Zufriedenstellende Einigung auch im Datenschutz?
Der Brexit ist nach Ablauf der vereinbarten Übergangsfrist zum 31.12.2020 endgültig besiegelt und das Vereinigte Königreich (UK) seither kein Mitgliedsstaat der Europäischen Union (EU) mehr. Die Zeit der Ungewissheit, ob der EU-Austritt des Vereinigten Königreichs aus der Europäischen Union mit oder ohne Deal erfolgen wird, hat mit dem Handels- und Kooperationsabkommen vom 24.12.2020 ein für beide Vertragsparteien erfreuliches Ende gefunden. Denn nun ist klar, dass Großbritannien die EU nach der Übergangsfrist mit einem ausgehandelten Deal verlassen wird und das Szenario No-Deal-Brexit ausbleibt.
Der Partnerschaftsvertrag
Das geschlossene Handels- und Kooperationsabkommen (auch Partnerschaftsvertrag) genannt, trat am 01. Januar 2021 vorläufig in Kraft und regelt fortan die vertraglichen Rahmenbedingungen für die zukünftige wirtschaftliche Beziehung beider Parteien. Auch der Datenschutz und die damit einhergehende internationale Datenübertragung von der EU nach UK wurde in dem 1.250 Seiten umfassenden Vertrag (siehe PDF) berücksichtigt und mit aufgenommen. Dies war besonders wichtig, da mit dem Austritt der räumliche Geltungsbereich der DSGVO in UK keine Anwendung mehr findet.
Der Austritt des Vereinigten Königreichs führt ab dem 01.01.2021 grundsätzlich dazu, dass dieses als unsicheres Drittland gem. Art 44 ff. DS-GVO angesehen werden muss.
Damit eine rechtmäßige Datenübertragung weiterhin sichergestellt werden kann, muss optimalerweise ein Angemessenheitsbeschluss der Europäischen Kommission für die Übermittlung personenbezogener Daten aus der EU vorliegen. Zum Zeitpunkt des Vertragsabschlusses lag ein solcher Beschluss jedoch nicht vor und es wurde kurzerhand eine weitere Übergangsphase zur Sicherstellung des rechtmäßigen Datentransfers ins Leben gerufen. So garantiert der jetzige Partnerschaftsvertrag bis zum 30.04.2021 eine Rechtssicherheit im Hinblick auf die Angemessenheit des Datenschutzniveaus des Vereinigten Königreichs: Dies wird vorerst nicht als unsicheres Drittland angesehen. Um auch die Datenverarbeitung über den 30.04.2021 hinaus zu erleichtern, wurde eine automatische Verlängerung der Übergangsfrist von zwei Monaten bis zum 30.06.2021 in den Partnerschaftsvertrag aufgenommen (Nachzulesen im TRADE AND COOPERATION AGREEMENT ab S.406 ff.).
Aber Achtung: Die Option der Verlängerung gilt nur dann, wenn beide Vertragsparteien dieser Verlängerung nicht widersprechen! Die spannende Frage bleibt, welche Rechtslage nach der aktuellen Übergangsphase gelten wird und ob ein uneingeschränkter und sicherer Datentransfer bei der Bewertung Großbritanniens als unsicheres Drittland möglich sein wird.
Die entscheidende Fragestellung ist: Welche rechtlichen Rahmenbedingungen werden nach der Übergangsphase gelten und wie können sich Unternehmen aufstellen, damit sie auch nach Ablauf der Übergangsphase sicher und rechtskonform Daten in das vereinigte Königreich transferieren können.
Ein Angemessenheitsbeschluss wäre schön
Denkbar ist, dass die Europäische Kommission die Übergangsphase dafür nutzen wird und einen Angemessenheitsbeschluss ausarbeitet. Hier stellt sich allerdings die Frage, ob die Übergangsphase zeitlich ausreichen wird, um einen angemessenen Beschluss auszuarbeiten, der auch einer Überprüfung des Europäischen Gerichtshofs standhält. Wie bereits an anderer Stelle hier im Blog erwähnt.(Schrems II) hat der EuGH bereits mit seiner Rechtsprechung sowohl das implodierte Safe Harbor Abkommen als auch das EU-US Privacy Shield Abkommen mit den Vereinigten Staaten von Amerika kassiert und für unwirksam erklärt. Auch die Nebenaussagen aus dem Schrems- II- Urteil sollten im Hinterkopf behalten werden.
Standarddatenschutzklauseln aus Ausweg?
Eine andere denkbare Alternative sind Standarddatenschutzklauseln, die den sicheren Datentransfer nach UK sicherstellen würden. Aber auch diese Alternative ist mit gewissen Rechtsunsicherheiten behaftet, da Standarddatenschutzklauseln seit dem Schrems II-Urteil nicht in jedem Staat ohne weiteres Anwendbar sind. Standarddatenschutzklauseln würden erst dann rechtliche Sicherheiten bieten, wenn personenbezogene Daten in dem jeweiligen Drittland in vergleichbarem Maße wie in der EU Schutz genießen. So kommt es unter anderem auch auf die Rechtsstaatlichkeit des Handelns der Sicherheitsbehörden an. Aufgrund der Tatsache, dass UK bis zum 01.01.2021 ein Mitgliedstaat der EU war und die DSGVO uneingeschränkte Anwendung fand, kann erst einmal die These vertreten werden, dass für UK vereinbarte Standarddatenschutzklauseln ohne Weiteres anwendbar sein werden. Allerdings weist auch der dortige Sicherheitsapparat Ähnlichkeiten zu dem der Vereinigten Staaten von Amerika auf. Ob und in welcher Form der EuGH in Zukunft Stellung zu entsprechenden Sicherheitspraktiken des Vereinigten Königreichs bezieht ist zum jetzigen Zeitpunkt unklar und soll an dieser Stelle auch nicht weiter hinterfragt werden.
Unser Tipp
Aufgrund der aktuell herrschenden Rechtsunsicherheit, was nach Ablauf der erneut vereinbarten Übergangsphase gelten wird, sollten betroffene Unternehmen bereits jetzt in die Schublade mit den Standarddatenschutzklauseln greifen und diese mit Datenverbreitern oder verbundenen Unternehmen aus UK schließen. Nur so ist man als betroffenes Unternehmen auf die aktuell herrschende Rechtsunsicherheit gut vorbereitet und kann sich erst einmal zurücklehnen und mit Spannung beobachten, wie die Rechtslage nach der aktuellen Übergangsphase aussehen wird!