Nach mehr als zwei Jahren seit dem Referendum über einen Austritt des Vereinigten Königreichs aus der EU nehmen die Verhandlungen über einen Brexit-Deal nun doch noch Fahrt auf. Zumindest haben sich die Unterhändler auf 585 Seiten auf ein Übergangsabkommens einigen können, das ein Zeitfenster bis zum Ende des Jahres 2020 eröffnet, um innerhalb dieser Zeitspanne ein abschließendes Austrittsabkommen aushandeln zu können.
Mit ihrem Notfallplan vom 13.11.2018 hatte die Europäische Kommission eine erhebliche Drohkulisse für den Fall eines harten Brexits aufgebaut. Diese Drohkulisse verfehlte auf der britischen Seite offenbar nicht ihre Wirkung. Der britischen Premierministerin Theresa May kam dies wahrscheinlich nicht ungelegen, um ihr Kabinett auf Linie zu bringen. Dem Mittwochabend erfolgten positiven Kabinettsbeschluss über das Abkommen waren stundenlange Verhandlungen vorausgegangen. Das damit nicht auch gleichzeitig alle Minister überzeugt waren und wie hoch der politische Druck auf britischer Seite ist, lässt sich daran erkennen, dass gestern Vormittag zwei Minister und ein Staatssekretär zurückgetreten sind.
Was beinhaltet das Abkommen für den Datenschutz?
Doch was bedeutet der jetzt vorliegende Entwurf für ein Übergangsabkommen bis Ende des Jahres 2020 nun konkret für die Datenverarbeitung und den Datenschutz von Firmen mit Bezug zum Vereinigten Königreichs? Während im EU-Notfallplan für einen harten Brexit noch damit gedroht wurde, dass es keine Planungen für einen Angemessenheitsbeschluss nach Art. 45 (3) DSGVO gibt, würde sich die Lage nach dem jetzt auf dem Tisch liegenden Übergangsabkommen deutlich entspannter darstellen.
In fünf knappen Artikeln verständigen sich die EU und Großbritannien darauf, dass das europäische Datenschutzrecht während der Übergangsphase weiterhin im Wesentlichen gelten soll. Dabei unterscheidet das Abkommen in Artikel 71 (1) zwei Arten von Daten: Die Daten, die bis zum Ablauf der Übergangsphase verarbeitet wurden, auf der einen Seite und solchen, die danach verarbeitet werden. Bis zum Ende der Übergangsphase gilt weiterhin Unionsrecht.
Danach eröffnet sich für Großbritannien die Möglichkeit durch Artikel 71 (2) ein nationales Datenschutzrecht zu beschließen und für dieses einen Angemessenheitsbeschluss mit der Europäischen Kommission auszuhandeln. Für den Fall, dass dieser einmal entfallen sollte, verpflichtet sich Großbritannien lediglich dazu, einen im Wesentlichen gleichen Datenschutz zu garantieren.
Artikel 73 des Übergangskommens stellt im Gegenzug klar, dass die EU Daten aus dem Vereinigten Königreich wie Daten aus einem Mitgliedsland behandelt.
In dem letzten Artikel 74 des Kapitels über Datenschutz werden dann noch Regelungen bezüglich vertraulicher Informationen und Kryptographieprodukten getroffen.
Konstellation No-Deal:
Allerdings bleibt es spannend abzuwarten, ob dieses Übergangsabkommen angesichts des massiven innenpolitischen Gegenwinds, den Theresa May derzeit erfährt, tatsächlich Wirkung entfalten wird. Daher darf man als Datenverarbeiter die Möglichkeit eines harten Brexits ohne Abkommen nicht unterschätzen.
Die Europäische Kommission informiert mit ihrer Veröffentlichung vom 13.11.2018 umfassend darüber, welche Maßnahmen sie im Falle eines No-Deal-Szenarios ergreifen wird und welche nicht. Im Falle eines No-Deals geht die Kommission von signifikanten Beeinträchtigungen in vielen Bereichen aus. Daher mahnt die Kommission nochmals alle Europäischen Bürger, Unternehmer und Mitgliedsstaaten, sich auf alle denkbaren Szenarien vorzubereiten, mögliche Risiken zu bewerten und bereits jetzt Maßnahmen zu Abmilderung der festgestellten Risiken zu ergreifen.
Hinsichtlich des Datenschutzes stellt die Europäische Kommission in ihrer Information nunmehr klar, dass der Maßnahmenkatalog für das No-Deal-Szenario keinen Angemessenheitsbeschluss nach Art. 45 DSGVO umfasst. Ab dem 30. März 2019 wäre das Vereinigte Königreich damit datenschutzrechtlich als sog. Drittland anzusehen.
Datenübermittlungen in das Vereinigte Königreich wären daher durch die in den Art. 44 ff. DSGVO vorgesehenen Mechanismen abzusichern. Die Information der Kommission benennt hierzu ausdrücklich die in Art. 46 DSGVO benannten Garantien (insb. die Nutzung sog. Standardvertragsklauseln), Einwilligungen der Betroffenen (Art. 49 Abs.1 a) DSGVO), Übermittlungen zur Erfüllung eines Vertrags (Art. 49 Abs.1 b) DSGVO), zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen (Art. 49 Abs.1 e) DSGVO) oder aus wichtigen Gründen des öffentlichen Interesses (Art. 49 Abs.1 d) DSGVO).
Die Kommission stellt abschließend lapidar fest, dass sich das Vereinigte Königreich damit in Gesellschaft der meisten anderen Staaten der Welt befindet, bei denen ebenfalls – mangels Vorliegens von Angemessenheitsbeschlüssen – die o.g. Mechanismen für eine Datenübermittlung genutzt werden müssen.
Die nächsten Schritte
Die nächste Abstimmung findet am 25. November auf einem EU-Sondergipfel der 27 Regierungschef der EU-Mitgliedsstaaten statt. Hier ist allerdings nicht mit Überraschungen zu rechnen. Viel entscheidender wird sein, ob das britische Unterhaus am 10. Dezember dem Abkommen zustimmen wird. Hier ist noch völlig unklar, wie die Minderheitsregierung von Theresa May angesichts der Abweichler in den eigenen Reihen für genügend Stimmen sorgen will.
Kristina von Paczinsky und Tenczin | | Internationaler Datenschutz | Angemessenheitsbeschluss, Brexit, Drittland, EU-Standardvertragsklauseln
24. November 2018 @ 21:32
Das schrankt die Optionen von May in den Brexit-Verhandlungen ein, ist ihr aber vielleicht sogar ganz recht. Das Parlament zwingt sie im Prinzip zu einem „weichen Brexit“, ohne dass sie dies gegenuber den Hardlinern in der Partei selbst durchsetzen musste. Aus diesem Grund hatte May die wichtige Diskussion im Kabinett, welche Art Brexit und welche Art Handelsbeziehung Gro?britannien mit der EU anstreben wurde, hinausgezogert. Erst diese Woche wurden diese Fragen das erste Mal seit der Volksabstimmung im Juni 2016 von den Ministern umfangreich besprochen. Ein kluger Zug von der Premierministerin.