Datenschutz nach dem Brexit: Viel Über­gang, wenig Sicher­heit

Mit dem Brexit trat eine Reihe von Übergangsregelungen bis zum 31. Dezember 2020 in Kraft, auch solche für den grenzüberschreitenden Datenverkehr zwischen der Europäischen Union (EU) und dem Vereinigten Königreich. Das Vereinigte Königreich wurde im Zeitraum vom 31. Januar 2020 – dem Datum des EU-Austritts – bis Ende 2020 weiterhin als EU-Staat behandelt, Anpassungen der Wirtschaft an neue Datenschutzregelungen waren zunächst nicht erforderlich. 

Es galt dort weiterhin die Datenschutz-Grundverordnung (DSGVO) sowie der nationale Data Protection Act 2018. Personenbezogene Daten konnten von Deutschland aus in das Vereinigte Königreich ebenso leicht übermittelt werden wie innerhalb Deutschlands.

Mit dem Ende des ersten Übergangszeitraums waren gravierende Rechtsunsicherheiten in Bezug auf Datentransfers befürchtet worden – das hat sich zumindest vorerst nicht bestätigt. Die EU und das Vereinigte Königreich konnten sich kurz vor Ende des Jahres 2020 für einen weiteren Übergangszeitraum auf die Grundregeln der künftigen Zusammenarbeit einigen. Dies umfasst auch recht komplexe datenschutzrechtliche Regelungen. Was danach gilt, ist noch völlig offen - und das fordert bereits heute die volle Aufmerksamkeit grenzüberschreitend tätiger Unternehmen in EU und Vereinigtem Königreich.

Einigung in letzter Minute: das TCA und die eingefrorene DSGVO

Am 24. Dezember 2020 einigten sich die EU und das Vereinigte Königreich auf ein Handels- und Zusammenarbeitsabkommen (Trade and Cooperation Agreement, kurz "TCA"). Das TCA enthält auf den Seiten 406-408 Übergangsregelungen für den Transfer personenbezogener Daten zwischen EU und Großbritannien. Zunächst gilt, dass mit dem Austritt aus der EU im Vereinigten Königsreich auch die DSGVO dort danach nicht mehr gilt. Lediglich für bis zum 31. Dezember 2020 gesammelte Daten ("legacy data") gilt die DSGVO eingefroren weiter, sie wird daher auch als "frozen GDPR" bezeichnet. 

Daten, die nach dem 31. Dezember 2020 im Vereinigten Königreich gesammelt wurden, müssen sich nach den Vorgaben des Data Protection Act 2018 und einer neuen, angepassten DSGVO richten, der "UK GDPR". Dabei handelt es sich um eine weitgehend der normalen DSGVO angepassten Variante, die nur für das Vereinigte Königreich gilt.

Es wurde im TCA ferner festgelegt, dass Datentransfers aus der EU ins Vereinigte Königreich im Übergangszeitraum, auch "the bridge" genannt, nicht als solche in ein Drittland gelten, so dass die Art. 44 ff. der Datenschutz-Grundverordnung (DSGVO) für den Übergangszeitraum nicht anwendbar sind. Datenübertragungen in das Vereinigte Königreich sind im Übergangszeitraum weiterhin so möglich, als wäre das Land noch in der EU. 

Die Veränderungssperre - Augen (weiterhin) auf! 

Der neue Übergangszeitraum begann am 1. Januar 2021 mit dem Inkrafttreten des Abkommens und endet, wenn die EU-Kommission einen sog. Angemessenheitsbeschluss für das Vereinigte Königreich nach Art. 45 Abs. 3 DSGVO erlassen hat, wie ihn heute bereits die Schweiz, Argentinien und Japan genießen.

Die EU-Kommission erlässt einen solchen Beschluss, wenn Großbritannien ein angemessenes Schutzniveau für personenbezogene Daten bietet, das dem der DSGVO vergleichbar ist. Wird kein Angemessenheitsbeschluss erlassen, endet die Interimsphase spätestens nach vier Monaten seit Inkrafttreten des TCA. Sie wird um weitere zwei Monate verlängert, wenn keine der Parteien widerspricht. Der Countdown von sechs Monaten läuft also und eins steht fest: Ein Angemessenheitsbeschluss für das Vereinigte Königreich ist nicht sicher!

Die Geltung der Übergangsregelung des TCA ist an eine Reihe von Voraussetzungen geknüpft. Das Vereinigte Königreich darf seine Datenschutzgesetze nicht ändern und keine Handlungen ausüben, die das aktuell bestehende Datenschutzniveau effektiv ändern. Andernfalls endet die Übergangsfrist bereits an dem Tag, an dem eine solche Änderung in Kraft tritt. Dann sind Datenübermittlungen aus der EU in das Vereinigte Königreich sofort als grenzüberschreitende Übermittlungen in ein unsicheres Drittland im Sinne der Art. 44 ff. DSGVO anzusehen. 

