• BREXIT • Neue Regeln • Perspektiven •

Brexit Datenschutz

Was ist für Unternehmen beim Datenschutz zu beachten?

Eine besondere Rolle wird die DSGVO bei der Übermittlung persönlicher Daten zwischen dem Vereinigten Königreich und der EU spielen. Auch hier hat man eine Art Übergangsperiode vereinbart.

  • Bis zum 30. April gilt UK in Rahmen der DSGVO nicht als Drittstaat – Der Datenverkehr kann wie gewohnt ohne zusätzliche Vorkehrungen stattfinden.
  • Diese Frist kann um 2 Monate bis zum 30. Juni verlängert werden.
  • Voraussetzung ist, dass UK die DSGVO exakt nach den gleichen Standards wie die EU anwendet und bei Änderungen die EU umgehend informiert
  • Ein wichtiges Kriterium wird sein, ob persönliche Daten grenzüberschreitend in grossem Masse ausgetauscht werden.

Seit März letzten Jahres arbeiten die Teams an einem Angemessenheitsbeschluss, der eine Äquivalenz beider Systeme bestätigt. Die Frage ist, ob dieser Beschluss innerhalb der nächsten 6 Monate zustande kommt. Dieses Thema ist von hoher Brisanz und betrifft besonders den e-commerce. Es steht weiterhin im Raum, dass Unternehmen im jeweiligen Partnerland einen Datenschutzbeauftragten ernennen müßen. Dies kommt in der Praxis dann zum Tragen, wenn persönliche Daten von Konsumenten als wesentlicher Teil des Geschäftes grenzüberschrietend ausgetauscht werden. Dies würde in der Realitzät wahrscheinlich einer Öffnung eines Büros oder einer Niederlassung gleichkommen. 


Am 14. April hat der European Data Protection Board (EDPB) eine Stellungnahme mit einer Emfpehlung abgegeben, wie die EU-Kommission zukünftig mit der Äquivalenz-Vereinbarung mit UK verfahren soll. Diese Stellungnahme ist insofern wichtig, als das EU Parlament in Woche 17 über die Ratifizierung des Trade und Cooperation agreements abstimmen muss. Der Vorschlag geht dahin, dass eine Äquavalenz-Vereinbarung  (inkl. weiterer Vorbehalte) für 4 Jahre in Verbindung mit einer Ausstiegsklausel geschlossen wird. Diese Vereinbarung müßte innerhalb der Grace-Period bis 30.06. geschlossen werden. Es wird aber bezweifelt, ob die EU Kommission diese Frist einhalten kann. Sollte diese Frust ohne Vereinbarung ablaufen, würde das Vereinigte Königreich auf den uneingeschränkten 3.Staat-Status wechseln. Dies hätte erhebliche negative Auswirkungen auf den Austausch persönlicher Daten zwischen EU und UK. Drücken wir also die Daumen, dass eine Vereinbarung erzielt wird. Im Detail verweisen wir auf den englisch-sprachigen Beitrag, da die Originaltexte der EU in englsich abgefasst sind.

Auf seiner 48. Plenartagung am 14. April verabschiedete der Europäische Datenschutzausschuss (EDPB) zwei Stellungnahmen zu den Entwürfen für Angemessenheitsbeschlüsse des Vereinigten Königreichs. Die Stellungnahme 15/2021 stützt sich auf die DSGVO und bewertet sowohl allgemeine Datenschutzaspekte als auch den Zugang der Regierung zu personenbezogenen Daten, die aus dem EWR zum Zwecke der Strafverfolgung und der nationalen Sicherheit übermittelt werden und die in dem Entwurf des Angemessenheitsbeschlusses enthalten sind.
Die Europäische Kommission billigte ihren Entwurf eines Durchführungsbeschlusses (im Folgenden "Entwurf eines Beschlusses") über den angemessenen Schutz personenbezogener Daten durch das Vereinigte Königreich (nachstehend "UK" genannt) gemäß LED vom 19. Februar 20212. Daraufhin leitete die Europäische Kommission das Verfahren zur förmlichen Annahme ein. 
Die Zeit läuft, da die erste Frist am 30. April verstrichen ist. Jetzt läuft die letzte offizielle Fristverlängerung per 30.06.


