Was der Brexit-Deal für die DSGVO bedeutet.

 Personenbezogene Daten können während einer (weiteren) Übergangszeit ohne weitere Voraussetzungen nach UK übertragen werden.

Was der Brexit-Deal für die DSGVO bedeutet.

Unternehmen in der EU, die Daten im Vereinigten Königreich verarbeiten oder verarbeiten lassen, können aufatmen. Die Entwurf des zu Weihnachten ausgehandelten Brexit-Deals („Draft EU-UK Trade and Cooperation Agreement“) verlängert die Übergangsfrist, während der Datentransfers und Datenverarbeitungen im Vereinigten Königreich wie Datenverarbeitungen in der EU behandelt werden.

Ende der Übergangszeit zum 31.12.2020 hätte Datentransfers zu „Drittlandstransfers“ gemacht

Am 31.01.2020 trat das Vereinigte Königreich aus der Europäische Union aus. Für eine im „Withdrawal Agreement“ geregelte Übergangszeit von 11 Monaten galt das Vereinigte Königreich für Transfers von personenbezogenen Daten jedoch nicht als „Drittland“. Unternehmen mussten also keine weiteren Anforderungen (gem. Art. 44 ff. DSGVO) erfüllen als Datentransfers innerhalb eines EU-Mitgliedsstaates oder zwischen EU-Mitgliedstaaten. Diese Übergangsregelung wäre am 31.12.2020 ausgelaufen. Zur Vorbereitung verlagerten viele Unternehmen Server aus dem Vereinigten Königreich in einen anderen EU-Mitgliedsstaat oder bereiteten EU-Standardvertragsklauseln vor, die ein gleichmäßiges Datenschutzniveau bei der Datenverarbeitung im Vereinigten Königreich und in der EU sicherstellen sollten. Zusätzliche Fragen warf auf, wie sich die Schrems-II-Entscheidung des Europäischen Gerichtshofs auswirken würde, insbesondere also ob der Abschluss von Standardvertragsklauseln ausreichen würde.

Verlängerung der Übergangszeit

Der über Weihnachten veröffentlichte Entwurf des EU-UK Trade and Cooperation Agreement sieht nun vor, dass das Vereinigte Königreich für weitere bis zu sechs Monate für die Verarbeitung personenbezogener Daten wie ein Mitgliedsstaat behandelt wird. Dies gibt Unternehmen weiteren Aufschub für ihre Brexit-Vorbereitungen: Solange sich an den Datenschutzregelungen im Vereinigten Königreich nichts ändert, können Datentransfers in das Vereinigte Königreich zunächst für weitere 4 Monate so behandelt werden, als handele es sich um Datentransfers innerhalb der EU. Diese Übergangszeit verlängert sich automatisch um weitere 2 Monate, wenn nicht eine der beiden Seiten widerspricht. Eine Frist für diesen Widerspruch ist nicht vorgesehen.

Warten auf eine Angemessenheitsentscheidung

Die Übergangsfrist kann durch Angemessenheitsentscheidungen hinsichtlich der Datenschutzregelungen im Vereinigten Königreich durch die EU-Kommission (nach Artikel 36 Abs. 3 Richtlinie (EU) 2016/680 und nach Artikel 45 Abs. 3 Verordnung (EU) 2016/679) abgelöst werden. Damit ist zunächst einmal klar, dass eine Angemessenheitsbeschluss nicht Teil des Brexit-Deals ist. Eine Angemessenheitsentscheidung wird eine unilaterale Entscheidung der EU-Kommission sein. Die EU-Kommission hatte Anfang 2020 angedeutet, eine solche Entscheidung bis zum Ende der ursprünglichen Übergangsfrist (bis 31.12.2020) treffen zu wollen. Unklar ist, ob der nun vereinbarte Aufschub von weiteren 6 Monaten als Hinweis auf den Zeitplan der EU-Kommission für eine Adequanzentscheidung verstanden werden darf. Jedenfalls wird die EU-Kommission nun auch die Schrems-II-Entscheidung berücksichtigen müssen. Das Vereinigte Königreich hingegen hat bereits entscheiden, dass Datentransfers in die EU wie Inlandstransfers behandelt werden.

Noch haben weder die EU-Mitgliedsstaaten noch das Vereinigte Königreich das in letzter Minute ausgehandelte EU-UK Trade and Cooperation Agreement ratifiziert, sodass ein „No-Deal-Brexit“, in dessen Folge das Vereinigte Königreich ab dem 01.01.2021 ein Drittland im Sinne der DSGVO ist (Art. 44 ff. DSGVO wären zu beachten), prinzipiell möglich ist.