Blog > BREXIT: Wie geht es zwischen UK und EU im Datenschutz weiter? >

BREXIT: Wie geht es zwischen UK und EU im Datenschutz weiter?

Der BREXIT ist vollzogen. Das Vereinigte Königreich von Großbritannien und Nordirland (UK) ist mit Ablauf des 31.01.2020 aus der Europäischen Union ausgetreten. Bis Ende des Jahres 2020 gelten nun Übergangsbestimmungen. Bis dahin muss ein neues Partnerschaftsabkommen zwischen der EU und dem Vereinigten Königreich verhandelt und abgeschlossen werden. Erste Vorstellungen der beiden Seiten zum Kapitel Datenschutz wurden nun bekannt.

Das Wichtigste zuerst: Auf Basis des Austrittsabkommens zwischen EU und UK (Art 70 – 73) bleibt die DSGVO bis zum Ende des Übergangszeitraums in UK weiterhin gültig. Der Übergangszeitraum endet mit 31.12.2020, sofern er nicht rechtzeitig verlängert wird (Art 126). Eine Verlängerung ist einmalig vor dem 01.06.2020 um höchstens ein oder zwei Jahre möglich (Art 132 Abs 1).

Die Österreichische Datenschutzbehörde fasst die wichtigsten Folgen dieser Übergangsbestimmungen wie folgt zusammen:

  • Daten können wie bisher an Empfänger im Vereinigten Königreich übermittelt werden, ohne dass es hiefür gesonderter Voraussetzungen bedarf.
  • Daten können wie bisher aus dem Vereinigten Königreich empfangen werden, ohne dass es hiefür gesonderter Voraussetzungen bedarf.
  • Beschwerden wegen behaupteter Verletzungen in Datenschutzrechten durch Verantwortliche oder Auftragsverarbeiter im Vereinigten Königreich können weiterhin bei der Österreichischen Datenschutzbehörde eingereicht werden.

Wie geht es nun weiter?

Am 3.2. hat die Europäische Kommission sogenannte „Draft Negotiating Directives“ verabschiedet, also eine Empfehlung an den Rat zur Eröffnung der Verhandlungen über ein Partnerschaftsabkommen zwischen EU und UK. Enthalten sind darin unter anderem auch inhaltliche Vorgaben für diese Verhandlungen. Die formale Entscheidung liegt jedoch beim Rat, entsprechend dient dieses Dokument lediglich der Entscheidungsvorbereitung und stellt noch nicht das finale Verhandlungsmandat dar. Dennoch bietet dieses Dokument bereits interessante Einblicke in die zukünftigen Leitlinien für diese Verhandlungen (sh. ANNEX).

Die Sicherstellung des Datenschutzes wird darin als wesentlicher Bestandteil der Kooperationsbasis zwischen den Partnern angeführt. Angesichts der Wichtigkeit der Datenflüsse soll die künftige Partnerschaftsvereinbarung zwischen EU und UK das Bekenntnis der beiden Parteien bekräftigen, einen hohen Datenschutzstandard sicherzustellen. Die EU Datenschutzbestimmungen sollen vollständig respektiert werden, insbesondere auch das Entscheidungsverfahren der EU zur Anerkennung eines gleichwertigen Datenschutzniveaus in Drittstaaten (Art 45 DSGVO Angemessenheitsbeschluss).

Angemessenheitsbeschlüsse

Derartige Angemessenheitsbeschlüsse der EU werden insbesondere auch als Basis für den Informationsaustausch und die weitere Zusammenarbeit im Bereich der Rechtsdurchsetzung und der Justiz-Zusammenarbeit in Strafsachen verstanden. Voraussetzung dafür ist gemäß dem Dokument freilich, dass die für einen Angemessenheitsbeschluss anwendbaren Kriterien durch das Vereinigte Königreich auch erfüllt werden. Dies könnte jedoch schwierig werden, ist das Vereinigte Königreich als Mitglied der Geheimdienst-Koalition FIVE EYES doch Teil des von Edward Snowden aufgedeckten weitreichenden Internet-Überwachungssystems, an dem auch die USA maßgeblich beteiligt sind. Eine einschlägige Verurteilung durch den Europäischen Gerichtshof für Menschenrechte erfolgte erst 2018.

