Gute Neuigkeiten für alle EU-Unternehmen, die einen Austausch personenbezogener Daten mit dem Vereinigten Königreich pflegen. Denn das in letzter Minute ausverhandelte Brexit-Abkommen löst zumindest für die nächsten sechs Monate auch die Probleme, die im Hinblick auf den Datenschutz befürchtet wurden. Wir hatten dazu in der Vergangenheit vorsorglich sogar bereits ein „Notfall-Kit“ veröffentlicht.

Der jetzt veröffentlichte Handels- und Kooperationsvertrag enthält neben zahlreichen Regelungen zum Handel zwischen EU und seinem ehemaligen Mitglied auch Regelungen zum Datenschutz. Im Kern verpflichten sich die Parteien, Regelungen zu erlassen, die Kernelemente der DSGVO beinhalten.

Angemessenheitsbeschluss erforderlich

Problematisch ist insoweit allerdings, dass die DSGVO für einen Datentransfer in Länder außerhalb des Europäischen Wirtschaftsraumes strenge Anforderungen stellt. Neben den allgemeinen Zulässigkeitsregeln müssen gemäß Art. 46 Abs. 1 DSGVO „geeignete Garantien“ vorgesehen werden und den Betroffenen „durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen.“ Dies hatte zuletzt insbesondere mit Blick auf Datentransfers in die USA für erhebliche und bislang ungelöste Probleme gesorgt. Nach dem Austritt des UK aus der EU gelten diese Maßstäbe auch für Datentransfers in das Vereinigte Königreich.

Übergangsfrist von 6 Monaten

Zwar sieht Art. 45 Abs. 3 DSGVO vor, dass die EU-Kommission beschließen kann, dass ein Drittland ein angemessenes Schutzniveau bietet. Eine solche Datenübermittlungen bedarf dann keiner besonderen Garantien mehr. Allerdings existiert ein solcher Beschluss derzeit nicht, so dass – an sich – die strengen Übermittlungsregeln für Drittländer gelten würden. Daher enthält das Abkommen eine Übergangsregelung in Teil 7, Art. FINPROV.10A Abs. 1:

For the duration of the specified period, transmission of personal data from the Union to the United Kingdom shall not be considered as transfer to a third country under Union law, provided that the data protection legislation of the United Kingdom on 31 December 2020, as it is saved and incorporated into United Kingdom law by the European Union (Withdrawal) Act 2018 and as modified by the Data Protection, Privacy and Electronic Communications (Amendments etc) (EU Exit) Regulations 201987 (“the applicable data protection regime”), applies and provided that the United Kingdom does not exercise the designated powers without the agreement of the Union within the Partnership Council.

Mit anderen Worten wird das Vereinigte Königreich nach dieser Regelung für eine „specified period“ nicht als Drittland im Sinne der DSGVO behandelt, so dass die strengen Anforderungen der DSGVO an einen Drittlandstransfer personenbezogener Daten für diesen Zeitraum nicht gelten.

Die “specified period” beginnt wiederum mit Inkrafttreten des Vertrages (mutmaßlich also am 01.01.2021) und endet mit dem Erlass eines Anerkennungsbeschlusses der Europäischen Kommission gemäß Art. 45 Abs. 3 DSGVO, spätestens jedoch nach vier Monaten, wobei diese Frist wiederum stillschweigend (einmalig) um zwei Monate verlängert werden kann. Im Ergebnis bleiben der EU-Kommission somit sechs Monate zum Erlass eines Angemessenheitsbeschlusses, wobei gleichzeitig der politische Wille bekundet wurde, das Verfahren zum Erlass eines Angemessenheitsbeschlusses unverzüglich zu beginnen („Declaration on the adoption of adequacy decisions with respect to the United Kingdom“, S. 25).

Es bleibt zu hoffen, dass dieses Verfahren rechtzeitig (und mit einem positiven Ergebnis, d.h. Erlass eines Angemessenheitsbeschlusses) abgeschlossen werden wird.