Am 23. Juni 2016 hat sich das britische Volk in einem Referendum für den Austritt aus der Europäischen Union ausgesprochen. Das Austrittsverfahren wurde offiziell am 29. März 2017 mit der Übergabe des sog. BREXIT-Briefs der britischen Regierung an den EU-Ratspräsident Donald Tusk eingeleitet. Das Austrittsverfahren ist in Art. 50 des EU-Vertrages geregelt, der den Fahrplan für den Austritt festlegt. In Art. 50 Abs. 2 des EU-Vertrages ist beispielsweise festgeschrieben, dass ein Austrittsabkommen abgeschlossen werden soll. Nach Art. 50 Abs. 3 des EU-Vertrages finden die europäischen Verträge zwei Jahre nach der Übergabe des BREXIT-Briefs keine Anwendung mehr, es sei denn, der Europäische Rat beschließt im Einvernehmen mit dem betroffenen Mitgliedsstaat einstimmig, diese Frist zu verlängern. Tatsächlich wurde der Austrittstermin mehrmals verschoben, zuletzt auf den 31. Januar 2020. Trotz dem Austritt aus der Europäischen Union blieb Großbritannien noch bis zum 31. Dezember 2020 im Binnenmarkt und in der Zollunion. Bis zu diesem Datum rangen Großbritannien und die EU um ein Abkommen zur Regelung ihrer künftigen Beziehungen. Am 24. Dezember 2020 wurde schließlich das sog. „Handels- und Kooperationsabkommen zwischen der Europäischen Union und der Europäischen Atomgemeinschaft einerseits und dem Vereinigten Königreich Großbritannien und Nordirland andererseits“ abgeschlossen.
Es stellt sich die Frage, was jetzt in datenschutzrechtlicher Hinsicht und damit auch für den Datentransfer zwischen Unternehmen gilt: Bevor Großbritannien den Binnenmarkt und die Zollunion verlassen hat, durften personenbezogene Daten nach Großbritannien übertragen werden, ohne dass besondere Bedingungen zu erfüllen gewesen wären. Da die Datenschutz-Grundverordnung unmittelbar in den Mitgliedsländern gilt, ist in der gesamten Europäischen Union ein gleichwertiges Datenschutzniveau für natürliche Personen und den freien Verkehr personenbezogener Daten gewährleistet. Nach dem EU-Austritt von Großbritannien gilt dort die Datenschutz-Grundverordnung nicht mehr, sodass von einem gleichwertigen Datenschutzniveau nicht mehr ohne weiteres ausgegangen werden kann. Zum Schutz des Grundrechts der natürlichen Personen bei der Verarbeitung der sie betreffenden personenbezogenen Daten dürfen diese Daten an ein Nicht-EU-Land nur dann übertragen werden, wenn dieses Land ein angemessenes Schutzniveau bietet und dies von der Europäischen Kommission in einem Angemessenheitsbeschluss festgestellt wurde (Art. 45 Abs. 1 DSGVO). Ein solcher Angemessenheitsbeschluss existiert derzeit für Andorra, Argentinien, Kanada, Färöer Inseln, Guernsey, Israel, Isle of Man, Japan, Jersey, Neuseeland, Schweiz und Uruguay. Für Großbritannien gibt es derzeit keinen Angemessenheitsbeschluss.