Am 01. Juni hat das EU Parlament über den Angemessenheitsbeschluss des Datenschutzes in UK beraten und dazu folgende Entscheidung getroffen:

Die Europäische Kommission sollte ihren Entwurf eines Beschlusses über den Datenschutz im Vereinigten Königreich ändern, um sicherzustellen, dass die EU-Standards für die Privatsphäre der Bürgerinnen und Bürger eingehalten werden. In einer am Freitag verabschiedeten Entschließung (344 Ja-Stimmen, 311 Nein-Stimmen und 28 Enthaltungen) fordern die Abgeordneten die Kommission auf, ihre Entscheidungsentwürfe darüber zu ändern, ob der Datenschutz im Vereinigten Königreich angemessen ist und Daten sicher dorthin übertragen werden können, um sie mit den jüngsten Urteilen des EU-Gerichts in Einklang zu bringen und auf die Bedenken des Europäischen Datenschutzausschusses (EDPB) in seinen jüngsten Stellungnahmenzureagieren. Der EDPB ist der Auffassung, dass die Massenzugangspraktiken des Vereinigten Königreichs, die Weiterübertragungen und seine internationalen Abkommen weiter geklärt werden müssen. In der Entschließung heißt es, dass die nationalen Datenschutzbehörden, wenn die Durchführungsbeschlüsse ohne Änderungen angenommen werden, die Übermittlung personenbezogener Daten an das Vereinigte Königreich aussetzen sollten, wenn ein wahlloser Zugang zu personenbezogenen Daten möglich ist. Vor der Abstimmung debattierten die Europaabgeordneten über die Angemessenheitsentscheidung des Vereinigten Königreichs und die "Schrems II"-Resolution  zu den Datenflüssen zwischen der EU und den USA. Mehrere Fraktionen betonten die Notwendigkeit starker Datenrechte in Europa und die Gefahren der Massenüberwachung, während andere argumentierten, dass das Vereinigte Königreich ein hohes Datenschutzniveau habe und dass Angemessenheitsentscheidungen Unternehmen helfen und die grenzüberschreitende Verbrechensverhütung erleichtern.

Ausnahmen für die nationale Sicherheit und Einwanderung In der Entschließung heißt es, dass der grundlegende Datenschutzrahmen des Vereinigten Königreichs dem der EU ähnelt, gibt jedoch Anlass zur Sorge hinsichtlich seiner Umsetzung. Insbesondere enthält die britische Regelung Ausnahmen in den Bereichen nationale Sicherheit und Einwanderung, die nun auch für EU-Bürger gelten, die sich im Vereinigten Königreich aufhalten oder dort niederlassen möchten. Die geltenden Rechtsvorschriften des Vereinigten Königreichs erlauben auch den Zugriff auf und die Aufbewahren von Massendaten, ohne dass eine Person verdächtigt wird, eine Straftat begangen zu haben, und das EU-Gericht hat festgestellt, dass der wahllose Zugang mit der Datenschutz-Grundverordnung  (DSGVO) unvereinbar ist, warnt der Text. Schließlich betonen die Europaabgeordneten, dass die Bestimmungen über Metadaten (oder "Sekundärdaten") nicht die sensible Natur dieser Daten widerspiegeln und daher irreführend sind. Obwohl das Parlament den Entwurf von Durchführungsrechtsakten der Kommission ablehnt, die aus diesen Gründen Entscheidungen über die Angemessenheit von Daten gewähren, begrüßen die Abgeordneten die jüngsten Gesetzesänderungen, die den Bürgern Zugang zu gerichtlichen Rechtsbehelfen bei Datenentscheidungen und detaillierten Aufsichtsberichten gewähren, die für das Abhören von Daten aus Gründen der nationalen Sicherheit zur Verfügung stehen.

Drittländer und Weitertransfers Die Abgeordneten des Europäischen Parlaments sorgen sich auch um die Weiterleitung von Daten. Die Abkommen des Vereinigten Königreichs über den Datenaustausch mit den USA bedeuten, dass die Daten von EU-Bürgern über den Atlantik weitergegeben werden könnten, trotz der jüngsten Urteile des Europäischen Gerichtshofs, in denen US-Praktiken des Massendatenzugriffs und der Speicherung mit der DSGVO unvereinbar waren. Außerdem könnte der Antrag des Vereinigten Königreichs auf Beitritt zur Umfassenden und Progressiven Transpazifischen Partnerschaft (CPTPP) Auswirkungen auf den Datenfluss in Länder haben, die keine Angemessenheitsentscheidung der EU haben. Das Parlament fordert die Kommission und die Behörden des Vereinigten Königreichs auf, sich mit all diesen Fragen zu befassen, und besteht darauf, dass keine Angemessenheitsentscheidung gewährt werden sollte. Die Abgeordneten des Europäischen Parlaments legen fest, dass No-Spying-Abkommen zwischen den Mitgliedstaaten und dem Vereinigten Königreich zur Lösung der Probleme beitragen könnten.

