Am 31. Dezember 2020 endete die Mitgliedschaft Großbritanniens in der Europäischen Union. Nachfolgend soll beleuchtet werden, welche Folgen das und der kurzfristig am 24. Dezember 2020 beschlossene „Deal“ für den Transfer personenbezogener Daten aus der EU nach Großbritannien haben.
Durch den Austritt aus der EU wurde Großbritannien datenschutzrechtliches Drittland. Es gelten also somit im Grunde die Vorschriften der Artt. 44 ff DSGVO. Da bislang auch in Großbritannien die EU-DSGVO als verbindlicher Rechtsrahmen zur Verarbeitung personenbezogener Daten galt, muss dort nun neues nationales Recht hierfür geschaffen werden. Von dessen Ausgestaltung wird es abhängen, ob die EU-Kommission, die sich bereits seit März 2020 mit der Thematik befasst, einen Angemessenheitsbeschluss im Sinne des Art. 45 DSGVO treffen kann. In diesem Falle gälte Großbritannien, ebenso wie z.B. die Schweiz als „sicheres Drittland“ mit dem Ergebnis, dass personenbezogene Datenübermittlungen ohne weitere Anforderungen zulässig wären. Wie sich der britische Rechtsrahmen in diesem Bereich entwickeln wird, ist derzeit allerdings offen. Während man seitens der EU offenbar davon ausgeht, dass die hiesigen Standards aufrechterhalten werden, plant laut Heise Online der britische Premierminister Boris Johnson eine „von der EU losgelöste, unabhängige Linie“ zu verfolgen. Was auch immer das am Ende zu bedeuten haben mag – es dürfte eine umfassende Prüfung der britischen Gesetzgebung erforderlich werden, bevor ein Angemessenheitsbeschluss ergehen kann.
In Anbetracht dieser Umstände erscheint es fraglich, ob die mit dem Abkommen vom 24.12.2020 mit erschaffene Übergangsfrist von 4 Monaten, welche bei Bedarf auf bis zu 6 Monate verlängert werden kann, ausreichend sein wird, damit in Großbritannien ein eigenes Datenschutzgesetz vorliegt, die EU-Kommission dies prüft und der Europäische Datenschutzausschuss und die Mitgliedsstaaten einen dann möglicherweise ergehenden Angemessenheitsbeschluss befürworten.
Im Ergebnis bliebt folgendes festzuhalten:
- Der Transfer personenbezogener Daten an Empfänger oder Auftragsverarbeiter mit Sitz in Großbritannien kann zunächst für die Dauer von vier bis sechs Monaten unverändert fortgesetzt werden;
- Unter bestimmten Umständen kann ein Angemessenheitsbeschluss der EU-Kommission ergehen, aufgrund dessen Großbritannien als sicheres Drittland geführt wird. In diesem Falle ändert sich in der Praxis wenig, jedoch müssen, z.B. in Verträgen zur Auftragsverarbeitung oder in den Verarbeitungsverzeichnissen Datenübermittlungen nach Großbritannien als Übermittlungen in Drittstaaten deklariert werden;
- Sollte bis zum 30.06.2021 kein Angemessenheitsbeschluss ergehen (und keine Verlängerung der Übergangsfrist erfolgen), gilt Großbritannien ab dem 01.07.2021 als nicht sicheres Drittland. Personenbezogene Daten dürfen dann nur noch unter engen Voraussetzungen, z.B. der Verwendung von Standard-Vertragsklauseln, nach Großbritannien übermittelt werden. Auch auf dieses Szenario sollten Unternehmen vorbereitet sein, denn gänzlich unwahrscheinlich ist es nicht.
Die Story geht also weiter.