich – wenn auch nur vorübergehend
Dank dieser Interimslösung sind für europäische Unternehmen Übermittlungen personenbezogener Daten in das Vereinigte Königreich zunächst weiterhin möglich, ohne dass es besonderer geeigneter Garantien, z.B. Standardvertragsklauseln oder Binding Corporate Rules, bedarf. Das bestätigte auch die DSK auf dem Fuße. Die französische Aufsichtsbehörde CNIL tat es ihr gleich. Einzig und ausgerechnet das britische Information Commissioner’s Office schlägt hier vorsichtigere Töne an:
„As a sensible precaution, before and during this period, the ICO recommends that businesses work with EU and (European Economic Area) organizations who transfer personal data to them, to put in place alternative transfer mechanisms, to safeguard against any interruption to the free flow of EU to (U.K.) personal data.„
Tatsächlich sollten auch Unternehmen diesseits des Ärmelkanals die weiteren Entwicklungen sorgsam im Auge behalten, wenn sie Daten z.B. innerhalb eines Konzerns mit UK-Bezug verarbeiten oder an Dienstleister und Kooperationspartner im Vereinigten Königreich übermitteln. Denn Artikel FINPROV.10A schafft hier nur vorübergehend Rechtssicherheit.
Sollte Großbritannien, wie von Boris Johnson angekündigt, eine „losgelöste und unabhängige“ Linie beim Datenschutz verfolgen und die ins britische Recht überführten DSGVO-Regelungen (sogenannte UK-GDPR) oder des Data Protection Act von 2018 ohne Abstimmung mit der EU ändern, wäre der Übergangsmechanismus sofort hinfällig. Gleiches gilt im Falle der Ausübung bestimmter Befugnisse, wie die Genehmigung von BCRs etc., durch die britische Datenschutzaufsicht, insbesondere, wenn diese dazu dienen sollen, Übermittlungen aus dem Vereinigten Königreich in sonstige Drittstaaten zu rechtfertigen.
In jedem Fall endet der mit dem Handels- und Kooperationsabkommen beschlossene Überbrückungsmechanismus mit Erlass eines Angemessenheitsbeschlusses durch die Kommission, spätestens jedoch nach 4 Monaten, verlängerbar um weitere 2 Monate. (Die Kommission arbeitet bereits seit März vergangenen Jahres an einem Angemessenheitsbeschluss.)
Wie geht es weiter?
Bedenken, dass ein Angemessenheitsbeschluss der EU-Kommission für das Vereinigte Königreich womöglich nicht ohne weiteres erlassen werden könne, wurden nach den jüngsten Urteilen des EuGH in Schrems II und Privacy International laut.
In dem jüngeren der beiden Urteile, in der Rs. Privacy International hatte der EuGH festgestellt, dass die im britischen Recht vorgesehene Verpflichtung zur anlasslosen Vorratsspeicherung von Verkehrs- und Standortdaten gegen Unions(grund)rechte verstößt und die umfassenden Zugriffsbefugnisse britischer Behörden zum Zwecke der allgemeinen Verbrechensbekämpfung und des Schutzes der nationalen Sicherheit unzulässig sind.
Sowohl die Kommission, als auch das vorliegende Handels- und Kooperationsabkommen selbst, senden jedoch ein deutliches Signal: Ein Angemessenheitsbeschluss soll kommen! Die entscheidende Frage ist jedoch, wie so oft in dieser Brexit-Odysse, ob das auch noch innerhalb der erneuten Übergangsfrist von maximal sechs Monaten gelingen wird.
Das Handels- und Kooperationsabkommen ist, nachdem die 27 EU-Staaten und das britische Parlament zugestimmt haben, am 1. Januar vorläufig in Kraft getreten. Eine ordnungsgemäße Ratifizierung durch das Europaparlament steht zwar noch aus, größere Überraschungen werden hier aber nicht erwartet. Die Übergangsfrist von 6 Monaten hat damit bereits zu laufen begonnen. Ein Angemessenheitsbeschluss erfordert die Zustimmung des Rates und die Beteiligung des Europäischen Datenschutzausschusses. Das dauerte bisher im Schnitt 2 Jahre, wobei es sich bei den betreffenden Staaten bisher auch noch nie um einen Ex-Mitgliedstaat der EU gehandelt hat, in dem die DSGVO bis vor wenigen Tagen noch galt.
Selbst wenn es innerhalb der Übergangsfrist gelingt, einen Angemessenheitsbeschluss zu erlassen, zeichnet sich womöglich auch schon eine britische Version der „Schrems-Saga“ ab. Denn einzelne Organisationen, zu denen Max Schrems‘ NOYB jedoch nicht gehört, haben bereits signalisiert, gegen einen Angemessenheitsbeschluss vorgehen zu wollen, wenn Großbritannien in Sachen Überwachung nicht nachbessert.
To Do’s und Handlungsempfehlungen
Sowohl die EU als auch die britische Seite bekräftigten mit dem Übergangsmechanismus im Handels- und Kooperationsabkommen die Absicht, Übermittlungen personenbezogener Daten zwischen der EU und dem Vereinigten Königreich künftig auf jeweilige Angemessenheitsbeschlüsse stützen zu wollen. Vor allem Konzerne mit UK-Bezug, aber auch Unternehmen, die britische Services nutzen, sind dennoch gut beraten, sich auf den Ernstfall vorzubereiten, dass ein solcher Beschluss nicht mehr rechtzeitig zustande kommt. Hierfür haben sie nun jedenfalls bis Ende April nochmals die Möglichkeit.
Jenseits der Frage zulässiger Übermittlungen personenbezogener Daten in das Vereinigte Königreich sollten Unternehmen spätestens jetzt klären, ob und inwieweit sie Vorgaben des britischen Rechts berücksichtigen müssen und ob die Benennung eines Vertreters im Vereinigten Königreich erforderlich ist. Jeweils relevant wird diese Frage für Unternehmen, die außerhalb des Vereinigten Königreiches ansässig sind und keine Zweigstelle, kein Büro oder eine andere Niederlassung im Vereinigten Königreich haben, die aber Waren oder Dienstleistungen auf dem britischen Markt anbieten.