Nächste Schritte Es wird erwartet, dass die Kommission in den kommenden Monaten über den Datenschutz des Vereinigten Königreichs und die Fortsetzung der Datenübertragungen über den Ärmelkanal entscheidet. In seiner Rede vor der Abstimmung betonte EU-Justizkommissar Didier Reynders, dass die geltenden Rechtsvorschriften des Vereinigten Königreichs denen der EU sehr ähnlich seien. Zukünftige Divergenz sei jedoch möglich, und deshalb sei die vierjährige Ausstiegsklausel der Angemessenheitsentscheidung sehr notwendig, betonte er.


Es steht also aktuell in den Sternen, wann mit einem Angemessenheitsabkommen zu rechnen ist. Es ist damit zu rechnen, das die Übergangsfrist für die Interims-Äquivalenz verstreicht. Danach lässt sich der Datenaustausch vermutlich nur noch auf Basis con SCC (Standard Contractual Clauses) abwickeln. Es sei denn, man entschliesst sich kurzfristig noch zu einer Verlängerung der Übergangsfrist. 


Es grenzt fast an ein Wunder: 48 Stunden vor Ablauf der Übergangsfrist hat die EU Kommission zwei Angemessenheitsbeschlüsse zum Datenschutz verabschiedet. Hier ist der Wortlaut der EU Presse-Mitteilung in Deutsch:

Die Kommission hat heute zwei Angemessenheitsbeschlüsse für das Vereinigte Königreich angenommen - einen im Rahmen der Datenschutz-Grundverordnung (DSGVO) und die andere für die Strafverfolgungsrichtlinie.  Persönliche Daten können nun ungehindert von der Europäischen Union in das Vereinigte Königreich fließen, wo sie von einem im Wesentlichen gleichwertigen Schutzniveau wie das nach EU-Recht garantierte. Die Angemessenheitsbeschlüsse erleichtern auch die korrekte Umsetzung des Handels- und Kooperationsabkommens zwischen der EU und dem Vereinigten Königreich, das sieht den Austausch personenbezogener Daten vor, beispielsweise für die Zusammenarbeit in gerichtlichen Angelegenheiten. Beide Angemessenheitsentscheidungen beinhalten starke Garantien für den Fall zukünftiger Abweichungen, wie z. B. eine „Verfallsklausel“, die die Dauer der Angemessenheit auf vier Jahre begrenzt.

Věra Jourová, Vice-President for Values and Transparency, said: “The UK has left the EU but today its legal regime of protecting personal data is as it was. Because of this, we are adopting these adequacy decisions today. At the same time, we have listened very carefully to the concerns expressed by the Parliament, the Members States and the European Data Protection Board, in particular on the possibility of future divergence from our standards in the UK's privacy framework. We are talking here about a fundamental right of EU citizens that we have a duty to protect. This is why we have significant safeguards and if anything changes on the UK side, we will intervene”.

Didier Reynders, Commissioner for Justice, said: “After months of careful assessments, today we can give EU citizens certainty that their personal data will be protected when it is transferred to the UK. This is an essential component of our new relationship with the UK. It is important for smooth trade and the effective fight against crime. The Commission will be closely monitoring how the UK system evolves in the future and we have reinforced our decisions to allow for this and for an intervention if needed. The EU has the highest standards when it comes to personal data protection and these must not be compromised when personal data is transferred abroad.”

(Kommentare nur im Originaltext)

Das Datenschutzsystem des Vereinigten Königreichs basiert weiterhin auf den gleichen Regeln, die zuvor anwendbar waren, als das Vereinigte Königreich ein Mitgliedstaat der EU war. Das Vereinigte Königreich hat die Grundsätze für die Rechte und Pflichten der DSGVO und der Strafverfolgungsrichtlinie in ihre Rechtsform in das Post-Brexit-System vollständig übernommen. In Bezug auf den Zugang zu personenbezogenen Daten durch Behörden im Vereinigten Königreich, insbesondere für nationale aus Sicherheitsgründen sieht das britische System starke Sicherheitsvorkehrungen vor. Insbesondere die Sammlung von Daten von Nachrichtendiensten bedürfen grundsätzlich der vorherigen Genehmigung durch ein unabhängiges gerichtliches Organ. Jede Maßnahme muss notwendig und verhältnismäßig zu dem sein, was sie bezwecken soll. Jede Person, die glaubt, unrechtmäßig überwacht worden zu sein, kann Klage beim Ermittlungsgericht erheben.

