Ohne weitere Regelung könnten Datentransfers in das Vereinigte Königreich massive Strafen nach sich ziehen.
Mit 31. Jänner 2020 trat das Vereinigte Königreich aus der Europäischen Union aus. Das Jahr 2020 diente anschließend als Übergangsphase, um die langfristigen Beziehungen - vor allem auch im Bereich des Datentransfers - durch entsprechende Handels- und Kooperationsabkommen neu zu regeln. Diese Übergangsphase endete am 31. Dezember 2020 - und bis zuletzt war unklar, ob das Vereinigte Königreich und die Europäische Union einen Hard Brexit ohne weiterführendes Abkommen hinnehmen müssen.
Schließlich einigten sich als gegenseitiges Weihnachtsgeschenk beide Seiten am 24. Dezember 2020 unter anderem auf ein Handels- und Kooperationsabkommen. Auch wenn dieses Abkommen seitens der EU einstweilen nur provisorisch gilt, da alle notwendigen Ratifikationen erst in den nächsten Wochen erfolgen werden, liegen nun zumindest Regeln für beide Seiten vor.
Doch wer meint, damit wären nun auch die Fragen des Datentransfers zwischen der EU und dem Vereinigten Königreich für die Zukunft geklärt, der irrt.
Angemessenes Datenschutzniveau?
Datentransfers zwischen den EU-Mitgliedstaaten sind aufgrund der unmittelbaren Geltung der Datenschutzgrundverordnung (DSGVO) jedenfalls zulässig. Datentransfers in Drittstaaten müssen für ihre Zulässigkeit hingegen besondere Anforderungen des fünften Kapitels der DSGVO erfüllen. Seit dem EU-Austritt des Vereinigten Königreichs gilt dieses als Drittland. Während der Übergangsphase war ein Datentransfer aber weiterhin ohne Erfüllung der für einen Drittlandtransfer notwendigen besonderen Anforderungen zulässig.
Mit 1. Jänner 2021 bleibt zunächst alles beim Alten. Denn zum Datentransfer enthält das Handels- und Kooperationsabkommen eine weitere Übergangsbestimmung. Demnach gilt das Vereinigte Königreich auch für die nächsten vier Monaten nicht als Drittland. Diese Frist verlängert sich automatisch um weitere zwei Monate, sofern keine Seite dem widerspricht. Für EU-Unternehmen, die personenbezogene Daten im Vereinigten Königreich speichern oder anderweitig verarbeiten (lassen), ändert sich somit bis 30. April 2021 - und vielleicht sogar bis 30. Juni 2021 - nichts.
Doch was gilt nach Ablauf dieser Frist? Auf diese Frage gibt es bislang noch keine Antwort. Ohne weitere Regelung könnten Datentransfers in das Vereinigte Königreich als unzulässige Datentransfers in ein Drittland jedoch massive Strafen nach sich ziehen. Es besteht somit dringender Handlungsbedarf.
Prinzipiell könnte die Europäische Kommission dem Vereinigten Königreich mittels Angemessenheitsbeschluss ein angemessenes Schutzniveau zusprechen. Dann wäre der Datentransfer in das Vereinigte Königreich weiterhin uneingeschränkt zulässig. Dass es zu einem solchen Angemessenheitsbeschluss kommen wird, ist jedoch mehr als fraglich.
Five-Eyes als potenzieller Stolperstein
Im Sommer des vergangenen Jahres kippte der Europäische Gerichtshof (EuGH) das zwischen den USA und der Europäischen Kommission abgeschlossene Privacy-Shield-Abkommen, da insbesondere aufgrund der nach US-Recht zulässigen Überwachungsprogramme etwaige Grundrechtseingriffe nicht im notwendigen Ausmaß eingeschränkt waren. Zwischen dem Vereinigten Königreich und den USA - sowie mit Australien, Neuseeland und Kanada - besteht jedoch weiterhin das UKUSA-Abkommen, auch bekannt als Five-Eyes-Nachrichtendienstkooperation. Auf dessen Basis finden eine rege Datensammlung und ein laufender Datenaustausch zu Überwachungszwecken statt.
Wenn jedoch die USA infolge ihrer Überwachungsprogramme aus EU-Sicht kein angemessenes Datenschutzniveau bieten, wie könnte für das Vereinigte Königreich, das gerade zum Zweck der Überwachung Daten sammelt und mit den USA teilt, anderes gelten?
Dem könnte man nun entgegnen, dass auch Kanada und Neuseeland Mitglieder der Five-Eyes-Nachrichtendienstkooperation sind, ihnen von der Europäischen Kommission aber dennoch mittels Beschluss ein angemessenes Schutzniveau zuerkannt wurde. Allerdings ist beispielsweise der Angemessenheitsbeschluss mit Kanada inhaltlich eingeschränkt. Außerdem hat das Vereinigte Königreich erst im Sommer 2019 ein weiteres, ebenfalls als UKUSA bezeichnetes Abkommen mit den USA abgeschlossen, das gegenüber dem multilateralen UKUSA-Abkommen einen noch umfassenderen Datenaustausch vorsieht und deren einzige Vertragspartner das Vereinigte Königreich und die USA sind.
Doch selbst wenn die Europäische Kommission zu dem Schluss kommen sollte, dem Vereinigten Königreich dennoch ein angemessenes Datenschutzniveau zu bescheinigen, ist doch zu beachten, dass der Erlass solcher Beschlüsse keine Sache von wenigen Wochen oder Monaten ist. So nahm die Angemessenheitsprüfung Japans rund zwei Jahre in Anspruch, und die Prüfung Südkoreas läuft nun bereits seit rund drei Jahren ohne Ergebnis.
In Ermangelung eines Angemessenheitsbeschlusses zugunsten des Vereinigten Königreichs müssen EU-Unternehmen mit Ende April 2021 - oder Ende Juni 2021 - für Datentransfers in das Vereinigte Königreich andere Garantien zur Gewährleistung eines angemessenen Schutzniveaus heranziehen. Standardvertragsklauseln stellen hier eine Möglichkeit dar, doch auch diese sind seit dem Schrems II Urteil des EuGH nicht mehr ohne Weiteres nutzbar. So muss der Datenexporteur stets im Einzelfall prüfen, ob die Standardvertragsklauseln im jeweiligen Drittstaat angesichts dessen Rechtsordnung tatsächlich einen angemessenen Schutz gewährleisten. Sollte das nicht der Fall sein, müssen zusätzliche Maßnahmen ergriffen werden, um das Schutzniveau zu gewährleisten. Welche Maßnahmen dies sein könnten, ließ der EuGH freilich offen.
Das Fazit: Heimische Unternehmen mit UK-Datentransfers sollten sich am besten schon jetzt im Detail mit diesem komplexen Problemfeld befassen, denn einfache Standardlösungen bieten hier keine ausreichende Rechtssicherheit mehr.
Vielleicht kommt aber auch alles ganz anders. In den jahrelangen Verhandlungen zwischen EU und Vereinigtem Königreich wäre es jedenfalls nicht das erste Mal.
Zum Autor~