Brexit und DSGVO: Quo vadis, Datenübermittlung nach Großbritannien?

Was gilt, wenn Du in Deinem Business einen englischen Anbieter nutzt

von Kolja Strübing, Rechtsreferendar

Nach dem Brexit stellt sich die Frage, auf welche Rechtsgrundlage eine Datenübermittlung aus EU-Mitgliedsstaaten nach Großbritannien gestützt werden kann. Durch den Brexit ist England nicht mehr in der EU und Du darfst Daten dahin nicht mehr ohne weiteres exportieren.

Gibt es eine Überganglösung?

Bis zum 30. Juni 2021 gibt es eine Übergangslösung, die Dir erlaubt, mit einem englischen Anbieter zusammen zu arbeiten. Doch was gilt danach?

Was macht die EU-Kommission?

Grundsätzlich beabsichtigt die europäische Kommission, einen sog. Angemessenheitsbeschluss zu erlassen. In diesem Beschluss möchte die Kommission feststellen, dass in Großbritannien ein angemessenes Datenschutzniveau sichergestellt ist. Ein Entwurf dafür existiert bereits.

In naher Zukunft dürfte die Datenübermittlung nach Großbritannien daher formal erlaubt sein. Fraglich ist aber, ob das Bestand haben wird.

Das europäische Parlament hat der Kommission – wenn auch rechtlich unverbindlich – bereits empfohlen, den Entwurf für einen Angemessenheitsbeschluss zu überarbeiten. Dass die Kommission sich von ihrem Vorhaben abbringen lässt, ist aber unwahrscheinlich.

Jedoch wäre ohne Angemessenheitsbeschluss eine Datenübermittlung nach Großbritannien, wenn überhaupt, nur noch mit umfangreichen zusätzlichen Maßnahmen möglich, ähnlich wie es derzeit für die USA gilt.

Update: Am 28.06.21 hat die EU-Kommission tatsächlich einen Angemessenheitsbeschluss nach der DSGVO verabschiedet (https://ec.europa.eu/commission/presscorner/detail/de/ip_21_3183). Damit wird die freie Datenübermittlung von EU-Mitgliedsstaaten nach Großbritannien vorerst ohne Unterbrechung gesichert sein.

 

Trotzdem ist leider nicht ganz sicher, wie lange der Angemessenheitsbeschluss Bestand hat. Theoretisch könnte er wieder zurückgenommen werden. Auf die Einwände des Parlaments hin sieht der Beschluss der Kommission nämlich eine sog. „sunset clause“ vor, d.h. er läuft nach vier Jahren automatisch aus. Dann wird erneut geprüft, ob Großbritannien die Datenschutzstandards einhält. Und auch während dieser vier Jahre behält sich die Kommission vor, zu „intervenieren“, wenn sie die Entwicklung des Datenschutzniveaus in Großbritannien negativ bewertet.

Was macht der EuGH?

Derzeit ist offen, ob ein Angemessenheitsbeschluss auch vor dem EuGH Bestand haben würde. So hat der EuGH bereits im letzten Jahr in seinem Schrems II – Urteil das Privacy Shield Abkommen der EU-Kommission zur Angemessenheit der Datenübermittlung in die USA für unwirksam erklärt. Die Situation mit Großbritannien könnte einige Parallelen dazu aufweisen.

Zwar ähnelt das britische Datenschutzrecht noch dem europäischen, was für die Wirksamkeit eines Angemessenheitsbeschlusses spricht. Allerdings gibt es auch einige Probleme, auf die auch der Europäische Datenschutzausschuss (EDSA) hingewiesen hat. Darunter fallen die Bereiche Einwanderung, Vorratsdatenspeicherung und nationale Sicherheit. Die Vorratsdatenspeicherung in Großbritannien hat der EuGH beispielsweise schon am 06.10.2020 für unvereinbar mit den EU-Grundrechten erklärt (Rs. C-623-17). Außerdem kann der britische Geheimdienst wohl in weitem Umfang auf Metadaten zugreifen.

Wir empfehlen daher unbedingt, die weitere Entwicklung zu beobachten. Wer zukunftssicher agieren möchte, sollte möglichst von vornherein auf britische Anbieter verzichten. Wenn Du aber doch britische Anbieter hast, wir werden auch hier die Texte für die Datenschutzerklärung pflegen und aktuell halten.

Mehr über die DSGVO erfährst du hier.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.