Auch das Vereinigte Königreich unterliegt der Zuständigkeit des Europäischen Gerichtshofs für Menschenrechte und muss sich an die europäische Menschenrechtskonvention sowie der Konvention des Europarats zum Schutze von Einzelpersonen in Bezug auf die automatische Verarbeitung personenbezogener Daten halten, die die einzig verbindliche ist im internationalen Abkommen im Bereich des Datenschutzes. Diese internationalen Verpflichtungen sind  wesentliche Elemente des Rechtsrahmens, an denen sich die beiden Angemessenheitsbeschlüssen orientieren.

Die Angemessenheitsbeschlüsse enthalten erstmals eine sogenannte „Sunset-Klausel“, die die Laufzeit klar begrenzt. Das heißt, die Entscheidungen erlöschen automatisch vier Jahre nach deren Inkrafttreten. Nach Ablauf dieser Frist könnten die Feststellungen zur Angemessenheit jedoch erneuert werden, wenn das Vereinigte Königreich weiterhin ein angemessenes Datenschutzniveau gewährleistet. Während dieser vier Jahre wird die Kommission die Rechtslage im Vereinigten Königreich weiter beobachten und könnte jederzeit eingreifen, wenn das Vereinigte Königreich vom derzeit geltenden Schutzniveau abweicht. Sollte die Kommission beschließen, die Angemessenheitsfeststellung zu erneuern, würde das Annahmeverfahren von neuem beginnen.

Transfers zum Zwecke der Einwanderungskontrolle im Vereinigten Königreich sind vom Anwendungsbereich des Angemessenheitsbeschluss nach der DSGVO ausgenommen, um ein aktuelles Urteil des Berufungsgericht von England und Wales zur Gültigkeit und Auslegung bestimmter Beschränkungen Datenschutzrechte in diesem Bereich zu berücksichtigen. Die Kommission wird die Notwendigkeit dieses Ausschlusses erneut prüfen, sobald die Situation nach britischem Recht behoben wurde.

Hintergrund

Am 19. Februar veröffentlichte die Kommission zwei Entwürfe von Angemessenheitsbeschlüssen und leitete das Verfahren für ihre Annahme ein. In den letzten Monaten hat die Kommission das britische Recht und die Praxis zum Schutz personenbezogener Daten, einschließlich der Vorschriften über den Zugang zu Daten durch Behörden im Vereinigten Königreich sorgfältig geprüft.

Die Kommission stand in engem Kontakt mit dem Europäischen Datenschutzausschuss, der seine Stellungnahme am 13. April dem Europäischen Parlament und den Mitgliedstaaten abgegeben hat. Im Anschluss an diese umfangreiche Untersuchung hat die Europäische Kommission grünes Licht für die Angemessenheitsbeschlüsse von Vertreter der Mitgliedstaaten im sogenannten Komitologieverfahren angefragt. Die Verabschiedung der Beschlüsse heute, nach der Zustimmung der Vertreter der Mitgliedstaaten, ist der letzte Schritt in diesem Verfahren. Die beiden Angemessenheitsbeschlüsse treten heute in Kraft. Das Handels- und Kooperationsabkommen (TCA) zwischen der EU und dem Vereinigten Königreich enthält eine Verpflichtung der EU und des Vereinigten Königreichs, hohe Datenschutzstandards einhalten. Das TCA sieht auch vor, dass jede Datenübertragung im Kontext der Umsetzung stattfindet, den datenschutzrechtlichen Anforderungen der übertragenden Partei (für die EU die Anforderungen der DSGVO und der Strafverfolgungsbehörden) Richtlinie) entsprechen muss. Die Annahme der beiden einseitigen und autonomen Angemessenheitsbeschlüsse ist eine wichtiges Element, um die ordnungsgemäße Anwendung und Funktion des TCA zu gewährleisten. Das TCA sieht eine bedingte Übergangsregelung vor, nach der Daten ungehindert von der EU in das Vereinigte Königreich fließen können. Diese Frist endet am 30.06.2021.

Fazit: mit diesen Beschlüssen hat die EU für den absehbaren Zeitraum der nächsten 4 Jahre die Möglichkeit geschaffen, dass Unternehmen kurz- bis mittelfristig weiter arbeiten können. Man sollte sich aber darüber im Klaren sein, dass diese Regelung eine Volatilität beinhaltet, durch die UK endgültig in den Drittlandstatus fallen kann mit den Konsequenzen für den Fortfall des Äquivalenz-Status.