Kurz vor Ablauf der vereinbarten Brexit-Übergangsfrist Ende Dezember 2020 haben die Europäische Union (EU) und Großbritannien (UK) doch noch zueinander gefunden und den Entwurf eines Handels- und Kooperationsabkommens beschlossen. Der im Deutschen 1390 Seiten starke Vertrag (abrufbar hier) muss noch ratifiziert werden, ist jedoch bereits vorläufig bis zum 28. Februar 2021 anwendbar und hat das Schreckens-Zenario eines harten Brexit gerade noch abgewendet.
Auch im Hinblick auf den Datenschutz enthält das Abkommen eine kurze, wenn auch wichtige Regelung, deren Inhalt und Bedeutung im Folgenden kurz vorgestellt werden soll.
Voraussetzungen für den internationalen Datentransfer
Zum besseren Verständnis der Regelungen im Abkommen möchten wir kurz in die Voraussetzungen des internationalen Datentransfers einführen:
Für das europäische Datenschutzrecht spielt es eine bedeutende Rolle, wo ein Verantwortlicher personenbezogene Daten verarbeitet. Innerhalb der EU geht die Datenschutzgrundverordnung (DSGVO) davon aus, dass in jedem Mitgliedsstaat ein angemessenes Datenschutzniveau herrscht und Daten beliebig zwischen den Mitgliedsstaaten übermittelt werden können.
Sobald Daten jedoch von einem Verantwortlichen in der EU in einen Nicht-EU-Staat (sog. Drittstaat) übermittelt werden sollen, stellt die DSGVO besondere Anforderungen: Nach Art. 44 DSGVO muss in diesem Fall eine Rechtsgrundlage für den Datentransfer bestehen. In Frage kommen dabei in erster Linie:
- Ein Angemessenheitsbeschluss der EU-Kommission. Die EU-Kommission kann beschließen, dass in einem Drittstaat ein angemessenes Datenschutzniveau herrscht. Daten können in diesem Fall in diese Staaten transferiert werden, als würden sie zur EU gehören.
- Geeignete Garantien nach Art. 46 DSGVO. Besondere Bedeutung haben dabei die sog. Standarddatenschutzklauseln (auch „SCC“ abgekürzt). Dabei handelt es sich um vertragliche Regelungen, die zwischen Verantwortlichen in der EU und Datenempfängern in einem beliebigen Drittstaat vereinbart werden können. Der Empfänger sichert darin kurz gesagt die Einhaltung des EU-Datenschutzniveaus zu.
Im Falle eines harten Brexit hätten europäische Verantwortliche wohl oder übel hauptsächlich auf SCC zurückgreifen müssen. Dies wäre aufgrund der Entscheidung des Europäischen Gerichtshofs (EuGH) in Sachen „Schrems II“ aus Mitte 2020 (Rs. C 311/18) jedoch alles andere als einfach geworden. Der EuGH hat mit seiner Entscheidung nämlich hohe Hürden für den Einsatz der SCC formuliert, die vom Europäischen Datenschutzausschuss im November 2020 konkretisiert wurden.
Datenschutzrechtliche Regelungen des neuen Abkommens
In Abschnitt 7 des Abkommens unter „Artikel FINPROV.10A: Übergangsbestimmung für die Übermittlung personenbezogener Daten an das Vereinigte Königreich“ finden sich die datenschutzrechtlichen Regelungen, die europäische Verantwortliche zunächst einmal froh stimmen dürften.
Für die Dauer von vier Monaten nach Inkrafttreten des Abkommens gilt UK nicht als Drittland, so dass Daten aus Europa erst einmal weiterhin ohne besondere Vorkehrungen übertragen werden können. Der Zeitraum verlängert sich um weitere zwei Monate, sofern keine der Vertragsparteien widerspricht. Effektiv wurde damit also eine Übergangsfrist von sechs Monaten geschaffen, in der Großbritannien so behandelt wird, als gehörten sie weiter zur EU. Während dieser Zeit will die EU-Kommission, wie in der am 26. Dezember 2020 veröffentlichen gemeinsamen Erklärungen von EU und UK, einen Angemessenheitsbeschluss prüfen.
