Brexit und DSGVO: Quo vadis, Datenübermittlung nach Großbritannien?

Was gilt, wenn Du in Deinem Business einen englischen Anbieter nutzt

 

von Kolja Strübing, Rechtsreferendar

 

 

Nach dem Brexit stellt sich die Frage, auf welche Rechtsgrundlage eine Datenübermittlung aus EU-Mitgliedsstaaten nach Großbritannien gestützt werden kann. Durch den Brexit ist England nicht mehr in der EU und Du darfst Daten dahin nicht mehr ohne weiteres exportieren.

 

Gibt es eine Überganglösung?

Bis zum 30. Juni 2021 gibt es eine Übergangslösung, die Dir erlaubt, mit einem englischen Anbieter zusammen zu arbeiten. Doch was gilt danach?

 

Was macht die EU-Kommission?

Grundsätzlich beabsichtigt die europäische Kommission, einen sog. Angemessenheitsbeschluss zu erlassen. In diesem Beschluss möchte die Kommission feststellen, dass in Großbritannien ein angemessenes Datenschutzniveau sichergestellt ist. Ein Entwurf dafür existiert bereits.

 

In naher Zukunft dürfte die Datenübermittlung nach Großbritannien daher formal erlaubt sein. Fraglich ist aber, ob das Bestand haben wird.

 

Das europäische Parlament hat der Kommission – wenn auch rechtlich unverbindlich – bereits empfohlen, den Entwurf für einen Angemessenheitsbeschluss zu überarbeiten. Dass die Kommission sich von ihrem Vorhaben abbringen lässt, ist aber unwahrscheinlich.

Jedoch wäre ohne Angemessenheitsbeschluss eine Datenübermittlung nach Großbritannien, wenn überhaupt, nur noch mit umfangreichen zusätzlichen Maßnahmen möglich, ähnlich wie es derzeit für die USA gilt.

 

Update vom 18.06.21: Wie netzpolitik.org berichtet, haben die EU – Mitgliedsstaaten gestern einem Entwurf eines Angemessenheitsbeschlusses zugestimmt (https://netzpolitik.org/2021/trotz-massenueberwachung-eu-erlaubt-grenzenlose-datenfluesse-nach-brexitannien/). Damit hat der Entwurf die wesentliche Hürde im Verfahren genommen. Wenn das stimmt, können wir insoweit Entwarnung geben, denn die freie Datenübertragung nach Großbritannien wäre vorerst (mehr dazu unten) gesichert.

Noch gibt es aber keine offizielle Stellungnahme der Kommission. Es ist deshalb im Moment noch unklar, ob die Kommission ihren Entwurf wegen der Einwände des Parlaments abgeändert hat und wann genau er verabschiedet wird. Wir halten Dich selbstverständlich auf dem Laufenden.

 

Was macht der EuGH?

Derzeit ist offen, ob ein Angemessenheitsbeschluss auch vor dem EuGH Bestand haben würde. So hat der EuGH bereits im letzten Jahr in seinem Schrems II – Urteil das Privacy Shield Abkommen der EU-Kommission zur Angemessenheit der Datenübermittlung in die USA für unwirksam erklärt. Die Situation mit Großbritannien könnte einige Parallelen dazu aufweisen.

 

Zwar ähnelt das britische Datenschutzrecht noch dem europäischen, was für die Wirksamkeit eines Angemessenheitsbeschlusses spricht. Allerdings gibt es auch einige Probleme, auf die auch der Europäische Datenschutzausschuss (EDSA) hingewiesen hat. Darunter fallen die Bereiche Einwanderung, Vorratsdatenspeicherung und nationale Sicherheit. Die Vorratsdatenspeicherung in Großbritannien hat der EuGH beispielsweise schon am 06.10.2020 für unvereinbar mit den EU-Grundrechten erklärt (Rs. C-623-17). Außerdem kann der britische Geheimdienst wohl in weitem Umfang auf Metadaten zugreifen.

 

Wir empfehlen daher unbedingt, die weitere Entwicklung zu beobachten. Wer zukunftssicher agieren möchte, sollte möglichst von vornherein auf britische Anbieter verzichten. Wenn Du aber doch britische Anbieter hast, wir werden auch hier die Texte für die Datenschutzerklärung pflegen und aktuell halten.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.