Entwurf einer möglichen EU-UK-Datenschutzvereinbarung
Die DSGVO gilt in den Mitgliedstaaten der Europäischen Union. Großbritannien zählt nicht länger dazu. Welche formellen Anforderungen jetzt bei der Datenübermittlung beachtet werden müssen.
Nach dem Austritt Großbritanniens, würde die DSGVO grds. unmittelbar ihre dortige Gültigkeit verlieren. Großbritannien wäre Drittland, es würden die alten inländischen Gesetzte zum Datenschutz gelten.
Übergangsregelung
Ende 2020 haben EU und Großbritannien ein Handels- und Kooperationsabkommen vereinbart. Hiernach gelten für die ersten 6 Monate in 2021 die Regelungen der DSGVO erstmal weiter. Die Übertragung, Speicherung und Verarbeitung von personenbezogenen Daten aus der EU nach Großbritannien und vice versa bleibt ohne Weiteres möglich.
Angemessenheitsbeschluss – What?
Bis zum Fristablauf im Juni versucht die EU-Kommission nun einen sogenannten Angemessenheitsbeschluss zum Datenschutz vorzulegen. In einem Angemessenheitsbeschluss nach Art. 45 DSGVO wird erklärt, dass in einem Nicht-EU-Mitgliedsstaat (Drittland) ein Datenschutzniveau entsprechend dem unionsrechtlichen Standard herrscht. Angemessenheitsbeschlüsse vereinfachen die Datenverarbeitung in und mit sicheren Drittländern und führen zur Beibehaltung und Standardisierung des unionsrechtlichen Datenschutzniveaus für Datensätze aus der EU. Nun hat die Kommission bereits im Februar einen Entwurf für einen Angemessenheitsbeschluss und eine Richtlinie zum Datenschutz bei der Strafverfolgung vorgelegt. Aus der Sicht von Unternehmen, die auf einen Datenaustausch mit den Briten angewiesen sind, ist das erstmal ein gutes Zeichen.
Wie es jetzt weitergeht
Für eine Annahme des Entwurfs ist erforderlich:
- eine Stellungnahme des Europäischen Datenschutzausschusses EDSA
- sowie die Zustimmung eines Ausschusses mit Vertretern aus den Mitgliedsstaaten.
Zwar bestätigte die EU-Kommission eine wesentliche Gleichwertigkeit der britischen Vorschriften mit unionsrechtlichen Standards. Insbesondere im Bereich der Vorschriften über den Datenzugriff von britischen Behörden könnten allerdings Schwierigkeiten auftreten. Dem britischen Geheimdienst ist es durch den Investigatory Powers Act von 2016 (IPA), möglich, weitreichende Befugnisse im Rahmen des Datenzugriffs und Massenüberwachung zu nutzen. Außerdem besteht ein enges Kooperationsverhältnis mit der amerikanischen NSA.
So wie der Europäische Gerichtshof (EuGH) ein nicht ausreichendes Datenschutzniveau der USA feststellte, und die Datenschutzvereinbarungen „Safe Harbor“ und deren Nachfolger „Privacy Shield“ mit den USA 2015 und 2020 kippte, besteht die Möglichkeit einer ähnlichen gerichtlichen Auseinandersetzung mit der entworfenen EU-UK-Vereinbarung.
Worst Case Szenario
Ohne ein Abkommen zwischen der EU und dem Vereinigten Königreich würde Großbritannien als Drittland im Sinne der Art. 44 ff. DSGVO gelten. Für den Datenaustausch mit Drittländern müssen andere Mechanismen, wie bspw. Standardvertragsklauseln, als Rechtsgrundlagen für einen Datentransfer vereinbart werden. Auch für Konzerne mit Tochtergesellschaften in Großbritannien würde das zu neuen formellen Anforderungen der Datenübermittlung führen. Ein Konzernprivileg sieht die DSGVO nicht vor.
Es bleibt also spannend.
Wie Sie sich dennoch datenschutzrechtlich absichern können – wir helfen Ihnen weiter!