Zu Beginn des Jahres hatten wir bereits darüber informiert, dass nach dem Abschluss des Brexit-Abkommens zwischen der EU und Großbritannien noch eine Übergangszeit von 4 bzw. 6 Monaten mit verlängerter Frist bleibt, in der Datenübermittlungen nach Großbritannien ohne weitere Voraussetzungen möglich bleiben.

In der Zwischenzeit wollte die EU-Kommission überprüfen, ob auch nach Austritt von Großbritannien aus der EU ein angemessenes Datenschutzniveau dort vorliegt. Mit einem solchen Angemessenheitsbeschluss, welcher beispielsweise bereits für Länder wie Neuseeland, Japan oder Kanada vorhanden ist, wären Datenübermittlungen weiterhin ohne weitere Voraussetzungen möglich. Die EU-Institutionen haben nun über einen Angemessenheitsbeschluss entschieden.

EU-Parlament lehnt Beschluss ab

Die EU-Kommission kam ihrer Aufgabe nach und hat einen Angemessenheitsbeschluss vorgelegt. Das Europäische Parlament lehnte diesen jedoch ab. Begründet wurde dies mit dem Hinweis darauf, dass die Regierung von Großbritannien, ähnlich wie die USA, weitreichende Zugriffsrechte auf Daten aus Gründen der nationalen Sicherheit innehat, was wiederum die Rechte und Freiheiten von EU-Bürgern einschränkt. Obwohl auch Großbritannien mit dem Data Protection Act 2018 die DSGVO in nationales Recht umgesetzt hat und damit grundsätzlich sehr ähnliche Regeln wie in der EU gelten, wurde kritisiert, dass Vorratsdatenspeicherung und geheimdienstliche Zugriffsrechte, sowie fehlende (richterliche) Kontrolle durch die EU (z. Bsp. durch den EUGH), dafür sorgen, dass hier dennoch kein angemessenes Datenschutzniveau besteht.

Es bleibt nun abzuwarten, ob die Gesetzgeber in Großbritannien aufgrund dieser Entscheidung ggf. ihre Gesetze anpassen und der EU doch noch entgegenkommen.

Was hat die Entscheidung für Konsequenzen?

Wer Dienstleister aus Großbritannien nutzt, dort eine Niederlassung betreibt oder auch Daten dort speichert, kann sich nun nicht mehr darauf verlassen, dass Daten ohne weitere Voraussetzungen dorthin übermittelt werden können. Es muss vielmehr eine Rechtsgrundlage vorhanden, sein aufgrund derer Daten übermittelt werden dürfen.

Allgemein können das Standardvertragsklauseln, Binding Corporate Rules, Einwilligungen der Betroffenen, vertraglich erforderliche Datentransfers oder andere Ausnahmen nach Art. 49 DSGVO sein.

In der Praxis wird der Abschluss von Standardvertragsklauseln das am häufigsten genutzte Mittel der Wahl sein.

Folgende Maßnahmen sollten in der Folge der Entscheidung ergriffen werden:

• Überprüfung, ob Daten nach Großbritannien übermittelt werden
• Abschluss von Standardvertragsklauseln (oder ggf. andere oben genannte Rechtsgrundlage)
• Anpassung von Verarbeitungsverzeichnis, ggf. Datenschutzhinweisen und Datenschutz-Folgenabschätzungen