Nach dem Brexit: Übermittlungen personenbezogener Daten nach UK

Zahlreiche Unternehmen auf dem EU-Festland pflegen aufgrund ihrer Handelsbeziehungen oder Unternehmensstruktur einen intensiven Austausch personenbezogener Daten mit dem Vereinigten Königreich.

Nachdem die Tories unter Premierminister Boris Johnson bei den Neuwahlen am 12. Dezember die absolute Mehrheit erreicht haben, fand das zwischen UK und der EU ausgehandelte Austrittabkommen Ende Dezember doch noch die erforderliche Mehrheit. Damit ist ein „No-Deal Brexit“ endgültig vom Tisch. Nach Ablauf der nach derzeitigem Stand Ende 2020 endenden Übergangsfrist müssen Übermittlungen von personenbezogenen Daten nach UK die Anforderungen der Datenschutz-Grundverordnung (DS-GVO) an die Datenübermittlung an Drittländer erfüllen. In der Praxis dürfte es sich insofern regelmäßig anbieten, sogenannte Standardvertragsklauseln der EU-Kommission abzuschließen.

Nach Brexit: UK als Drittland im Sinne der DS-GVO

Das zwischen UK und der EU ausgehandelte Austrittsabkommen wurde am 24. Januar 2020 unterzeichnet. Infolgedessen ist das Vereinigte Königreich am 31. Januar 2020 offiziell aus der EU ausgeschieden und damit aus datenschutzrechtlicher Sicht formell als Drittland (ein Land außerhalb der EU sowie der EWR-Staaten Island, Liechtenstein und Norwegen) zu behandeln.

Die Übermittlung personenbezogener Daten in Drittländer ist nach der DS-GVO allerdings nur zulässig, wenn die in Art. 44 ff. DS-GVO festgelegten Anforderungen erfüllt sind. Dies ist mitunter mit einem nicht unerheblichen Aufwand verbunden. So können etwa bestimmte vertragliche Regelungen mit den Datenempfängern im Drittland vereinbart werden, um den Schutz der personenbezogenen Daten sicherzustellen, nachdem diese den Anwendungsbereich des EU-Datenschutzregimes verlassen haben.

Weiterbestehen jetziger Rahmenbedingungen bis Ende 2020

Das Austrittabkommen bildet die Grundlage für das weitere Verhältnis zwischen UK und der EU. Hervorzuheben ist dessen Regelung eines Übergangszeitraums bis zum 31.12.2020. Datenverarbeitende Unternehmen müssen sich für diese Übergangsperiode nicht auf neue Rahmenbedingungen einstellen.
So findet im Vereinigten Königreich sowohl die DS-GVO als auch der „Data Protection Act 2018“ weiterhin Anwendung und bietet damit die Grundlage dafür, dass personenbezogene Daten aus der EU weiterhin nach UK übermittelt werden dürfen, als wäre diese noch EU-Mitglied.
Angesichts der Corona-Pandemie erscheint eine Verlängerung des Übergangszeitraums wahrscheinlich. Das Austrittsabkommen lässt eine solche Verlängerung einmalig für höchstens zwei Jahre zu. Hierfür müssten sich die EU und UK vor dem 01.07.2020 auf eine Verlängerungsperiode einigen.

Rolle der UK-Aufsichtsbehörde

Einschränkungen bestehen allerdings im Hinblick auf die Datenschutzaufsicht. So erfüllt zwar das Information Commissioner’s Office (ICO), die UK-Datenschutzaufsichtsbehörde, während der Übergangsphase weiterhin in eingeschränktem Umfang die in der DS-GVO vorgesehene Funktion. Insbesondere fungiert das ICO als sogenannte „Federführende Aufsichtsbehörde“ und damit zentraler Ansprechpartner und Koordinator für grenzüberschreitende Verarbeitungen. Demgegenüber ist das ICO nicht länger offizielles Mitglied des Europäischen Datenschutzausschusses und könnte in diesem Gremium der europäischen Datenschutzbehörden lediglich auf Einladung eine beobachtende Rolle ohne Mitbestimmungsrechte einnehmen. Nach dem Ende der Übergangsphase wird eine enge Zusammenarbeit mit dem ICO angestrebt. Die genaue Ausgestaltung dieser ist jedoch noch offen.