Weitere Details zu den Plänen der EU finden sich in den gemeinsam mit den „Draft Negotiating Directives“ veröffentlichten Unterlagen zu internen Vorbereitungsbesprechungen der 27 EU Mitgliedsländer vom 10.1.2020.

Als Prinzipien des EU-Zugangs zu den Verhandlungen wird darin festgehalten, dass der Schutz personenbezogener Daten als Grundrecht in Artikel 8 der Charta der Grundrechte der EU verankert ist und eine wesentliche Voraussetzung für den freien Datenfluss darstellt. Insbesondere für den Bereich der Justiz-Zusammenarbeit wird weiters die Notwendigkeit eines dauerhaften angemessenen Datenschutzes hingewiesen. Die Schaffung eines Mechanismus zur Aussetzung der Zusammenarbeit soll für den Fall vorgesehen werden, dass diese Voraussetzung einmal nicht erfüllt sein sollte.

Eine künftige Zusammenarbeit zwischen den Datenschutzaufsichtsbehörden von EU und UK soll in späteren Verhandlungen auf Basis der entsprechenden Bestimmungen des Art 50 DSGVO ermöglicht werden.

Datenaustausch mit Drittstaat?

Auch wenn andere Mechanismen (wie z.B. Standardvertragsklauseln) für den Datenaustausch mit Drittstaaten zur Verfügung stehen, werden eine oder mehrere Angemessenheitsentscheidungen als am besten geeignete Mittel für die Zusammenarbeit angesehen. Das Vorliegen einer oder gar mehrerer solcher Entscheidungen bis zum Ende des Übergangszeitraums am 31.12.2020 erscheint jedoch sehr ambitioniert zu sein. Dafür bedarf es zuerst einer eingehenden Prüfung der Datenschutzsituation in UK, damit dann in weiterer Folge ein formaler Beschluss der EU-Kommission erfolgen kann. Dieser ist dann in weiterer Folge dem Europäischen Datenschutzausschuss vorzulegen, der dazu eine Stellungnahme abgibt. Schließlich ist dann noch eine Bestätigung der Entscheidung durch die 27 im Rat vertretenen Mitgliedsstaaten nötig.

Damit wäre aber erst die EU-Seite des Datenschutzes besprochen. Auch auf Seiten des Vereinigten Königreiches sind weitere Schritte erforderlich. Gemäß den Unterlagen der EU Kommission soll UK ebenfalls noch im Jahr 2020 sicherstellen, dass eine vergleichbare Möglichkeit zum Datentransfer aus dem Vereinigten Königreich in die Europäische Union geschaffen wird. Anfang der Woche kündigte der britische Premierminister an, dass das Vereinigte Königreich vom EU Datenschutzrecht abgehen und eigene Datenschutzbestimmungen erlassen wird. Eine Entscheidung, die das Zustandekommen einer Angemessenheitsentscheidung der EU Kommission nicht gerade beschleunigen dürfte.

Nächste Schritte

Der nächste Meilenstein in diesem Datenschutzkrimi wird spätestens der 01.06.2020 sein. Bis zu diesem Datum muss entschieden werden, ob der Übergangszeitraum tatsächlich am 31.12.2020 endet, oder doch eine Verlängerung um ein oder zwei Jahre erfolgt.

Unternehmen, die Datenübermittlungen zwischen UK und EU nicht vermeiden können, sollten weiterhin alternative Rechtsgrundlagen (z.B. Standardvertragsklauseln) vorbereiten, um ihre Datentransfers gegebenenfalls rasch absichern zu können, sollte ein Abkommen mit UK nicht zeitgerecht zustande kommen.

Newsletter

Für den Datenschutzbrief
anmelden >