Matthias Weber
Datenschutzbeauftragter
Großbritannien hat zum 1. Februar 2020 die Europäische Union verlassen. Dies hat und wird nicht nur viele wirtschaftliche und gesellschaftliche Folgen für das Vereinigte Königreich und Europa haben. Der Brexit bedeutet auch weitreichende Folgen für den Datenschutz und den Datenaustausch zwischen der EU und Großbritannien.
Durch das Ausscheiden aus der EU wird Großbritannien zu einem Drittstaat wie die USA, was eine Datenübertragung um einiges erschweren wird. Da in Bezug auf Großbritannien kein Abkommen wie der EU-US Privacy Shield existiert, gibt es im Augenblick zwei Möglichkeiten: zum einen die Standardvertragsklauseln oder Binding Corporate Rules, die eine solche Übertragung möglich machen. Sie dienen als Garantie für DSGVO-Konformität zum Datenaustausch zwischen einzelnen Parteien und bilden sich aus unternehmensinternen verbindlichen Datenschutzvorschriften. Die zweite Möglichkeit wären Angemessenheitsbeschlüsse nach Art. 45 DSGVO wie sie mit Ländern Japan, Argentinien und der Schweiz bereits existieren.
Sinn des Austrittsabkommens war es, einen harschen Schnitt (No-Deal-Brexit) zwischen den Vertragsparteien zu verhindern. Wäre dies nicht gelungen, so hätten die bisherigen Vertragsabkommen von jetzt auf gleich nicht mehr gegolten.
Das hätte wiederum eine massive Belastung für die Wirtschaft zur Folge gehabt, da jeder Datentransfer nach Großbritannien detailliert geprüft bzw. direkt gestoppt hätte werden müssen. Der Artikel 127 Abs 1 i.V.m. Artikel 126 legt vorerst fest, dass für den Übergangszeitraum bis Ende Dezember 2020 das Unionsrecht gilt. Es besteht zudem die Möglichkeit, den Übergangszeitraum und damit den Geltungszeitraum der DSGVO um zwei Jahre zu verlängern.
Eine langfristige Lösung wäre ein Angemessenheitsbeschluss, welcher einen nach DSGVO datenschutzrechtlich konformen Datenaustausch ermöglicht. Intensive und aufwendige einzelne Prüfungen würden unter dem Angemessenheitsbeschluss wegfallen. Dabei erklärt die EU-Kommission ein Drittland oder eine einzelne Region zu einem sicheren Datenaustausch-Partner; ein Beschluss kann aber auch „nur“ einzelne Datenkategorien betreffen. Geplant war eine zeitgleiche Abwicklung mit dem Brexit-Verfahren, ob dies aber verwirklicht werden kann, ist allerdings fraglich. Die britische Regierung sieht den Beschluss zwar als „technische Formalität“ an, doch eine pünktliche Abwicklung wird schwierig, da eine Verlängerung des Übergangszeitraums nach aktuellem politischem Stand höchst unwahrscheinlich ist.
Diese Frage lässt sich zu diesem Zeitpunkt nur schwer beantworten. Zu Beginn jedoch gingen die Experten davon aus, dass Großbritannien sich an die EU-Datenschutzgrundverordnung anlehnen wird, da sich das britische Datenschutzrecht schon seit Jahren nach dem europäischen Recht gerichtet hat. Eine Abkehr von dieser Denkweise wäre tatsächlich mit sehr viel Arbeit und einer großen Rechtsunsicherheit behaftet.
Seit dem Machtwechsel von May zu Johnson zeichnet sich offenbar ein Kurswechsel ab.
Zwar gab die britische Datenschutzbehörde ICO an, dass bis Ende des Übergangszeitraums zunächst alles wie gehabt bleibt, was danach kommt sei aber ungewiss. Man ließe sich alle Optionen offen.
Der britische Premier hat angekündigt, dass seine Regierung in eine „losgelöste und unabhängige“ Richtung beim Datenschutz gehen werde. Dabei sollen jedoch „hohe Standards“ so wie bisher gelten. Er betonte zudem, dass das Vereinigte Königreich nicht zu einem Abkommen verpflichtet sei, gleichzeitig sei der Beschluss nur eine „technische“ Formalität. Dieser gegensätzliche politische Kurs macht es nicht nur schwer, eine Prognose abzugeben, er zeigt auch die innerpolitische Zerrissenheit in Großbritannien auf, nicht nur zu diesem Thema.
Es ist im Moment also noch unklar, in welche Richtung sich das britische Datenschutzrecht orientieren wird.
Wenn Sie nicht sicher sind, ob Ihr Unternehmen alle Datenschutz-Anforderungen erfüllt kontaktieren Sie uns einfach.
Wir helfen Ihnen gern!