Das Vereinigte Königreich - Großbritannien und Nordirland - ist nicht mehr Teil des Europäischen Binnenmarkts und der Zollunion. Dies hat Auswirkungen für alle Unternehmen, die Geschäftsbeziehungen mit Unternehmen in Großbritannien und Nordirland unterhalten. Hiervon ist der Datenschutz nicht ausgenommen. Aus datenschutzrechtlicher Sicht ist das Vereinigte Königreich mit Austritt aus der Europäischen Union ein sogenanntes Drittland. Für die Übermittlung personenbezogener Daten in ein Drittland gelten gemäß Art. 44 ff. DS-GVO besondere Zulässigkeitsvoraussetzungen. Am 19. Februar 2021 hat die Europäische Kommission nun den Entwurf eines sog. Angemessenheitsbeschlusses gem. Art. 45 Abs. 3 DS-GVO vorgelegt.
Nachfolgend geben wir Ihnen einen kurzen Überblick über die bisherige Entwicklung, über die aktuelle Rechtslage im Hinblick auf den Datenschutz sowie einen Ausblick, was zu erwarten ist. Dies ist insbesondere für Unternehmen relevant, die in Bezug auf bestimmte Dienstleistungen noch steuern können, mit welchen Geschäftspartnern sie bestimmte Infrastrukturen aufbauen. Hier sollte das Sitzland möglicherweise berücksichtigt werden.
Das Vereinigte Königreich ist am 31. Januar 2020 aus der Europäischen Union („EU“) ausgetreten („Brexit“). Nach zwei Verschiebungen haben die EU und das Vereinigte Königreich als Austrittstermin den 31. Januar 2020 vereinbart. Am 1. Februar 2020 trat das Abkommen über den Austritt des Vereinigte Königreichs aus der EU in Kraft. Im Hinblick auf das Datenschutzrecht wurde darin vereinbart, dass bis zum 31. Dezember 2020 das Unionsrecht über den Schutz personenbezogener Daten im Vereinigten Königreich für die Verarbeitung personenbezogener Daten Betroffener außerhalb des Vereinigten Königreichs weiterhin gelten sollte. Also galten auch nach dem Austritt des Vereinigten Königreichs aus der EU weiterhin dort die DS-GVO und das Vereinigte Königreich nicht als Drittland im Sinne des Art. 44 DS-GVO. Damit blieb in datenschutzrechtlicher Hinsicht bis zum 31. Dezember 2020 zunächst alles beim Alten; vorbehaltlich etwaiger Anpassungen in den Datenschutzinformationen und sonstigen datenschutzrechtlichen Dokumentationen.
Kurz vor dem Ende der Übergangsfrist haben sich die EU und das Vereinigte Königreich im Rahmen eines Handels- und Zusammenarbeitsabkommens in Bezug auf Datenübermittlungen auf eine neue Übergangsregelung geeinigt. Diese sieht vor, dass die Übermittlung personenbezogener Daten von der EU in das Vereinigte Königreich für eine weitere Übergangsperiode erneut nicht als Übermittlung in ein Drittland gemäß Art. 44 DS-GVO angesehen wird. Diese Periode begann mit dem Inkrafttreten des Abkommens am 1. Januar 2021 und endet entweder, wenn die EU-Kommission einen das Vereinigte Königreich betreffenden Angemessenheitsbeschluss gemäß Art. 45 Abs. 3 DS-GVO (und Art. 36 Abs. 1 Richtlinie (EU) 2016/680) getroffen hat oder spätestens vier Monate nach Beginn dieser Übergangsperiode, mithin zum 30. April 2021.
Damit sind Datenübermittlungen in das Vereinigte Königreich zunächst weiterhin unter den bisherigen Voraussetzungen möglich. Das Enddatum zum 30. April 2021 kann auch nochmals um zwei Monate verlängert werden, falls keine der beteiligten Parteien widerspricht.
Damit ändert sich bis zum Erlass eines Angemessenheitsbeschlusses oder bis zum 30. April 2021 bzw. 30. Juni 2021 im Hinblick auf die Übermittlung personenbezogener Daten von der EU in das Vereinigte Königreich zunächst erneut nichts; vorbehaltlich etwaiger Anpassungen in den Datenschutzinformationen und sonstigen datenschutzrechtlichen Dokumentationen.
Die EU-Kommission hatte nun den Auftrag, einen sog. Angemessenheitsbeschluss in Bezug auf das Vereinigte Königreich gemäß Art. 45 Abs. 3 DS-GVO vorzulegen.
Allerdings: Einen solchen Angemessenheitsbeschluss kann die EU-Kommission nur treffen, wenn sie nach eingehender Prüfung zu dem Ergebnis kommt, dass in dem Vereinigten Königreich ein der DS-GVO gleichwertiges bzw. ein angemessenes Schutzniveau für die Verarbeitung personenbezogener Daten besteht.
