Datentransfers in das Vereinigte Königreich

Mit dem Austritt des Vereinigten Königreichs am 31.01.2020 stand aus datenschutzrechtlicher Perspektive fest, dass Großbritannien nach Ablauf der vereinbarten Übergangsregelungen ein Drittland i. S. d. DSGVO sein wird.
Das erste Austrittsabkommen und das folgende Handels- und Kooperationsabkommen zwischen der EU und dem Vereinigten Königreich stellen hierzu Übergangsregelungen auf, auf die wir im Folgenden eingehen.

Das ursprüngliche Austrittsabkommen

Das ersten Austrittsabkommen, welches ab dem 01.02.2020 in Kraft trat, fingierte in Artikel 71 des Abkommens, dass bei Datenübermittlungen von der EU in das Vereinigte Königreich für den Übergangszeitraum bis zum 31.01.2020 das Vereinigte Königreich kein Drittland i. S. d. DSGVO ist. Somit war das Vereinigte Königreich während des Übergangszeitraumes weiterhin datenschutzrechtlich als Mitgliedstaat anzusehen.
Nach dem Ende des Abkommens am 31.01.2020 trat jedoch diese Übergangsregelung außer Kraft.

Das nachfolgende Handels- und Kooperationsabkommen

Das nachfolgende Handels- und Kooperationsabkommen stellte ab dem 01.01.2021 in Artikel FINPROV.10A erneut eine datenschutzrechtliche Übergangsregelung auf. Die Fiktion des ursprünglichen Artikels 71 des Austrittsabkommens verlängerte sich damit.
Die Wirkung des Artikel FINPROV.10A beträgt vier Monaten ab Beginn des Inkrafttretens des Handels- und Kooperationsabkommens und verlängert sich automatisch um zwei Monate, sofern kein Widerspruch der EU oder des Vereinigten Königreichs erhoben wird.

Da das Handels- und Kooperationsabkommen momentan noch nicht rechtskräftig ist, sondern nur vorläufig Anwendung findet, gilt der Beginn der vorläufigen Anwendung als Beginn des Inkrafttretens des Abkommens, vgl. Artikel FINPROV.11 Abs. 3. Mithin gilt grundsätzlich das Vereinigte Königreich bis zum 01.05.2021 nicht als Drittland und, falls ein Widerspruch bis dahin ausbleibt, sogar bis zum 01.07.2021.

Sofern die Europäische Kommission vor Ablauf dieser Übergangsregelungen einen Angemessenheitsbeschluss i. S. d. Art. 45 DSGVO erlässt, endet die Fiktion des Artikel FINPROV.10A. Datenschutzrechtlich wäre das Vereinigte Königreich ab diesem Zeitpunkt formell ein Drittland i.S.d. DSGVO. Datenübermittlungen aus der EU an das Vereinigte Königreich benötigten ab diesem Zeitpunkt einen zusätzlichen Rechtfertigungstatbestand gemäß Art. 44 ff. DSGVO.

Zut Zeit prüft die EU Kommission, ob eine Entscheidung über einen Angemessenheitsbeschluss bis Ende Mai bzw. Anfang Juni 2021 erfolgen kann.

Momentan prüft der Ausschuss für bürgerliche Freiheiten, Justiz und Inneres (LIBE) noch die Stellungnahme des Europäischen Datenschutzausschusses (EDPB) zur Einstufung von Großbritannien nach dem BREXIT, vom 16. April 2021.

Der EDPB hat in seiner Stellungnahme festgestellt, dass:

When analysing the law and practice of a third country which has been a Member State of the EU until recently, it is evident that the EDPB has identified many aspects to be essentially equivalent. 8. In the area of data protection, the EDPB notes that there is a strong alignment between the GDPR framework and the UK legal framework on certain core provisions such as, for example, concepts (e.g., “personal data”; “processing of personal data”; “data controller”); grounds for lawful and fair processing for legitimate purposes; purpose limitation; data quality and proportionality; data retention, security and confidentiality; transparency; special categories of data; direct marketing; automated decision making and profiling.

Im weiteren Verfahren müssten Mitgliedstaaten bis Ende Mai dem geplanten Angemessenheitsbeschluss zustimmen, bevor die Kommission ihn erlässt.

Der EDPB gibt dabei folgendes Votum ab. Rn. 36  in Bezug auf den Status des Vereinigten Königreiches nach Ablauf der Übergangsfristen ab:

Der EDPB ist der Ansicht, dass die Beurteilung der Angemessenheit des Vereinigten Königreichs aufgrund des früheren Status des
des Vereinigten Königreichs als EU-Mitgliedstaat eine besondere ist. Es wird vorgeschlagen, die Angemessenheitsentscheidung mit einer 
Verfallsklausel ("Sunset-Clause") zu flankieren.
Der EDPB erkennt eine sehr weitreichende Konvergenz zwischen dem britischen und dem EU-Datenschutzrahmen an, sieht gleichzeitig jedoch - nach einer sorgfältigen Analyse des Entscheidungsentwurfs der Europäischen Kommission und der britischen Datenschutzgesetzgebung eine Reihe von Herausforderungen identifiziert, die noch ausführlich untersucht werden müssen.
In diesem Zusammenhang betont der EDPB die überragende Rolle der Europäischen Kommission bei der Überwachung aller relevanten
Entwicklungen im Vereinigten Königreich.
Der EDPB fordert die Europäische Kommission außerdem auf, alle relevanten Entwicklungen im Vereinigten Königreich genau zu beobachten, soweit diese sich auf die wesentliche Gleichwertigkeit des Datenschutzniveaus auswirken können, und den Schutz personenbezogener Daten zum Gegenstand haben könnten, und erforderlichenfalls rasch geeignete Maßnahmen zu ergreifen.

