Blog > BREXIT: Großbritannien gilt ab 01.01.2021 als Drittland >
Montag, 14. Dezember 2020 - 12:15

BREXIT: Großbritannien gilt ab 01.01.2021 als Drittland

(Update: Am 24.12.2020 wurde zwischen der EU und Großbritannien eine Einigung über ein Handels- und Kooperationsabkommen erzielt. Darin verpflichten sich beide Seiten zur Einhaltung hoher Datenschutz-Standards. Dies soll durch entsprechende Angemessenheitsbeschlüsse sichergestellt werden, die jede der beiden Seiten jeweils eigenständig treffen wird. Nähere Informationen dazu finden Sie in unserem Blog-Beitrag BREXIT -  Übergangsfrist und Angemessenheitsbeschlüsse)

Die Verhandlungen zwischen der EU und Großbritannien über ein Handelsabkommen sind am gestrigen Sonntag neuerlich verlängert worden. Mit dem Ende der aktuell noch gültigen Übergangsfrist wird Großbritannien aber jedenfalls als datenschutzrechtliches Drittland gelten. Aus Sicht des Datenschutzes bestehen nun mehrere Optionen.

Gestern haben EU Kommissionspräsidentin Ursula von der Leyen und Großbritanniens Premierminister Boris Johnson bekanntgegeben, dass die Verhandlungen über ein Handelsabkommen entgegen der zuvor gesetzten Frist weiter fortgesetzt werden. Eine neuerliche Frist wurde nicht genannt. Welche Optionen bestehen nun zweieinhalb Wochen vor Ablauf der Übergangsphase aus Sicht des Datenschutzes noch?

Angemessenheitsbeschluss der EU Kommission

Bereits im Juli 2020 hat die Europäische Kommission in ihrer Vorbereitungsmitteilung (siehe Datenschutzbrief 7/2020) und dem dazugehörigen Detaildokument zum Themenbereich Datenschutz klargestellt, dass Datenübermittlungen an Großbritannien nach Ablauf der Übergangsfrist nicht als Datenaustausch innerhalb der Europäischen Union gewertet werden wird. Vielmehr seien die einschlägigen Vorschriften der Union für die Übermittlung personenbezogener Daten in Drittländer zu erfüllen.

Dafür kommt einerseits das rechtliche Mittel eines Angemessenheitsbeschlusses der Europäischen Kommission (Art 45 DSGVO) in Frage, mit dem festgestellt wird, dass im jeweiligen Drittland ein dem europäischen Datenschutzniveau angemessenes Schutzniveau besteht. Liegt ein solcher Beschluss vor, können zwischen der EU und dem Drittland personenbezogene Daten ohne besondere Genehmigung ausgetauscht werden.

Betreffend Großbritannien besteht derzeit kein Angemessenheitsbeschluss der EU Kommission. Voraussetzung dafür ist freilich, dass die für einen Angemessenheitsbeschluss anwendbaren Kriterien durch das Vereinigte Königreich auch erfüllt werden. Dies könnte jedoch schwierig werden, ist das Vereinigte Königreich als Mitglied der Geheimdienst-Koalition FIVE EYES doch Teil des von Edward Snowden aufgedeckten weitreichenden Internet-Überwachungssystems, an dem auch die USA maßgeblich beteiligt sind. Eine einschlägige Verurteilung durch den Europäischen Gerichtshof für Menschenrechte erfolgte erst 2018. Weiters hat der EuGH mit der Aufhebung des EU-US Privacy Shield im Rahmen des Schrems II Urteils deutlich klargestellt, welch hohe Maßstäbe insbesondere auch hinsichtlich staatlicher Überwachungsmaßnahmen für rechtskonforme Datenübermittlungen in Drittstaaten einzuhalten sind.

Ob die EU Kommission einen derartigen Angemessenheitsbeschluss für den Fall eines erfolgreichen Abschlusses der Verhandlungen mit Großbritannien vorbereitet hat, ist derzeit nicht bekannt.

Erforderlich wäre dafür jedenfalls zuerst einmal eine eingehende Prüfung der Datenschutzsituation im Vereinigten Königreich, bei der auch die vom EuGH im Rahmen des Schrems II Urteils festgestellten Anforderungen zu berücksichtigen wären. In weiterer Folge könnte dann ein formaler Beschluss der EU-Kommission erfolgen. Dieser wäre dann in weiterer Folge dem Europäischen Datenschutzausschuss vorzulegen, der dazu eine Stellungnahme abgibt. Schließlich wäre dann noch eine Bestätigung der Entscheidung durch die verbliebenen 27 im Rat vertretenen Mitgliedsstaaten nötig.

Alles in allem also sowohl inhaltlich als auch zeitlich keine ganz einfache Aufgabe. Die größte Hürde scheint dabei die Rolle Großbritanniens im Geheimdienstnetzwerk FIVE-EYES darzustellen. Sehr wahrscheinlich scheint ein solcher Angemessenheitsbeschluss aus heutiger Sicht daher eher nicht zu sein.

Drittland ohne Angemessenheitsbeschluss

Aus datenschutzrechtlicher Sicht ist Großbritannien also ab 01.01.2021 als Drittland anzusehen.
Ohne Angemessenheitsbeschluss der EU Kommission müssen jegliche Datenübermittlungen zu Verantwortlichen oder Auftragsverarbeitern im Vereinigten Königreich daher ab dem 01.01.2021 auf andere geeignete Rechtsinstrumente gestützt oder aber eingestellt werden.

Dafür kommen die in der DSGVO festgelegten „geeignete Garantien“ (Art 46 DSGVO) in Betracht.