Denn: Besteht für ein Land oder eine Organisation ein solcher Angemessenheitsbeschluss, wird dieses Land bei der Übermittlung personenbezogener Daten als ein sicheres Drittland betrachtet, und die zusätzlichen Voraussetzungen für die Übermittlung personenbezogener Daten, die die Art. 44 ff. DS-GVO aufstellt, sind durch das Vorliegen eines Angemessenheitsbeschlusses gem. Art. 45 Abs. 3 DS-GVO erfüllt. Solche Angemessenheitsbeschlüsse gibt es beispielsweise für die Schweiz, Israel oder Neuseeland.
Die EU-Kommission ist in beeindruckender Geschwindigkeit tätig geworden und hat den Entwurf eines Angemessenheitsbeschlusses, über den das Vereinigte Königreich zu einem sicheren Drittstaat erklärt wird, bereits vorgelegt: LINK.
Dabei stand die EU-Kommission durchaus vor Herausforderungen: Denn soll der Angemessenheitsbeschluss Bestand haben, muss er die aktuelle Rechtsprechung des Europäischen Gerichtshofs („EuGH“) berücksichtigen, damit er der Prüfung durch den Europäischen Datenschutzausschuss („EDSA“) oder ggf. sogar einer Überprüfung durch den EuGH standhält.
Hier spielt insbesondere die Entscheidung des EuGH vom 16. Juli 2020 (Rechtssache C-311/18 – „Schrems II“) eine Rolle. Darin hat der EuGH das „Privacy Shield“ für unwirksam erklärt, da kein angemessenes Datenschutzniveau in den USA gewährleistet werden könne. Hierbei kritisierte der EuGH insbesondere, dass Informationen über Europäische Bürger auf US-Servern nicht vor dem Zugriff dortiger Behörden und Geheimdienste geschützt seien. Zu Einzelheiten vgl. LINK.
Insoweit musste die EU-Kommission bei ihrer Prüfung des Datenschutzniveaus im Vereinigten Königreich die Regelungen des Investigatory Power Acts von 2016 in den Blick nehmen. Dieses Gesetz lässt gezielte und thematische Massenüberwachung, Gerätezugriffe und Befugnisse zur Erfassung von Kommunikationsdaten zu. Es enthält zudem Überwachungsbefugnisse britischer Geheimdienste.
Gegenüber dem Handelsblatt äußerte der Datenschutzbeauftragte des Landes Baden-Württemberg, Stefan Brink, „wegen der „Verbandelung“ der britischen Geheimdienste mit denen der USA grundsätzliche Zweifel. Der Brexit lege eigentlich nur das offen, was Datenschützer schon seit Langem wissen, sagte er. „Die Überwachungs- und Austauschtätigkeit auch der Geheimdienste des Vereinigten Königreichs verletzen die EU-Grundrechte-Charta als unangemessene, übermäßige staatliche Überwachung der Bürgerinnen und Bürger.“
Es kann unterstellt werden, dass der nun vorgelegte Entwurf die vorstehenden Punkte berücksichtigt hat. Nun müssen der EDSA und der EU-Rat sich noch mit dem Entwurf befassen. Im Anschluss kann der Angemessenheitsbeschluss in Kraft treten und für die nächsten vier Jahre – auf diesen Zeitraum ist er befristet – Rechtssicherheit in Hinblick auf die Übermittlung personenbezogener Daten von der EU in das Vereinigte Königreich geben.
Es empfiehlt sich jedoch, das weitere Verfahren im Blick zu behalten. Auch, wenn der nun vorgelegte Beschluss in eine Angemessenheitsentscheidung gem. Art. 45 Abs. 3 DS-GVO mündet (was nicht sicher ist) und das Vereinigte Königreich als ein sicheres Drittland gilt, gibt es Handlungsbedarf. In diesem Fall sind die Datenschutzinformationen (erneut) anzupassen. Die Betroffenen sind über den Transfer ihrer personenbezogenen Daten in ein Drittland zu informieren. Darüber hinaus müssen bei der Übermittlung personenbezogener Daten in Drittländer Garantien angegeben werden, auf deren Basis der Transfer erfolgt. Diese Garantie wäre dann der Angemessenheitsbeschluss.
Es ist jedoch ratsam, diesen Komplex darüber hinaus weiter zu verfolgen. Denn es ist nicht ausgeschlossen, dass jemand gegen den Beschluss vorgeht und – der EuGH nach Vorlage durch nationale Gerichte – die Angemessenheitsentscheidung für ebenso nichtig erklärt, wie das „Privacy Shield“ für die Übermittlung personenbezogener Daten in die USA.
Mehr Rechtssicherheit bietet es vor diesem Hintergrund möglicherweise, wo möglich, sich Partner mit Sitz in der EU bzw. dem EWR zu suchen.