Am 24. Dezember 2020 – und damit gerade noch rechtzeitig – haben sich die Kommission der Europäischen Union und die Regierung des Vereinigten Königreichs von Großbritannien und Nordirland auf ein „Handels- und Kooperationsabkommens“ geeinigt. Gerade noch rechtzeitig, weil am 31. Dezember 2020 die bisherige Übergangsphase endgültig auslief.
Das neue Abkommen ist bereits am 01. Januar 2021 in Kraft getreten. Es enthält auch wichtige Regelungen für Übermittlungen personenbezogender Daten ins Vereinigte Königreich. Diese Regelungen besagen im Wesentlichen:
- Bis zu vier Monate nach dem Inkrafttreten gelten Datenübermittlungen in das Vereinigte Königreich nicht als Drittlandübermittlungen.
- Diese Frist verlängert sich um zwei Monate sofern weder die EU noch das Vereinigte Königreich der Verlängerung widerspricht.
- Die Regelung aus 1.) endet, wenn die EU-Kommission einen sogenannten „Angemessenheitsbeschluss“ gemäß Art. 45 DSGVO erlässt. Damit wären Datenübermittlungen ins Vereinigte Königreich so zu behandeln, wie dies auch bei den anderen Drittländern der Fall ist, für die es bereits einen solchen Angemessenheitsbeschluss gibt (eine Übersicht der Angemessenheitsbeschlüsse der EU-Kommission finden Sie
hier).
Diese Regelungen gelten sofern das Vereinigte Königreich seine Datenschutzregelungen nicht überraschend ändert, wovon derzeit aber nicht auszugehen ist.
Drei mögliche Szenarien:
- Innerhalb von sechs Monaten erfolgt der Angemessenheitsbeschluss der EU-Kommission und es wird kein Widerspruch gegen die Fristverlängerung eingelegt.
- Es wird zwar kein Widerspruch gegen die Fristverlängerung eingelegt, aber es erfolgt innerhalb der Frist von sechs Monaten kein Angemessenheitsbeschluss.
- Es wird ein Widerspruch gegen die Fristverlängerung eingelegt und es erfolgt innerhalb der Frist von vier Monaten kein Angemessenheitsbeschluss.
Die Variante c) wäre das Worst Case Szenario, da dann Datenübermittlungen in das Vereinigte Köndigreich bereits ab dem 01. Mai 2021 als Drittlandübermittlungen gelten. Abgesehen von den Ausnahmen aus Art. 49 DSGVO kämen dann nur noch der Abschluss von Standarddatenschutzklauseln oder die Anwendung von verbindlichen internen Datenschutzvorschriften nach Art. 47 DSGVO in Frage. Bei der Variante b) würde das gleiche ab dem 01. Juli 2021 gelten. Die Variante a) wäre aus Sicht der Unternehmen die beste der drei Varianten, da dann erst einmal kein weiterer Handlungsbedarf bestünde. „Erst einmal“, weil spätestens nach vier Jahren der Angemessenheitsbeschluss zu überprüfen ist. Aufgrund von Rechtsänderungen im Vereinigten Königreich könnte eine solche Überprüfung dazu führen, dass der Angemessenheitsbeschluss auch wieder aufgehoben werden muss.
Es gab allerdings auch bereits Aussagen aus den Kreisen der EU-Kommission, dass dieser Angemessenheitsbeschluss kein Selbstläufer ist und von daher nicht sicher ist, ob es zu einem solchen Angemessenheitsbeschluss kommen wird. Daher ist hier meine Empfehlung bei allen Datenübermittlungen in das Vereinigte Königreich zu prüfen, ob diese unbedingt erforderlich sind oder ob künftig auf diese – z.B. durch Verlagerung von Dienstleistungen an Dienstleister mit Sitz in der EU oder dem Europäischen Wirtschaftsraum – verzichtet werden kann.
Handlungsempfehlungen
Wo nicht auf Datenübertragungen in das Vereinigte Königreich verzichtet werden kann, sollten in den nächsten Monaten – sofern nicht bereits geschehen – die Standarddatenschutzklauseln abgeschlossen werden. Hierbei ist allderdings zu beachten, dass die EU-Kommission demnächst neue Standarddatenschutzklausen für Drittlandübermittlungen veröffentlicht wird (vgl. meinen Newsletter vom 07. Dezember 2020, Ziffer 2). Desweiteren muss sichergestellt sein, dass der Dienstleister auch rechtlich in der Lage ist, die Standarddatenschutzklauseln einzuhalten, insbesondere sind dabei nationalen Regelungen für Zugriffe der Sicherheitsbehörden und Geheimdienste auf die beim Dienstleister verarbeiteten Daten zu berücksichtigen (vgl. meinen Beitrag „NOYB: Was Unternehmen in der EU und dem EWR nach dem EuGH-Urteil Schrems II jetzt unternehmen sollten„).
Weitere Informationen
- Hier ist der Link zum Abkommen und weiteren Informationen der EU-Kommission hierzu: https://ec.europa.eu/info/european-union-and-united-kingdom-forging-new-partnership/future-partnership/draft-eu-uk-trade-and-cooperation-agreement_en.
- Eine deutsche Kurzfassung der Pressemitteilung finden Sie hier:
https://ec.europa.eu/germany/news/20201224-brexit-abkommen_de. - Die oben genannte Übergangsregelung findet sich in PART SEVEN: FINAL PROVISIONS, Article FINPROV.10A: Interim provision for transmission of personal data to the United Kingdom, S. 406ff des Dokuments draft_eu-uk_trade_and_cooperation_agreement.pdf bzw. in „TEIL SIEBEN: SCHLUSSBESTIMMUNGEN, Artikel FINPROV.10A: Übergangsbestimmung für die Übermittlung personenbezogener Daten an das Vereinigte Königreich“, dieser ist auf Seite 455 der PDF-Datei des offiziellen deutschsprachigen Dokuments des Abkommens.
- Hier ist der Link zur offiziellen Fassung in allen EU-Amtsprachen:
https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=uriserv%3AOJ.L_.2020.444.01.0014.01.ENG
Diese Seite erreichen Sie auch unter der leicht zu merkenden URL
was.jetzt.zum.brexit.im.zusammenhang.mit.dem.datenschutz.wichtig.ist