Die Übermittlung personenbezogener Daten an Nicht-EU-Länder, für die es keinen Angemessenheitsbeschluss gibt, ist nur zulässig, wenn der Verantwortliche und der Empfänger der Daten geeignete Garantien vorgesehen haben und sofern den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen (Art. 46 Abs. 1 DSGVO). Diese Voraussetzungen können beispielsweise durch den Abschluss von Standardvertragsklauseln erfüllt werden (Art. 46 Abs. 2 lit. c DSGVO). Die Verwendung von Standardvertragsklauseln ist jedoch vor dem Hintergrund des Urteils des Gerichtshofs der Europäischen Union (EuGH) vom 16. Juli 2020 zu Privacy Shield schwieriger geworden. Der EuGH hatte zwar die Möglichkeit der Verwendung von Standardvertragsklauseln bestätigt, jedoch auf die Notwendigkeit der Einhaltung der Garantien und Verpflichtungen unter den Standardvertragsklauseln hingewiesen. Der Datenverarbeiter müsse kritisch prüfen, ob er in der Lage ist, die ihm in den Standardvertragsklauseln auferlegten Verpflichtungen zum Datenschutz einzuhalten. Sowohl der Datenexporteuer als auch der Datenverarbeiter machen sich bei Pflichtverletzungen gegenüber jeder betroffenen Person, deren Daten verarbeitet werden, schadensersatzpflichtig. Des Weiteren droht dem Datenexporteuer ein Bußgeld. Inzwischen hat der Europäische Datenschutzausschuss Empfehlungen für ergänzende Maßnahmen veröffentlicht („Empfehlungen zu ergänzenden Maßnahmen zu Transferwerkzeugen für internationale Datentransfers“ vom 10. November 2020), die die Wahrung der Rechte der betroffenen Personen gewährleisten sollen. Der damit verbundene Aufwand erübrigt sich, wenn die Europäische Union und Großbritannien im Handels- und Kooperationsabkommen eine abweichende Regelung getroffen haben. Tatsächlich findet sich eine Regelung, und zwar in Teil 7, Artikel 10A. Demnach gilt die Übermittlung personenbezogener Daten aus der Europäischen Union an Großbritannien vier Monate nach Inkrafttreten des Abkommens nicht als Übermittlung in das Nicht-EU-Ausland, solange Großbritannien am bisherigen Datenschutzrecht festhält. Der Vier-Monats-Zeitraum verlängert sich automatisch um zwei weitere Monate solange nicht eine der Vertragsparteien Einwände erhebt. Spätestens mit Ablauf des 30. Juni 2021 gilt Großbritannien dann als Drittstaat.
Es bleibt zu hoffen, dass die EU-Kommission vor Ablauf des 30. April 2021 bzw. des 30. Juni 2021 einen Angemessenheitsbeschluss erlässt. Zuvor wird die EU-Kommission jedoch prüfen, ob die Voraussetzungen dafür erfüllt sind. Art. 45 Abs. 2 DSGVO legt Kriterien fest, auf deren Grundlage die Angemessenheitsentscheidung erfolgt. Demnach muss ein effektives Datenschutzregime bestehen, eine effektive Datenschutzaufsicht muss installiert sein und es spielt eine Rolle ob das Land internationale Verpflichtungen eingegangen ist, die für den Schutz personenbezogener Daten von Bedeutung sind. Die EU-Kommission wird anhand dieser nicht abschließend genannten Kriterien im Rahmen einer wertenden Gesamtschau entscheiden, ob das Land ein angemessenes Datenschutzniveau bietet. Es ist daher keineswegs sicher, dass die EU-Kommission im Hinblick auf Großbritannien tatsächlich einen Angemessenheitsbeschluss fasst.
Am 19. Februar 2021 hat die EU-Kommission in einer Pressemitteilung mitgeteilt, dass ein Verfahren zur Annahme eines Angemessenheitsbeschlusses eingeleitet wurde. Um das Verfahren erfolgreich abschließen zu können, bedarf es noch der Stellungnahme des Europäischen Datenschutzausschusses (EDSA) und der Zustimmung der einzelnen Mitgliedstaaten. Erst im Anschluss kann der Beschluss seitens der Kommission gefasst werden.
Zur Vermeidung von Datenschutzverstößen, und damit auch zur Vermeidung von Bußgeldern und Schadenersatzansprüchen, ist Unternehmen daher zu raten, die Übergangszeit zu nutzen und zunächst einmal zu prüfen, ob tatsächlich personenbezogene Daten nach Großbritannien übertragen werden. Ist das der Fall, sollte man sich vorsichtshalber auf den Worst Case einstellen und den Abschluss von Standardvertragsklauseln vorbereiten. Dabei ist auch das bereits erwähnte Urteil des EuGH zu Privacy Shield unter Berücksichtigung der Empfehlungen des Europäischen Datenschutzausschusses zu beachten.
Lesen Sie mehr zu den Auswirkungen des Brexit