Brexit – haben wir endlich eine Lösung?

Über den Austritt des Vereinigten Königreichs Großbritannien und Nordirland (das Vereinigte Königreich, UK) aus der Europäischen Union, haben wir frühzeitig berichtet und auf die in diesem Zusammenhang zu ergreifenden Maßnahmen hingewiesen (hierzu vgl. unseren Beitrag hier).

Der sogenannte „harte“ Brexit ist zu unserer Erleichterung ausgeblieben. In der sprichwörtlich letzten Sekunde kam glücklicherweise doch noch eine Lösung von der Politik, so dass der Datentransfer in das Vereinigte Königreich zumindest vorerst auch nach dem Stichtag am 31.12.2020 weiterhin ohne Einschränkungen stattfinden kann. Die EU und das Vereinigte Königreich konnten sich am 24.12.2020 auf ein Austrittsabkommen einigen, welches unter anderem auch Fragen des Datenschutzes regelt.

Wurde das Abkommen inzwischen (auch in deutscher Sprache) veröffentlicht?

Das Abkommen kann auf der Webseite der Europäischen Kommission sowohl in der englischen als auch inzwischen in der deutschen Sprache abgerufen werden (direkte Links zur englischsprachigen und zur deutschsprachigen Fassung des Abkommens).

Die für den Datenschutz relevanten Regelungen finden sich in der deutschsprachigen Fassung des Abkommens im Artikel FINPROV.10A unter der Überschrift „Übergangsbestimmung für die Übermittlung personenbezogener Daten an das Vereinigte Königreich“ auf Seite 468 ff. Die entsprechenden Regelungen in der englischsprachigen Variante befinden sich auf Seite 427 ff. unter der Überschrift „Article FINPROV.10A: Interim provision for transmission of personal data to the United Kingdom“.

Die genaue „Hausangabe“ ist hier deshalb besonders wichtig, weil das Abkommen mit seinen 1449 Seiten selbst mit Hilfe des ausführlichen Inhaltsverzeichnisses nicht sehr einfach zu „erkunden“ wäre.

Was sind die Kernregelungen des Abkommens?

Kernregelungen des Abkommens im Hinblick auf den Datenschutz sind die folgenden:

Das Vereinigte Königreich wird datenschutzrechtlich zunächst weiterhin wie ein EU-Land behandelt. Für Unternehmen, die personenbezogene Daten im Vereinigten Königreich verarbeiten bzw. die mit britischen Unternehmen zusammenarbeiten und personenbezogene Daten in das Vereinigte Königreich übermitteln, gibt es damit eine gute Nachricht: Personenbezogene Daten können auch nach dem 01.01.2021 in UK (verarbeitet und dorthin übermittelt werden, ohne dass irgendwelche weiteren besonderen Voraussetzungen zu erfüllen wären.

Allerdings ist das Abkommen leider immer noch nicht perfekt: Bei den datenschutzrechtlichen Regelungen in dem Abkommen handelt es sich nicht um eine endgültige Lösung, sondern lediglich (mal wieder…) um eine vorläufige. Konkret: Es gibt lediglich eine weitere Schonzeit. Die Behandlung von UK wie ein EU-Land ist vorerst lediglich für vier Monate vereinbart. Danach muss die EU und UK eine (dauerhafte) Rechtsgrundlage für die Datenverarbeitung und -übermittlung schaffen. Es ist lediglich vorgesehen, dass diese Frist sich automatisch um zwei weitere Monate verlängert, soweit zum Ablauf der 4 Monate keine Einigung gelingen sollte und keiner der beiden Vertragspartner der Verlängerung widerspricht. Insgesamt hätten wir also einen Aufschub um maximal weitere 6 Monate. Danach gilt das Vereinigte Königreich als ein Drittland. Sofern bis dahin keine dauerhafte Rechtsgrundlage in Form eines Angemessenheitsbeschlusses zustande kommen sollte, wären dann die üblichen Maßnahmen zu ergreifen, wie bei vielen anderen Drittlandübermittlungen auch (z.B. in die USA).

Damit ist nun zunächst also der Datentransfer bis maximal zum 30.06.2021 unter unveränderten Bedingungen möglich.

Bei den 6 Monaten, die wir hier als eine weitere Schonfrist nutzen können, handelt es sich um eine harte Frist. Eine Verlängerung ist im Handelsabkommen nicht vorgesehen. Die EU sowie das Vereinigte Königreich planen aktuell zwar, einen Angemessenheitsbeschluss zu erreichen. Dies ist ebenfalls im Abkommen enthalten. Wenn man jedoch berücksichtigt, wie lange solche Verhandlungen in der Regel dauern, kann es bei der recht kurzen Frist von lediglich 6 Monaten sehr knapp werden (hierzu vgl. insbesondere unseren Beitrag im Zusammenhang mit dem Angemessenheitsbeschluss für Japan).

Damit besteht das Risiko, dass wenn der Angemessenheitsbeschluss nicht fristgerecht zustande kommen sollte, die Drittlandproblematik hinsichtlich der Datenübermittlung in das Vereinigte Königreich zum 01.07.2021 wieder aktuell wird.

Fazit

Als ein kurzes und vorläufiges Fazit können wir nun festhalten, dass die Brexit-Problematik zwar entschärft, jedoch (noch) nicht endgültig gelöst wurde. Wir empfehlen den Verantwortlichen, den 30.06.2021 im Kalender dick mit dem Stichwort „Ende Übergangsfrist Brexit“ zu markieren, um diese wichtige Frist nicht zu verpassen.

Sollte es bis zum 30.06.2021 keine dauerhafte Lösung des Problems geben, können Sie gern auf die unsererseits empfohlenen Maßnahmen zurückgreifen (siehe unsere oben verlinkten Beiträge).

Über die wesentlichen Regelungen des Brexit-Abkommens haben wir übrigens auch in unserem gemeinsam mit der bITs GmbH produzierten Podcast (hier der Link zur Folge) geplaudert. Bei der Gelegenheit: Hören Sie doch mal rein in unseren Podcast – hier geht’s zum Trailer.

Benötigen Sie Unterstützung im Zusammenhang mit der Datenübermittlung an ein Drittland? Rufen Sie uns an, wir helfen Ihnen gerne!