Das sollte nun vorerst ab dem 01. Januar 2021 gelten.
Zur Regelung des Transfers personenbezogener Daten im Brexit-Deal zwischen der EU und dem Vereinigten Königreich gibt es eine gute Nachricht, einige weniger gute – und einen kleinen Hoffnungsschimmer. In der sprichwörtlich letzter Sekunde haben sich das Vereinigte Königreich und die europäische Union doch noch auf ein Abkommen geeinigt, welches das Prozedere ab dem 01. Januar 2021 regelt, also auf einen Vertrag, wie es nach der am 31. Dezember 2020 endenden Übergangsfrist weitergehen soll. So werden zunächst vielen Dingen in dem 1.250 Seiten umfassenden Vertrag und auch somit der Datenschutz vorerst geregelt!
Zuerst einmal die gute Nachricht in Bezug auf den Datenschutz
Für Unternehmen, die personenbezogene Daten im Vereinigten Königreich verarbeiten oder speichern bzw. die dort mit Unternehmen zusammenarbeiten, gibt es immerhin eine gute Nachricht: Es gibt nach dem 01. Januar 2021 noch eine (weitere) Schonzeit.
Für vorerst vier Monate ist vereinbart, dass das Vereinigte Königreich nicht als Drittland gilt.
Es ist sogar vorgesehen, dass diese Frist sich automatisch um zwei weitere Monate verlängert.
Damit wäre ein Datentransfer zumindest bis zum 30. April 2021, vielleicht sogar bis zum 30. Juni 2021 unter unveränderten Bedingungen möglich.
Leider gibt es auch die nicht ganz so guten Nachrichten
Beide Seiten können der automatischen Verlängerung nach dem viermonatigen Übergangsfrist widersprechen. Es ist also gut möglich, dass das Vereinigte Königreich doch noch relativ bald zum Drittland werden könnte. Dies birgt Unsicherheiten und Gefahren für Unternehmer! Und damit bestehen schon jetzt gewisse zusätzliche Hürden, um personenbezogene Daten in das Vereinigte Königreich transferieren zu dürfen. Insbesondere wären auch die bereits bekannten Datenschutz-Garantien notwendig.
Schlussendlich gibt es wie bei jedem Abkommen auch die schlechten Nachrichten
Eine dauerhafte Lösung ist das Ganze nicht. Es besteht zwar theoretisch die Möglichkeit, dass die EU-Kommission rechtzeitig einen Angemessenheitsbeschluss erlässt. Dann bliebe das Vereinigte Königreich zwar Drittland, dieses wäre aber aus Sicht des Datenschutzes „sicher“. Ob das allerdings in der knappen Zeit passiert, wird sehr fraglich sein. Zudem haben die Sicherheitsbehörden im Vereinigten Königreich ähnlich weitreichende Befugnisse, wie es beispielsweise in den USA der Fall ist. Die Konsequenzen sind bekannt – wir erinnern an das implodierte Safe Harbor, das unwirksame EU-U.S. Privacy Shield und nicht zuletzt die Nebenaussagen im Schrems-II-Urteil.
Diese Befugnisse für Sicherheitsbehörden brauchten bisher nicht so in voller Konsequenz beachtet werden, da das Vereinigten Königreich als EU-Mitglied die DS-GVO ja immerhin direkt galt und das Datenschutzniveau damit nicht nur „vergleichbar angemessen“, sondern gleich war. Mit dem Austritt und der damit verbundenen Lösung vom EU-Recht aber gilt die DS-GVO nicht mehr und die Angemessenheit würde mit Blick auf die komplette Rechtsordnung des betroffenen Staates beurteilt werden. Die Lage ist damit die Gleiche, wie etwa bei den Vereinigten Staaten. Ein Angemessenheitsbeschluss wäre daher inkonsequent und nicht zuletzt der Europäische Gerichtshof hätte vermutlich Einwände.
Der Hoffnungsschimmer
Falls wir es erleben sollten, dass der Angemessenheitsbeschluss in der viermonatigen Übergangsfrist wirklich zu Stange kommen sollte, könnte der Datentransfer weitergehen wie bislang. Seien wir zuversichtlich, die Hoffnung stirbt bekanntlich zum Schluss!
Perspektiven für Unternehmen oder besser doch viele Ungewissheiten für Unternehmen?
Insgesamt bestehen leider noch weiterhin viele Ungewissheiten. Die Übergangsfrist des Brexit-Deals ist der Einschätzung vieler Datenschützer nach nichts weiter als ein kosmetischer Aufschub. Dass sich das Vereinigte Königreich weiter an das fortschrittliche Datenschutzrecht hält, das im Vereinigte Königreich immerhin als Gängelung und Bevormundung empfundenen EU-Vorstellungen gesehen wird, halten wir für ebenso unwahrscheinlich wie eine Beschneidung der Befugnisse der Sicherheitsbehörden. Angesichts der kurzen Schonfrist stellt sich auch die Frage, ob solche Gesetzesanpassungen überhaupt noch rechtzeitig kämen.
Für Unternehmen bleibt also entweder die Möglichkeit, nach alternativen Geschäftspartnern bzw. Dienstleistern innerhalb der EU zu suchen, oder sie sorgen rechtzeitig dafür, dass zusätzliche Datenschutzgarantien vorliegen und defacto auch durchsetzbar sind. Wie das dann aussehen könnte und welche Maßnahmen dafür zu ergreifen sind, kann bei Bedarf in einer individuelle Beratung und Analyse in Ihrem Unternehmen durch erfahrene Datenschützer durchgeführt werden und ist auch anzuraten.
Nur zur Vervollständigung sei noch darauf hingewiesen, dass der „Deal“ zum aktuellen Zeitpunkt noch von den diversen Parlamenten gebilligt werden muss, also nicht nur im Vereinigte Königreich, um wirksam zu werden.