Europäische Kommission: Keine Planung für einen Angemessenheitsbeschluss für das Vereinigte Königreich im Fall eines No-Deal-Szenario

Die Europäische Kommission hat heute detaillierte Informationen zu den laufenden Vorbereitungen und Eventualfallplänen für ein „No Deal“-Szenario im Rahmen der Verhandlungen mit dem Vereinigten Königreich veröffentlicht. Dazu gehört auch eine Mitteilung (pdf), die einige sog. Eventualfallmaßnahmen enthält, die umgesetzt werden könnten, wenn keine Einigung mit dem Vereinigten Königreich erzielt wird.

In dieser Mitteilung wird auch kurz das Datenschutzrecht behandelt. Wie bereits in der Vergangenheit, weist die Kommission für den Fall eines No-Deal-Szenarios darauf hin, dass das Vereinigte Königreich ab dem 30. März 2019 als datenschutzrechtliches Drittland einzuordnen ist. Also etwa wie Indien, Russland, China oder die USA (mit Ausnahme des Bereichs des EU US Privacy Shields) behandelt werden müsste. Für Datenübermittlungen in das Vereinigte Königreich gelten dann die Vorgaben der Art. 44 ff. DSGVO.

In der Vergangenheit wird in der Datenschutzszene immer wieder darüber diskutiert, ob die Kommission nicht bereits an einem Angemessenheitsbeschluss nach Art. 45 DSGVO arbeite, der dann relativ zügig Sicherheit für Datenübermittlung bringen könnte.

Für den Fall des No-Deal-Szenario positioniert sich die Kommission in ihrer Mitteilung hierzu nun sehr deutlich.

In view of the options available under the legislative acts mentioned, the adoption of an adequacy decision is not part of the Commission’s contingency planning.

Die Abfassung eines Angemessenheitsbeschlusses ist also nicht Teil der Strategie der Kommission, sollte es zu einem No-Deal-Szenario kommen. Die Kommission verweist in ihrer Mitteilung auf andere Alternativen der Datenübermittlung in Drittstaaten, wie etwa die Standarddatenschutzklauseln (Art. 46 Abs. 2 lit c DSGVO; frühere EU Standardvertragsklauseln) oder auch die Ausnahmen nach Art. 49 DSGVO.

Für Unternehmen bedeutet dies, dass sie in jedem Fall darüber nachdenken sollten, wie sie eventuell stattfindende Datenflüsse in das Vereinigte Königreich (ob nun etwa von Mitarbeiter- oder auch Kundendaten) rechtlich absichern können.

Europäische Kommission: Vereinigtes Königreich ist ab dem 30.3.2019 ein Drittland – Handlungsbedarf für Unternehmen

Die Europäische Kommission hat in einer Mitteilung (pdf) vom 9.1.2018 bestätigt, wovon die meisten Beobachter ohnehin bereits ausgegangen sind. Ab dem 30.3.2019 ist das Vereinigte Königreich aufgrund seines erklärten Austritts aus der Europäischen Union als „Drittland“ im Sinne der dann geltenden EU Datenschutz-Grundverordnung (DSGVO) zu behandeln. Datenschutzrechtlich betrachtet steht das Vereinigte Königreich dann auf einer Stufe mit Ländern wie USA, China oder auch Russland, für die kein Angemessenheitsbeschluss der Europäischen Kommission zum Schutzniveau für personenbezogene Daten existiert.

Die nun vorliegende schriftliche Klarstellung der Kommission macht deutlich, dass es keine automatische Anerkennung des Datenschutzniveaus im Vereinigten Königreich nach dem Austritt geben wird. Manch einer mag gehofft haben, dass das Schutzniveau des Datenschutzrechts im Vereinigten Königreich quasi automatisch als angemessen angesehen wird, da ja zumindest bis zum Austritt aus der Union auch dort die DSGVO gilt. Einem solchen Automatismus erteilt die Kommission jedoch eine Absage. Gegen die automatische Anerkennung des Schutzniveaus spricht im Übrigen auch der veränderte Prüfungsmaßstab der Kommission, wenn sie die Angemessenheit des Schutzniveaus nach Art. 45 Abs. 2 DSGVO prüft. Denn sie muss dann auch nationale Rechtsvorschriften in Bezug auf öffentliche Sicherheit, Verteidigung, nationale Sicherheit und Strafrecht sowie Zugang der Behörden zu personenbezogenen Daten prüfen (Art. 45 Abs. 2 lit. a) DSGVO). Solange das Vereinigte Königreich aber Mitglied der Europäischen Union ist, ist die Frage der nationalen Sicherheit aber der Kompetenz der Kommission entzogen.

Zu Recht macht die Kommission in ihrer Mitteilung auf die Konsequenzen für Unternehmen aufmerksam, wenn diese personenbezogene Daten auch nach dem Stichtag an Stellen im Vereinigten Königreich übermitteln möchten. Für die Zulässigkeit solcher Übermittlungen müssen bestimmte Voraussetzungen erfüllt werden, die in den Art. 44 ff DSGVO näher beschrieben sind. Mangels eines Angemessenheitsbeschlusses der Kommission (Art. 45 DSGVO) werden für Unternehmen also vor allem die Standarddatenschutzklauseln (Art. 46 Abs. 2 lit. c) DSGVO, jetzige EU Standardvertragsklauseln) eine wichtige Rolle spielen. Diese Verträge sind dann mit Unternehmen im Vereinigten Königreich abzuschließen.

Daneben kommen in Zukunft unter der DSGVO auch weitere Instrumente, wie etwa genehmigte Verhaltensregeln oder genehmigte Zertifizierungsmechanismen als Grundlage für eine Übermittlung in Betracht.

Unternehmen in der Europäischen Union müssen sich also innerhalb des nächsten Jahres darum kümmern, Datenübermittlungen in das Vereinigte Königreich aus rechtssichere Füße zu stellen.