Die Auswirkungen des Brexit auf die DSGVO aus Sicht europäischer Unternehmer
Nachdem am 01.01.2021 Großbritannien die EU verlassen hat, sind deutsche Unternehmer verunsichert, inwiefern sich ihre Beziehung mit der UK datenschutzrechtlich auswirkt. Es besteht kein Anlass zur Beunruhigung, denn so viel hat sich nicht geändert. Fest steht: Trotz des Brexits gelten immer noch die gleichen datenschutzrechtlichen Regeln für Großbritannien wie vor dem Brexit. Die Grundsätze, Rechte und Pflichten der DSGVO und der Richtlinie zum Datenschutz bei der Strafverfolgung wurden in dessen Rechtssystem übernommen.
Momentan keine tiefgreifenden Folgen des Brexits für den europäischen Datenschutz
Am 28. Juni nahm die Europäische Kommission Angemessenheitsbeschlüsse zum Vereinigten Königreich an. Einen im Rahmen der Datenschutzgrundverordnung (DSGVO) (https://ec.europa.eu/info/sites/default/files/decision_on_the_adequate_protection_of_personal_data_by_the_united_kingdom_-_general_data_protection_regulation_de.pdf) und einen im Rahmen der Richtlinie zum Datenschutz bei der Strafverfolgung (https://ec.europa.eu/info/sites/default/files/decision_on_the_adequate_protection_of_personal_data_by_the_united_kingdom_law_enforcement_directive_de.pdf) .
Was beinhalten diese Beschlüsse?
Laut “Art. 45 Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses” heißt es :
„Eine Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation darf vorgenommen werden, wenn die Kommission beschlossen hat, dass das betreffende Drittland, ein Gebiet oder ein oder mehrere spezifische Sektoren in diesem Drittland oder die betreffende internationale Organisation ein angemessenes Schutzniveau bietet. Eine solche Datenübermittlung bedarf keiner besonderen Genehmigung.“ (Paal/Pauly/Pauly, 3. Aufl. 2021, DS-GVO Art. 45).
Seit dem 01.07.2021 wird das Vereinigte Königreich eben als ein solches „sicheres Drittland“, wie in Art. 45 normiert, bezeichnet. Dort gilt ein Schutzniveau, das den Anforderungen des EU-Datenschutzniveau entspreche. Art. 45 „Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses“ ist somit anwendbar auf Großbritannien. Das heißt: Eine Übermittlung personenbezogener Daten an das Vereinigte Königreich darf vorgenommen werden. Das wurde jetzt durch die am 28. Juni erlassenen Angemessenheitsbeschlüsse klar gemacht. Zudem unterliegt Großbritannien völkerrechtlichen Verpflichtungen: „der Rechtsprechung des Europäischen Gerichtshofs für Menschenrechte, der Europäischen Menschenrechtskonvention und dem Übereinkommen des Europarats zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten“ (Personenbezogene Daten können ungehindert aus der EU in das Vereinigte Königreich fließen | Deutschland (europa.eu)).
Wie lange gelten die Beschlüsse?
Die Dauer der Angemessenheitsbeschlüsse werden durch eine Verfallsklausel beschränkt. Man geht davon aus, dass sich innerhalb der nächsten vier Jahre nichts diesbezüglich ändern wird. Der Datenfluss in die UK ist somit voraussichtlich für die nächsten vier Jahre gesichert. Auch für die Zeit danach könnten die Beschlüsse weiterhin bestehen, sollten sie erneuert werden. Dafür müsste das Vereinigte Königreich weiterhin ein angemessenes Datenschutzniveau sicherstellen. Während dieser vier Jahre kann die Kommission jederzeit eingreifen und die Rechtslage ändern, falls das Vereinigte Königreich das Datenschutzniveau nicht wie vereinbart gewährleistet. Ganz darauf verlassen sollte man sich also nicht. Es kann immer sein, dass der EuGH solche Beschlüsse kippt. (Personenbezogene Daten können ungehindert aus der EU in das Vereinigte Königreich fließen | Deutschland (europa.eu))
