Geschrieben am 18.06.2018 von:
Durch den Austritt von Großbritannien aus der EU (BREXIT) ergeben sich zahlreiche bisher nicht abschließend geklärte Fragen. Unklar ist dabei unter anderem, inwiefern EU-Recht in Großbritannien weiter gültig bleiben wird. Betroffen von dieser Frage ist auch das Datenschutzrecht, das in Europa im Wesentlichen durch die im Mai 2018 unmittelbar wirksam werdende DS-GVO geregelt wird.
Status Quo
Am 23.06.2016 stimmten 51,9% der britischen Wähler für einen Austritt Großbritanniens aus der EU. Nach einem Urteil des britischen Supreme Courts wurde anschließend auch das britische Parlament an der Entscheidung über den Austritt beteiligt, so dass Premierministerin May am 29.03.2017 den nach Art. 50 Abs. 1 EUV notwendigen Antrag auf den Austritt aus der EU stellte.
Im Anschluss begannen die Austrittsverhandlungen, die sich bis heute als schwierig erwiesen. Zwar betonen beide Parteien, sich möglichst früh einigen zu wollen. Ein genaues Datum wird aber nicht genannt. Zu beachten ist auch, das die Parteien unter Zeitdruck stehen, da die europäischen Vorschriften gem. Art. 50 Abs. 3 EUV spätestens 2 Jahre nach Antragsstellung in Großbritannien keine Anwendung mehr finden werden. Um also einen ungeregelten BREXIT zu vermeiden, muss man sich bis zum 30.03.2019 einigen.
Kein angemessenes Schutzniveau?
Ursprünglich war in Großbritannien der Erlass eines Gesetzes geplant, wonach unionsrechtliche Vorschriften weiterhin anwendbar bleiben sollen. So wollte sich die britische Regierung ausreichend Zeit verschaffen, um Stück für Stück an den nötigen Stellen nationale gesetzliche Vorschriften zu erlassen. Von einem solchen Gesetz wäre zunächst auch die ab Mai in der EU wirksam werdende DS-GVO umfasst worden.
Allerdings hat das britische Parlament mittlerweile ein Gesetz verabschiedet, das den Geheimdiensten umfassende Überwachungsmöglichkeiten gibt. Dieses steht nicht im Einklang mit der DS-GVO, was bei der Frage der Zulässigkeit von Datentransfers nach Großbritannien zum Problem werden kann. Denn wie die EU-Kommission mitgeteilt hat, wird Großbritannien spätestens ab dem 30.03.2019 als Drittland gelten. Nach Art. 45 DS-GVO dürfen personenbezogene Daten nur dann in ein solches Drittland übermittelt werden, wenn dort ein angemessenes Datenschutzniveau besteht.
Dieses angemessene Schutzniveau könnte zwar durch einen sogenannten Angemessenheitsbeschluss der EU-Kommission festgestellt werden. Der Erlass ist jedoch fraglich, weil der Europäische Gerichtshof schon in seiner Entscheidung zum Safe-Harbor-Abkommen zwischen der EU und den USA ein angemessenes Schutzniveau wegen zu umfangreicher Befugnisse der US-Geheimdienste verneint hat. Es ist daher nicht zu erwarten, dass die EU-Kommission im Falle von Großbritannien anders entscheiden wird.
Folgen für die Praxis?
Bis zum tatsächlichen Austritt Großbritanniens aus der EU haben diese Unsicherheiten noch keine Auswirkungen. Datentransfers und insbesondere Auftragsdatenverarbeitungen werden bis zu diesem Zeitpunkt also weiterhin möglich sein.
Nach dem BREXIT hängt die Möglichkeit von Datentransfers zunächst ganz entscheidend von einem Angemessenheitsbeschluss der EU-Kommission ab. Sollte dieser ausbleiben, könnte die Datenübermittlung durch geeignete Garantien im Sinne von Art. 46 DS-GVO gerechtfertigt werden. Dies kann nach jetziger Rechtslage unter anderem durch die Verwendung von EU-Standardvertragsklauseln oder individuelle vertragliche Vereinbarungen sowie durch geeignete Zertifizierungen erfolgen.
Werden solche geeigneten Garantien dann jedoch nicht nachgewiesen, drohen nach Art. 83, 84 DS-GVO hohe Bußgelder.