Brexit und der Datenschutz

IT-SECURITY,

Johanna Hametner

IT-Consultant Information Security

E-Mail schreiben

Das Jahr 2020 ist geschafft und somit endet die erste elfmonatige Übergangsphase des Austrittsabkommens Großbritanniens aus der Europäischen Union (EU).

Dadurch stellt sich die Frage welche Änderungen diesbezüglich ab 2021 aus datenschutzrechtlicher Sicht gelten. 

Einleitend finden Sie hier einen kurzen Überblick der sogenannten „Brexit-Saga“:

  • 23. Juni 2016: Die Briten haben im Rahmen eines Referendums für den Austritt aus der Europäischen Union gestimmt.
  • 24. Jänner 2020: Die Abgeordneten in Brüssel haben für das Austrittsabkommen der Briten gestimmt und somit den Weg für den Brexit frei gemacht. 
  • 01. Februar 2020: Seit dem 1. Februar 2020 ist Großbritannien offiziell aus der Europäischen Union ausgetreten. Beginn der Übergangsphase I.
  • 31. Dezember 2020: Ende der Übergangsphase I.
  • 24. Dezember 2020: Beschluss über eine Verlängerung der Übergangsphase.
  • 01. Jänner 2020: Beginn der Übergangsphase II.
     

Datenschutz während der Übergangsphase I (24. Jänner – 31. Dezember 2020)

Bis zum Ende der Übergangsphase ändert sich für Unternehmen und Bürger innerhalb der EU wie auch aus den Vereinigten Königreichen aus datenschutzrechtlicher Perspektive nichts. Grund hierfür ist das sog. ABKOMMEN über den Austritt des Vereinigten Königreichs Großbritannien und Nordirland aus der Europäischen Union und der Europäischen Atomgemeinschaft.

Dieses regelt vertraglich, dass während der Übergangsphase weiterhin die DSGVO das unmittelbar anwendbare Recht ist. Laut Art. 46 DSGVO ist das Vereinigte Königreich somit während dieser Zeit wie sämtliche andere Mitgliedsstaaten der EU zu handeln und die Verarbeitung von personenbezogenen Daten ist wie vor dem Austritt zulässig. 

Endet die Übergangsphase, wird das Vereinigte Königreich datenschutzrechtlich ein außereuropäisches Drittland. Werden sodann personenbezogene Daten übermittelt, muss wie bei Übermittlungen in jedes andere Drittland (wie z.B.: USA oder Russland) sichergestellt werden, dass die Daten einem Sicherheitsniveau unterliegen, dass dem hohen DSGVO-Standard angemessen ist.

Datenschutz nach der Übergangsphase I (ab 01. Jänner 2021)

Am 24.Dezember 2020, also sprichwörtlich in letzter Minute, wurde zwischen der EU und dem Vereinigten Königreich eine Einigung über ein Handels- und Kooperationsabkommen erzielt. Die Regelungen umfassen 1.250 Seiten, welche Sie hier finden. In diesen verpflichten sich beide Seiten zur Einhaltung hoher Datenschutz-Standards. Leider handelt es sich hierbei um keine langfristige Lösung, wie beispielsweise ein Angemessenheitsbeschluss darstellen würde.

Aber was bedeutet dies nun für Unternehmen, welche personenbezogene Daten im Vereinigten Königreich verarbeiten? Zuerst die gute Nachricht, es gibt ab 1. Jänner eine weitere Schonfrist. Für vorerst vier Monate ist vereinbart, dass das Vereinigte Königreich nicht als Drittland gilt. Zudem wurde vorgesehen, dass sich diese automatisch um je zwei Monate verlängert. Für uns Datenschützer bedeutet das, dass die Datenverarbeitung bis mindestens 30. April 2021, vielleicht sogar bis 30. Juni 2021 unverändert weiter möglich ist.