Aufgrund dieser Regelung besteht für EU Datenexporteure also weiterhin Rechtsunsicherheit, da die Übergangsbestimmung jederzeit und ohne Vorankündigung für Datenübermittler und -verarbeiter enden könnte. Die Datenschutz-Compliance der EU-Unternehmen muss hier eine ständige, effektive Prüfung vorsehen! 

Der Angemessenheitsbeschluss hat gute Chancen

Ob das Vereinigte Königreich ein mit der DSGVO vergleichbares Datenschutzniveau aufrechterhält, ist bislang nicht ersichtlich, die Weichen stehen aber gut. Premierminister Boris Johnson betonte zwar, dass seine Regierung mit dem Brexit beim Datenschutz eine von der EU "losgelöste und unabhängige Linie verfolgen werde". Für einen Angemessenheitsbeschluss spricht aber, dass Großbritannien bereits im Vorfeld des Handelsabkommens damit begonnen hat, Regelungen der DSGVO in nationales Recht (UK GDPR) umzusetzen. Seit dem 31. Januar 2020 gilt das neue Datenschutzrecht bereits. 

Die DSGVO eröffnet allerdings auch dann, wenn ein Angemessenheitsbeschluss fehlen sollte, Möglichkeiten der rechtmäßiger Datentransfers in ein Drittland. Diese werden in Art. 46 DSGVO als "geeignete Garantien" beschrieben. Die bekanntesten davon sind die sog. Standarddatenschutzklauseln ("Standard Contractual Clauses – SCCs"), die von der EU-Kommission zur Verfügung gestellt werden. 

Dabei handelt es sich um eine Vorlage für Vertragsbedingungen, die die Parteien einer Datenübermittlung unterzeichnen und die speziell für den Schutz personenbezogener Daten konzipiert ist. Diese können ohne weitere Genehmigung durch die Aufsichtsbehörden als Grundlage für Datenübermittlungen in Drittländer genutzt werden, wenn sie im Wesentlichen unverändert in die zugrunde liegenden Verträge übernommen werden. 

Die Auswirkungen der Schrems-II-Entscheidung des EuGH

Mit dem Schrems-II-Urteil des Europäischen Gerichtshofs (EuGH) hat sich für die Standarddatenschutzklauseln Überarbeitungsbedarf ergeben. Sie gelten zwar laut EuGH weiterhin fort, reichen aber im Einzelfall nicht mehr für den sicheren Datentransfer in ein Drittland aus. Der EuGH hat in Schrems II betont, dass gegebenenfalls weitere Maßnahmen durch den Datenexporteuer ergriffen werden müssen, um ein der EU gleichwertiges Schutzniveau zu erreichen. 

Die EU-Kommission hat daher im November 2020 einen Entwurf für neue SCCs herausgegeben. Die neue Fassung soll nun jeden Tag durch die EU-Kommission angenommen werden und damit Gültigkeit erlangen. Ab diesem Zeitpunkt haben Unternehmen ein Jahr Zeit, ihre SCCs der neuen Fassung anzupassen. Sollte ein Angemessenheitsbeschluss nicht ergehen, könnte das Schrems-II-Urteil auch für Großbritannien äußerst relevant werden. Anhand der vom EuGH aufgestellten Grundsätze wären zukünftig auch Datenübermittlungen in das Vereinigte Königreich zu messen. 

Wie sich das Post-Brexit-Datenschutzrecht entwickelt, bleibt in den nächsten Monaten abzuwarten. Im Sinne der Rechtssicherheit bleibt zu hoffen, dass die EU-Kommission möglichst zeitnah dem britischen Datenschutzniveau das Gütesiegel verleiht und einen entsprechenden Angemessenheitsbeschluss erlässt. Aufgrund der Verantwortlichkeit der Datenexporteure und der Unsicherheit in Hinblick auf die Standarddatenschutzklauseln (Schrems II) wäre dies die sicherste Lösung. Kommt sie nicht, sind Datenexporte ins Vereinigte Königreich nicht mehr nur "daily business".

Der Autor Tobias Neufeld, LL.M. (CIPP/E, CIPM) ist Partner der Wirtschaftskanzlei Arqis in Düsseldorf und dort Leiter der Fokusgruppe Data.Law sowie Mitgründer der Unternehmensberatung b.yond. Er berät nationale und internationale Unternehmen an den Schnittstellen von Datenrecht, Datenschutz und Corporate Digital Responsibility (CDR).