Datenexport auf Basis geeigneter Garantien

Als geeignete Garantien gelten die von der EU Kommission angenommenen Standarddatenschutzklauseln, verbindliche unternehmensinterne Datenschutzvorschriften sowie genehmigten Verhaltensregeln und genehmigte Zertifizierungen.

Bei der Verwendung von Standarddatenschutzklauseln ist auch im Zusammenhang mit Großbritannien zu beachten, dass aufgrund des Schrems II-Urteils des EuGH gegebenenfalls zusätzliche Schutzmaßnahmen ergriffen werden müssen, um spezifische Risiken des Empfängerlandes entsprechend auszugleichen und einen angemessenen Schutz der übermittelten personenbezogenen Daten sicherzustellen sicherzustellen (vgl. dazu die im Datenschutzbrief 11/2020 vorgestellten Empfehlungen des Europäischen Datenschutzausschusses). ). Dies sehen auch die Begutachtungsentwürfe der neuen Standarddatenschutzklauseln vor, die kürzlich veröffentlicht wurden.

Sofern Datenübermittlungen nach Großbritannien auf interne Datenschutzvorschriften, genehmigte Verhaltensregeln oder Zertifizierungen gestützt werden sollen, weist die EU Kommission in ihrer Vorbereitungsmitteilung vom 06.07.2020 darauf hin, dass bestehende Genehmigungen der britischen Datenschutzbehörde (ICO) für solche Instrumente mit Jahresende 2020 ebenfalls ihre Gültigkeit verlieren. Ab dann sind in der EU also nur mehr interne Datenschutzvorschriften, genehmigte Verhaltensregeln und Zertifizierungen gültig, die von Datenschutzbehörden der verbleibenden EU Mitgliedsstaaten genehmigt wurden.

Datenexport in Ausnahmefällen

Wenn weder ein Angemessenheitsbeschluss noch geeignete Garantien bestehen, kann ein Datenexport in Ausnahmefällen z.B. auch auf Basis einer Einwilligung der betroffenen Person, für die Erfüllung eines Vertrages, zur Ausübung von Rechtsansprüchen oder aus wichtigen Gründen des öffentlichen Interesses gestattet sein. Dies ist jedoch im jeweiligen Einzelfall zu prüfen und kann eine dauerhaft fortlaufende Datenübermittlung nicht legitimieren. Nähere Informationen finden sich in den entsprechenden Leitlinien des Europäischen Datenschutzausschusses (Volltext für Abonnenten im Datenschutzhandbuch verfügbar).

Daten die bereits in Großbritannien verarbeitet werden

Für Datenbestände, die während der EU-Mitgliedschaft des Vereinigten Königreichs bzw. während es Übergangszeitraums bis Ende 2020 dorthin übermittelt wurden, ist im Austrittsabkommen (Art 71) vorgesorgt. Solange kein Angemessenheitsbeschluss besteht, werden diese Daten im Vereinigten Königreich weiterhin nach den Bestimmungen der DSGVO verarbeitet (vgl. die Vorbereitungsmitteilung vom 06.07.2020).

Datenexport von UK in die EU

Wie bereits im Datenschutzbrief 7/2020 kurz angeführt, hat Großbritannien in seinem neuen Datenschutzrecht bereits die Angemessenheit des EU Datenschutzniveaus rechtsverbindlich festgestellt. Dies gilt bis 2024 und muss dann evaluiert werden. Die Möglichkeit eines Datentransfers vom Vereinigten Königreich in die EU ist also gesichert.

Hintergrund und Ausblick

Großbritannien ist Ende Jänner 2020 aus der Europäischen Union ausgetreten. Bis Ende 2020 gilt noch eine Übergangsfrist, während der im Vereinigten Königreich weiterhin EU-Recht anwendbar ist und Verhandlungen über ein Handelsabkommen geführt wurden. Diese Verhandlungen sind auch zweieinhalb Wochen vor Ende der Übergangsfrist noch nicht abgeschlossen. Das Ergebnis bleibt also abzuwarten.

(Update: Die Verhandlungen zwischen der EU und Großbritannien wurden am 24.12.2020 abgeschlossen. Beide Seiten haben sich verpflichtet, ein hohe Datenschutzniveau aufrecht zu erhalten. Dazu soll jede der beiden Seiten jeweils eigenständig einen Angemessenheitsbeschluss betreffend das Datenschutzniveau der jeweiligen Gegenseite treffen. Vom 01.01.2021 bis zum Inkrafttreten eines solchen Beschlusses der EU Kommission gilt Großbritannien daher aus Sicht der EU als Drittstaat ohne Angemessenheitsbeschluss (sh. oben). Informationen dazu, wann ein solcher Beschluss vorliegen könnte, sind derzeit noch nicht verfügbar.)

Selbst wenn sich die EU Kommission in nächster Zeit zur Fassung eines Angemessenheitsbeschlusses für Großbritannien entschließen sollte, könnte aufgrund der erforderlichen Vorbereitungsmaßnahmen und Prüfschritte einige Zeit vergehen, bis ein solcher Beschluss in Kraft treten kann. Für Datenübermittlungen nach Großbritannien sollte daher rasch noch Vorsorge getroffen werden, damit zeitgerecht zum 1. Jänner 2021 ausreichende Rechtsgrundlagen für den Datentransfer zur Verfügung stehen.

 

 

Datenschutz Online-Schulung

Explainable AI

Artikel lesen >

Newsletter

Für den Datenschutzbrief
anmelden >

DRUCKEN:
Diesen Beitrag drucken >