Kritisch hierbei ist jedoch, dass beide Seiten der automatischen Verlängerung widersprechen können und somit das Vereinigte Königreich aufgrund der fehlenden langfristigen Lösung doch schnell zum Drittland werden kann. 
Die begrüßenswerteste langfristige Option für die Wirtschaft würde hier wohl ein Angemessenheitsbeschluss sein, wodurch Großbritannien zwar ein Drittland wäre, jedoch als „sicher“ gilt. Die Verhandlungen dazu laufen jedoch weiter. Fraglich ist, ob dies bis zum Ende der Frist zu erreichen ist. Ein weiteres Problem stellt die Ähnlichkeit der Befugnisse der Sicherheitsbehörden in Großbritannien zu jenen in der USA dar. Die Probleme hierbei sind bekannt – wir erinnern uns an Safe Harbor, das unwirksame Privacy Shield und nicht zuletzt die Nebenaussagen im Schrems-II-Urteil.

Doch was passiert, wenn keine Einigung gefunden wird? Mit Ende der Übergangsphase wird Großbritannien jedenfalls als datenschutzrechtliches Drittland gelten. Daher sind die einschlägigen Vorschriften der Union für die Übermittlung personenbezogener Daten in Drittländer zu erfüllen. Datenverarbeitungen im Zusammenhang mit dem Vereinigten Königreich wären dann weiterhin ohne zusätzliche Vorkehrungen der Parteien NICHT möglich.

Nächste Schritte für Unternehmen 

Zusammenfassend steht leider die Ungewissheit im Vordergrund und die weitere Übergangsfrist ist als Aufschub zu bewerten. Um auf eine Übermittlung in ein Drittland vorbereitet zu sein und diese datenschutzrechtlich konform abwickeln zu können, empfiehlt sich für Unternehmen bereits jetzt Überlegungen anzustellen, Ressourcen zu planen und bei Bedarf externe Beratung in Anspruch zu nehmen.

Jedwede Datenübermittlung in das Vereinigte Königreich müsste dann intensiv geprüft und im schlimmsten Fall sogar gestoppt werden; Unternehmen müssten Betroffeneninformationen, Verträge und Vereinbarungen anpassen. Unternehmen, die Datenübermittlungen zwischen Großbritannien und EU nicht vermeiden können, sollten weiterhin alternative Rechtsgrundlagen (z.B. Standardvertragsklauseln) vorbereiten, um ihre Datentransfers gegebenenfalls rasch absichern zu können. Ist dies nicht möglich, bleibt nur die Alternative, Geschäftspartner und Dienstleister innerhalb der EU zu suchen. 

Übermittlung in ein Drittland

Abschließend finden Sie hier die Möglichkeiten, welche die DSGVO bietet, um eine Übermittlung in ein Drittland zu ermöglichen:

  • Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses (Art. 45 DSGVO); ein solcher existiert bislang für das Vereinigte Königreich nicht; der für die Datenverarbeitung Verantwortliche oder Auftragsverarbeiter hat geeignete Garantien vorsehen und sichergestellt, dass die betroffenen Personen durchsetzbare und wirksame Rechtsbehelfe zur Verfügung haben (nähere Einzelheiten in Art. 46 DSGVO)
  • Verbindliche interne Datenschutzvorschriften (Art. 47 DSGVO)
  • Standardvertragsklauseln (Art. 46 DSGVO)
  • Bereits genehmigte Verhaltensregeln zusammen mit verbindlichen und durchsetzbaren Verpflichtungen des Verantwortlichen oder Auftragsverarbeiters im Drittland;
  • Bereits genehmigte Zertifizierungsverfahren zusammen mit verbindlichen und durchsetzbaren Verpflichtungen des Verantwortlichen oder Auftragsverarbeiters im Drittland.
  • Eine Ausnahme nach Art. 49 DSGVO liegt vor. (z. B. auf der Grundlage einer Einwilligung für die Erfüllung eines Vertrages, für die Geltendmachung von Rechtsansprüchen oder aus wichtigen Gründen des öffentlichen Interesses oder zum Schutz lebenswichtiger Interessen der betroffenen Person oder anderer Personen.)