Datenübermittlung nach Ablauf der Übergangsphase

Wie es nach Beendigung des Übergangszeitraums weitergeht, steht noch nicht mit letzter Gewissheit fest. Relevante Beschränkungen sind allerdings nicht zu erwarten.
Die an den Verhandlungen beteiligten Parteien waren sich der Bedeutung des ungehinderten Datenaustauschs zwischen dem Vereinigten Königreich und dem EU-Festland offensichtlich bewusst. So findet sich der Datenschutz in der „Politischen Erklärung zu den zukünftigen Beziehungen zwischen EU und UK“ gleich im ersten Abschnitt (Ziffern 8 – 10) und damit unmittelbar folgend auf die Aussagen zu Grundwerten und -rechten. Ausweislich der Ziffer 9 strebt die EU Kommission an, bis zum Ende der Übergangsphase mittels eines Angemessenheitsbeschlusses dem Vereinigten Königreich ein angemessenes Schutzniveau zu bescheinigen (vgl. Art. 45 DS-GVO). Das Vereinigte Königreich hat bereits eine Reihe von erläuternden Dokumenten veröffentlicht, um die EU Kommission bei ihrer Entscheidungsfindung zu unterstützen.
Sollte ein Angemessenheitsbeschluss zustande kommen, könnten Datenübermittlungen nach UK ohne Einschränkungen fortgeführt werden. Zusätzliche Garantien wären dann nicht erforderlich, da mit einem derartigen Beschluss die EU dem Drittland ein Schutzniveau bescheinigt, welches dem in der EU vorzufindenden grundsätzlich gleichwertig ist.

Datenübermittlung nach UK ohne Angemessenheitsbeschluss

Sollte nach Ablauf der Übergangsphase ein Angemessenheitsbeschluss nicht ergangen sein (was z.B. wegen den weitreichenden Überwachungsmöglichkeiten der UK-Geheimdienste nicht unrealistisch scheint), bleiben lediglich die sonstigen in der DS-GVO vorgesehenen Schutzmaßnahmen für die übermittelten personenbezogenen Daten.
Dabei gibt es zum einen Maßnahmen, die ein Genehmigungsverfahren bei der Aufsichtsbehörde durchlaufen müssen. Hierzu zählen beispielsweise individuell vereinbarte Klauseln zwischen dem Verantwortlichen und der datenverarbeitenden Stelle im Drittland oder sogenannte verbindliche konzerninterne Datenschutzvorschriften („Binding Corporate Rules“, Art. 46 Abs. 2 lit. b DS-GVO).

Binding Corporate Rules

Binding Corporate Rules (BCR’s) sind bindende interne Datenschutzvorschriften, die im Einzelfall vorab von der zuständigen Aufsichtsbehörde genehmigt werden müssen. Art. 47 Abs. 2 DS-GVO gibt eine ganze Reihe von Mindestinhalten vor. Da diese Genehmigungen eine gewisse Vorlaufzeit benötigen, eignen sich die Garantiemaßnahmen nicht zur kurzfristigen Reaktion auf ein Ende der Übergangsphase ohne Angemessenheitsbeschluss.
Daneben existieren allerdings auch Garantiemaßnahmen, die keine zusätzliche Genehmigung der zuständigen Aufsichtsbehörde erfordern und damit auch verhältnismäßig kurzfristig implementiert werden könnten. Dazu gehören im Bereich der Privatwirtschaft die sogenannten Standarddatenschutzklauseln (Art. 46 Abs. 2 lit. c DS-GVO), genehmigte Verhaltensregeln (Art. 46 Abs. 2 lit. d DS-GVO) und genehmigte Zertifizierungsmechanismen (Art. 46 Abs. 2 lit. f DS-GVO).

Standarddatenschutzklauseln der Kommission

Die Kommission hat Standarddatenschutzklauseln sowohl für die Übermittlung an Auftragsverarbeiter (Decision 2010/87/EU), als auch für die Übermittlung an einen weiteren Verantwortlichen (Decision 2001/497/EC („Set I“) und Decision 2004/915/EC („Set II“)) zur Verfügung gestellt.

Sollte kein Angemessenheitsbeschluss in der Übergangsphase ergehen, dürften die Standardvertragsklauseln das Mittel der Wahl sein, da bislang weder Verhaltensregeln noch Zertifizierungsmechanismen zur Verfügung stehen.

Ausblick:

Die EU Kommission strebt für die Zeit nach Ablauf der Übergangsfrist den Erlass eines „Angemessenheitsbeschlusses“ an. Die Übergangsfrist endet nach derzeitigem Stand Ende 2020. Angesichts der Corona-Pandemie erscheint eine Verlängerung allerdings nicht unwahrscheinlich. Sollte ein Angemessenheitsbeschluss nicht oder nicht rechtzeitig erlassen werden, gilt das Vereinigte Königreich als „unsicheres“ Drittland. Die Übermittlung personenbezogener Daten nach UK unterläge dann strengeren Voraussetzungen.