Der „Worst Case“ - Keine Zustimmung des Europäischen Parlaments

Ein den meisten nicht ganz bekanntes, aber in den nächsten Wochen äußerst erhebliches völkerrechtliches Problem, wirkt sich eventuell auf das Datenschutzrecht aus. Eine falsche Annahme ist, dass die Datenübermittlung in das Vereinigte Königreich bis zum 01.05.2020 und wohl auch bis zum 01.07.2020 mit Artikel FINPROV.10A eine sichere Angelegenheit wäre. Der Angemessenheitsbeschluss der Kommission sei eine reine Formsache.
Allerdings ist daran zu erinnern, dass das Handels- und Kooperationsabkommen bisweilen nur vorläufig Gültigkeit besitzt und gerade nicht in Kraft getreten ist. Es tritt erst in Kraft, wenn das Europäische Parlament seine Zustimmung erteilt. Die ursprüngliche vorläufige Anwendung bis zum 28.02.2021 verlängerte sich mit dem Beschluss Nr. 1/2021 vom 23.02.2021 des Partnerschaftsrates bis zum 30.04.2021, damit das Europäische Parlament vor Abgabe seiner Zustimmung, den Vertragstext des Handels- und Kooperationsabkommens hinreichend überprüfen kann.

Aufgrund  politischer Schwierigkeiten zwischen der EU und dem VK im Zusammenhang mit der Bestellung von Impfstoffen und Unruhen in Nordirland, besteht ein wahrscheinliches Szenario, dass das Europäische Parlament seine Zustimmung verwehrt und der Partnerschaftsrat die vorläufige Anwendung des Abkommens nicht nochmals verlängert.

Falls dieses Szenario eintritt, wäre mit Ablauf des 30.04.2021 die Übergangsregelung des Artikel FINPROV.10A nichtig. Aus rechtlicher Sicht ist das Abkommen niemals in Kraft getreten, da es nur vorläufig Anwendung findet. Eine automatische Verlängerung der Regelung in Art.FINPROV.10A bis zum 01.07.2021 scheidet damit aus. Das Vereinigte Königreich wäre dann ab dem 01.05.2021 Drittland i. S. d. DSGVO.

Voraussetzung für die Datenübermittlungen aus der EU in das Vereinigte Königreich wäre, neben den allgemeinen Rechtfertigungstatbeständen der Art. 6 und 9 DSGVO, eine Rechtfertigung nach Art. 44 ff. DSGVO.

Von heute auf morgen wäre folglich der Anwendungsbereich der Art. 44. ff DSGVO für den Datentransfer in das Vereinigte Königreich eröffnet. Unternehmer müssen dann schnellstmöglich wegen mangelnden Angemessenheitsbeschlusses einen anderweitigen Rechtfertigungstatbestand für die Übermittlung finden. Hier wären wohl Standarddatenschutzklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO eine geeignete Möglichkeit zur Herbeiführung der Rechtmäßigkeit der Datenverarbeitung. Ein dem amerikanischen „Cloud Act“ vergleichbares Gesetz in dem Vereinigte Königreich, welches Zweifel an die Rechtmäßigkeit der Datenübermittlung trotz Verwendung von Standarddatenschutzklauseln begründen würde, liegt gegenwärtig nicht vor.

Fazit

Der Brexit sorgt nach mehr als einem Jahr weiterhin für Rechtsunsicherheit. Aufgrund der Impfkampagne der Europäischen Union und des Vereinigten Königreichs sowie der Unruhen in Nordirland fällt diese Rechtsunsicherheit aus politischen Gründen noch schwerer.

Europäischen Unternehmern, die Daten in das Vereinigte Königreich übermitteln, raten wir daher in den nächsten Wochen ein besonderes Auge auf die politischen Ereignisse des Europäischen Parlaments zu werfen. Je nachdem, ob kumulativ die Zustimmung des Europäischen Parlaments und eine Verlängerung der vorläufigen Anwendung des Handels- und Kooperationsabkommens ausbleiben, benötigen ab dem 01.05.2021 Datenübermittlungen in das Vereinigte Königreich neue datenschutzrechtliche Rechtfertigungstatbestände. Um dieser Ungewissheit vorzubeugen, ist es ratsam, bereits jetzt Standarddatenschutzklauseln mit seinen britischen Datenempfängern abzuschließen oder, soweit möglich, auf Europäische Alternativanbeiter umzusatteln.

Co-Autor: Wissenschaftlicher Mitarbeiter - Ref. jur. John Markus Maddaloni

Bildquelle: Bild von Pete Linforth auf Pixabay

Autor: Rechtsanwalt Marcus Dury LL.M. - Fachanwalt für IT-Recht

Kanzleiinhaber, Fachanwalt für IT-Recht

Autoren-Info:

Rechtsanwalt Marcus Dury LL.M., Fachanwalt für IT-Recht, hat sich auf die rechtliche Beratung in Fragen des IT-Rechts und den damit verbundenen Rechtsgebieten (Urheberrecht, Markenrecht und Wettbewerbsrecht) spezialisiert. Er ist Inhaber von DURY LEGAL Rechtsanwälte.