Rechtmäßigkeit der Regelung und Reaktion der DSK
Bereits kurz nach der Veröffentlichung des Abkommens gab es die ersten Stimmen, die die Rechtmäßigkeit der datenschutzrechtlichen Regelung anzweifelten. Teilweise wurde dabei vorgebracht, die DSGVO kenne in ihrem fünften Kapitel kein System, nach dem die EU-Kommission schlicht beschließen könne, Nicht-EU-Staaten seien nicht als Drittstaaten zu behandeln. Andere verwiesen dagegen auf den völkerrechtlichen Charakter des Abkommens.
Diese Überlegungen dürfen von Unternehmensverantwortlichen als dogmatische Diskussionen ohne praktische Relevanz betrachtet werden, denn die Konferenz der deutschen Datenschutzaufsichtsbehörden (DSK) hat als Reaktion auf das Abkommen in ihrer Pressemitteilung vom 28. Dezember 2020 festgestellt, dass ein Datentransfer nach Großbritannien auf Basis des Abkommens vorerst weiter möglich ist. Von den Aufsichtsbehörden haben die Verantwortlichen also nichts zu befürchten, wenn sie dem Abkommen entsprechend verfahren.
Ausblick und Praxishinweis
Unternehmensverantwortliche stellen sich nun die Frage, wie es nach dem Ende der sechsmonatigen Übergangsfrist weitergeht. Es gibt zwei denkbare Szenarien:
- Szenario 1: Die EU-Kommission erlässt einen Angemessenheitsbeschluss für Großbritannien. In diesem Fall müssen die Verantwortlichen nur ihre Datenschutzinformationen und ihr Verarbeitungsverzeichnis anpassen.
- Szenario 2: Es gibt keinen Angemessenheitsbeschluss. Dann müssen die Verantwortlichen eine andere wirksame Rechtsgrundlage für den Transfer finden. In der Regel wird es wohl auf SCC hinauslaufen. Hier stellen sich dann jedoch die oben angesprochenen Probleme.
Wir gehen derzeit davon aus, dass die Verabschiedung eines Angemessenheitsbeschlusses eher wahrscheinlich ist. Hierfür sprechen vor allem politische und wirtschaftliche Gründe. Der Effekt eines umfangreichen und differenzierten Handelsabkommens, das den wirtschaftlichen Austausch zwischen den beiden eng verflochtenen Handelszonen sicherstellen soll, würde untergraben, wenn die Unternehmen in Punkto Datentransfer keine echte Rechtssicherheit hätten. Hieran ändert vermutlich auch wenig, dass zahlreiche Datenschützer sich entschieden dagegen aussprechen, dass UK als datenschutzrechtlich sicheres Drittland eingestuft wird.
Sollte das Szenario 2 eintreten (wofür u.a. die Zugriffsrechte amerikanischer Geheimdienste im Rahmen des Cloud-Act sprechen könnten), stellt sich die Frage, ob und wenn ja wie man sich auf diesen Fall nun vorbereiten kann und sollte. Folgende Maßnahmen sollten erwogen werden:
- Sofern nicht bereits im Nachgang zu der „Schrems II“-Entscheidung des EuGH oder zur Vorbereitung auf einen harten Brexit geschehen, sollten zumindest alle Datentransfers nach UK identifiziert werden (sog. Mapping). Dies dient dazu, nach Ablauf der Sechsmonatsfrist möglichst schnell reagieren zu können.
- Zusätzlich können bereits jetzt SCC mit den UK-Vertragspartnern vereinbart werden. Soweit wie möglich sollten in diesem Zuge dann die Voraussetzungen der „Schrems II“-Entscheidung umgesetzt werden. Probleme kann in diesem Zusammenhang die fundierte Bewertung des britischen Datenschutzniveaus bereiten.
Alles in allem bedeutet das Abkommen für die Verantwortlichen sechs Monate Ruhe und die Hoffnung, dass im Anschluss an die Übergangsphase ein Angemessenheitsbeschluss für Großbritannien stehen wird. Geht es nach den Unternehmen, muss eine Situation wie sie derzeit im Hinblick auf die USA besteht, um jeden Preis verhindert werden. Schließlich ist Großbritannien für europäische Unternehmen auch digital ein wichtiger Partner.