Datentransfer nach dem Brexit: Kommt der Angemessenheitsbeschluss und hält er auch, was er verspricht?

9. März 2021

(c) BBH

Am 31.1.2020 ist Großbritannien aus der Europäischen Union ausgetreten. Die befürchtete Rechtsunsicherheit in Bezug auf den Datentransfer personenbezogener Daten zwischen der Europäischen Union (EU) und Großbritannien bleibt zunächst aus. Unternehmen sollten die Entwicklungen aber aufmerksam beobachten.

Der Status quo bleibt vorerst erhalten

Seit dem Brexit ist Großbritannien nach den Vorgaben der Datenschutz-Grundverordnung (DS-GVO) eigentlich ein „Drittland“. Eine Datenübermittlung dorthin ist deshalb grundsätzlich nur unter zusätzlichen Voraussetzungen möglich (die ein angemessenes Datenschutzniveau im Drittland Großbritannien sicherstellen sollen).

Das Austrittsabkommen zwischen der EU und Großbritannien sah zunächst bis zum Ende der Übergangsperiode am 31.12.2020 vor, dass die Regelungen der DS-GVO weiterhin gelten (wir berichteten) und zusätzliche Maßnahmen vorerst nicht notwendig werden. Um ein Datenchaos nach dem Ablauf der Übergangsperiode zu vermeiden, gibt es eine „Schonzeit“ für Unternehmen, die personenbezogene Daten in Großbritannien verarbeiten oder speichern: Bis einschließlich April 2021 soll Großbritannien nicht als sog. Drittland gelten. Diese Schonfrist verlängert sich – falls die EU oder Großbritannien nicht widersprechen – automatisch um weitere zwei Monate. Damit könnte ein Datentransfer nach Großbritannien gegebenenfalls sogar bis zum 30.6.2021 ohne weitere Absicherungsmaßnahmen möglich sein.

Europäische Kommission legt Entwurf für Angemessenheitsbeschlüsse vor

Spätestens mit Ablauf der Schonfrist gilt Großbritannien als Drittland. Dann ist der Transfer personenbezogener Daten nur zulässig, wenn dort ein angemessenes Datenschutzniveau gewährleistet ist oder der Exporteur von Daten weitere Absicherungsmaßnahmen ergreift. Mit einem Angemessenheitsbeschluss kann die Europäische Kommission ein angemessenes Datenschutzniveau feststellen.

Am 19.2.2021 hat die Europäische Kommission nicht nur einen, sondern gleich zwei Entwürfe für Angemessenheitsbeschlüsse vorgelegt und damit das Verfahren zur endgültigen Klärung des Prozesses der Übermittlung personenbezogener Daten aus der EU nach Großbritannien eingeleitet. Der eine Entwurf bezieht sich auf die Übermittlung personenbezogener Daten im Rahmen der DS-GVO, der andere auf die Datenübermittlung im Rahmen der Richtlinie zum Datenschutz bei der Strafverfolgung (RL 2016/680).

In den letzten Monaten hat die Europäische Kommission das Datenschutzniveau in Großbritannien gründlich unter die Lupe genommen. Das seit dem Austritt von Großbritannien herrschende Datenschutzniveau sei – so die Kommission – mit dem durch die DS-GVO gewährleisteten im Wesentlichen gleichwertig. Doch bevor die Beschlüsse angenommen werden können, muss der Europäische Datenschutzausschuss zunächst eine Stellungnahme abgeben und die Mitgliedstaaten müssen ihre Zustimmung erteilen.

Abwarten und Tee trinken?

Gibt es also keinen Handlungsbedarf für Unternehmen, die personenbezogene Daten nach Großbritannien transferieren? „Jein“: Sofern die Angemessenheitsbeschlüsse zeitlich noch innerhalb der bestehenden Schonfrist angenommen werden, wäre (zunächst) nichts weiter zu veranlassen. Soweit so gut. Dennoch sollten Unternehmen die Entwicklungen in Sachen Brexit und Datenschutz nach wie vor aufmerksam beobachten.

Sowohl die EU als auch Großbritannien können der automatischen Verlängerung der Schonfrist widersprechen. Und auch die Annahme der vorgelegten Angemessenheitsbeschlüsse könnte nur vorübergehende Sicherheit bieten.

Wegen der Überwachungstätigkeit  der britischen Geheimdienste könnte die Angemessenheitsbeschlüsse ein ähnliches Schicksal ereilen wie das EU-US Privacy Shield (wir berichteten), den Angemessenheitsbeschluss für den Datentransfer in die USA: Den hatte der Europäische Gerichtshof (EuGH) gekippt. Max Schrems, der das Verfahren gegen die Zulässigkeit des EU-US Privacy Shields ins Rollen gebracht hatte, kündigte am 19.2.2021 über Twitter an, den Angemessenheitsbeschluss, insbesondere die Überwachungsmöglichkeiten von EU-Daten durch die britische Regierung genau zu prüfen.

Es bleibt abzuwarten wie sich die Dinge entwickeln. Jedenfalls sollten Überlegungen zum (vorsorglichen) Abschluss von Standardvertragsklauseln noch nicht ad acta gelegt werden.

Ansprechpartner*innen: Dr. Jost Eder/Thomas Schmeding/Dr. Maximilian Festl-Wietek

Share
Weiterlesen
Skyline, blauer Hintergrund, Stadtbild

12 Februar

Modernisierungspaket für Planung und Genehmigung von Infrastrukturprojekten beschlossen

Langwierige Genehmigungsprozesse werden seit jeher als ein Hauptgrund für marode Brücken, überlastete Schienenwege und sanierungsbedürftige Wasserstraßen in Deutschland genannt. Nun ist die Bundesregierung tätig geworden und hat am 17.12.2025 das Infrastruktur-Zukunftsgesetz beschlossen. Ziel ist es, Planungs- und Genehmigungsverfahren für Infrastrukturprojekte...

Weiterlesen
Anlagen, Sand

11 Februar

Das KRITIS-Dachgesetz: Neue Pflichten für Betreiber kritischer Anlagen

Am 29.1.2026 hat der Bundestag das KRITIS-Dachgesetz beschlossen. Für die Verabschiedung des Gesetzes fehlt nur noch die Zustimmung des Bundesrats. Damit kommen auf die betroffenen Unternehmen und ihre Geschäftsführer umfangreiche Pflichten zu. Nach dem „All-Gefahren-Ansatz“ regelt das KRITIS-Dachgesetz die physische Sicherheit von...

Weiterlesen