BREXIT und Datenschutz
Bekanntlich hat Großbritannien mit Ende 2020 die Europäische Union endgültig verlassen. Dies hat nicht nur Auswirkung auf den Handel und viele andere Bereiche, sondern auch auf die Übermittlung personenbezogener Daten von der EU in das Vereinigte Königreich. Ob und inwieweit bzw. unter welchen Voraussetzungen Datentransfers weiterhin möglich sind, erfahren Sie im Nachfolgenden.
Mit dem Austritt aus der EU wurde Großbritannien aus datenschutzrechtlicher Sicht zum Drittland . Einem Drittland wird nach der DSGVO grundsätzlich ein anderes Datenschutzniveau als einem Land innerhalb der EU beigemessen. Datenübermittlungen von der EU in ein Drittland dürfen daher nur dann durchgeführt werden, wenn angemessene Garantien gegeben werden, um eine sichere Datenverarbeitung im Drittland zu gewährleisten. Die bekannteste Maßnahme ist die Verwendung von Standardvertragsklauseln. Erst vor kurzem hat die Europäische Kommission neue Entwürfe von Standardvertragsklauseln veröffentlicht. Nach Inkrafttreten der neuen Klauseln (damit wird im zweiten Quartal dieses Jahres gerechnet) müssen innerhalb einer Übergangsfrist von einem Jahr die derzeit verwendeten Klauseln auf die neuen Klauseln umgestellt werden.
Durch den 1.246-Seiten starken Brexit-Deal zwischen der EU und Großbritannien, der am 24. Dezember 2020 abgeschlossen wurde, wurde eine weitere Übergangregelung festgeschrieben. Auf knapp zweieinhalb Seiten (406-408) wird die “Interim provision for transmission of personal data to the United Kingdom“ geregelt. Darin ist vorgesehen, dass Datenübermittlungen so wie bisher bis zum 30.April 2021 beibehalten werden können. Großbritannien wird somit vorläufig (noch) nicht als Drittland qualifiziert. Danach ist eine automatische Verlängerung der Schonfrist um zwei Monate bis 30. Juni 2021 vorgesehen, sofern nicht eine der Parteien widerspricht. Der Deal steht jedoch unter der Voraussetzung, dass das Vereinigte Königreich seine bisher anwendbaren datenschutzrechtlichen Bestimmungen beibehält und nicht abändert. Diese haben bisher dem europäischen Recht entsprochen.
Vor diesem Hintergrund ist die Erwartung, dass die Europäische Kommission einen Angemessenheitsbeschluss gemäß Art. 45 DSGVO erlässt. Damit wird einem Drittland oder einer internationalen Organisation ein angemessenes Datenschutzniveau zuerkannt und wird folglich als sicheres Drittland bzw. sichere Organisation eingestuft. Aktuell existieren zwölf Angemessenheitsbeschlüsse, beispielsweise für die Schweiz, Kanada, Israel, Argentinien. Im Jänner 2019 wurde der letzte Angemessenheitsbeschluss für Japan beschlossen. Dass Angemessenheitsbeschlüsse auch für unwirksam erklärt werden können, beweisen die beiden Entscheidungen des Europäischen Gerichtshofes zum Safe Harbor Abkommen (Safe-Harbor-Entscheidung des EuGH vom 6. Oktober 2015 - Rechtssache C-362/14 – Schrems/Data Protection Commissioner (Schrems I)) und zum Privacy-Shield Abkommen (Privacy-Shield-Entscheidung des EuGH vom 16. Juli 2020 - Rechtssache C-311/18 - Data Protection Commissioner v Facebook Ireland Limited and Maximillian Schrems (Schrems II). Beide Abkommen betrafen Datenübermittlungen in die USA.
Schneller als erwartet, hat die Europäische Kommission bereits am 19. Februar 2021 einen entsprechenden Entwurf eines Angemessenheitsbeschlusses vorgelegt. Als Hauptargument für den Angemessenheitsbeschluss führt die Kommission an, dass Großbritannien das europäische Datenschutzrecht jahrzehntelang mitgeprägt hat und dass die DSGVO weiterhin unmittelbare Anwendung findet.
Um Wirksamkeit zu erlangen, bedarf der Entwurf der Zustimmung aller Mitgliedstaaten. Es bleibt somit zu hoffen, dass der Angemessenheitsbeschluss etwas schneller als im Zusammenhang mit Japan angenommen wird. Damals benötigte man etwa fünf Monate. Dieser Zeitraum wäre jedoch zu lange und würde nach dem 30. Juni 2021 liegen. Der Angemessenheitsbeschluss soll für vier Jahre gelten. Während dieses Zeitraums ist von der Kommission fortlaufend zu prüfen, ob die Voraussetzungen eines sicheren Datenschutzniveaus auch tatsächlich eingehalten werden oder ob sich die Umstände geändert haben.
Hinweis: Dieser Blog stellt lediglich eine generelle Information und keineswegs eine Rechtsberatung von Binder Grösswang Rechtsanwälte GmbH dar. Der Blog kann eine individuelle Rechtsberatung nicht ersetzen. Binder Grösswang Rechtsanwälte GmbH übernimmt keine Haftung, gleich welcher Art, für Inhalt und Richtigkeit des Blogs.