Wenige Tage vor dem Ablauf des im Austrittsabkommens vorgesehenen Übergangszeitraums bis zum 31. Dezember 2020 haben die Europäische Union (EU) und das Vereinigte Königreich die Gefahr eines harten Brexit vorerst abgewendet und am 24. Dezember 2020 einen Entwurf des zukünftigen Handels- und Kooperationsabkommens („Abkommen“) beschlossen. Das Abkommen soll mit Blick auf die knappe Fertigstellung vorläufig bis zum 28. Februar 2021 angewendet werden, sofern der Rat einen entsprechenden Beschluss fasst.
Das Inkrafttreten des Abkommens setzt bei der EU die Zustimmung des Europäischen Parlaments und beim Vereinigten Königreich die des Unterhauses und Oberhauses voraus. Beides steht bislang aus, so dass auch ein Scheitern des Abkommens noch möglich ist. Tritt das Abkommen in Kraft regelt es auf 1.246 Seiten die wesentlichen Aspekte der wirtschaftlichen und institutionellen Zusammenarbeit zwischen den zwei in Zukunft getrennten Märkten. Ergänzt wird der Entwurf durch gemeinsame Erklärungen von EU und Vereinigtem Königreich, die am 26. Dezember 2020 veröffentlicht wurden.
Mit Blick auf datenschutzrechtliche Aspekte enthält das Abkommen nur wenige Regelungen, die zudem nur der Überbrückung dienen. Kernaussage der datenschutzrechtlichen Bestimmungen des Abkommens ist, dass das Vereinigte Königreich übergangsweise nicht als Drittstaat i.S.d. DSGVO anzusehen sein soll, bis entweder
1. die EU-Kommission einen Angemessenheitsbeschluss gemäß Art. 45 DSGVO für das Vereinigte Königreich trifft, oder
2. die Übergangsfrist von vier Monaten, die einmalig um zwei Monate verlängert werden kann, abgelaufen ist.
Hintergrund: Übermittlung personenbezogener Daten in Drittländer
Das durch die DSGVO festgelegte Datenschutzniveau darf nicht durch Datenübermittlungen in sog. Drittländer (Länder außerhalb von EU und EWR) gefährdet werden. Eine Übermittlung personenbezogener Daten ist daher gemäß Art. 44 DSGVO nur zulässig, wenn mindestens eine der Rechtsgrundlagen nach Art. 45 ff. DSGVO einschlägig ist. In Betracht kommen:
- Angemessenheitsbeschluss (s. dazu die aktuelle Liste der EU-Kommission),
- Ausnahmen nach Art. 49 DSGVO (insb. vertragliche Erfüllung und Einwilligung im Einzelfall), oder
- geeignete Garantien wie in Art. 46 DSGVO benannt (insbesondere Standarddatenschutzklauseln/SCC oder verbindliche unternehmensinternen Vorschriften/Binding Corporate Rules).
Datenübermittlungen in das Vereinigte Königreich
Mit dem Austrittsabkommen vom 12. November 2019 wurde der Austritt des Vereinigten Königreichs aus der EU zum 01. Januar 2021 beschlossen. Die hierfür beschlossenen Übergangsregelungen, die auch datenschutzrechtlichen Aspekte durch Fortgeltung der DSGVO erfassen, gelten dabei bis zum 31. Dezember 2020 fort. Auf Basis der Übergangsregelungen wird das Vereinigte Königreich bis zum Jahresende, obwohl nicht mehr Mitglied der EU, datenschutzrechtlich nicht als Drittland behandelt.
Szenario eines „harten Brexit“
Mit Blick auf die Zeit nach dem 31. Dezember 2020 drohte bislang die direkte Einstufung als Drittland ohne Angemessenheitsbeschluss, so dass Datenübermittlungen nur auf Grundlage der oben genannten sonstigen Rechtsgrundlagen zulässig gewesen wären (Art. 46, 49 DSGVO). Diese Gefahr wird vorerst durch die geplante vorläufige Anwendung des Abkommens gebannt. Das tatsächliche Inkrafttreten des Abkommens, über das vom Europäischen Parlament erst 2021 entscheiden wird, ist jedoch noch nicht gesichert.
Datenschutzrechtliche Regelungen im Entwurf des Abkommens
Das Abkommen gliedert sich insgesamt in mehrere Abschnitte (Parts) und Anhänge (Annexes). Ergänzt wird es durch die am 26. Dezember 2020 veröffentlichen gemeinsamen Erklärungen von EU und Vereinigtem Königreich.
Inhaltliche Festlegungen
In „Part Seven: Final Provisions“ des Abkommens werden ab Seite 406 ff. die datenschutzrechtlichen Aspekte knapp in Form einer Übergangsregelung behandelt.
In Article FINPROV.10A, paragraph 1 wird festgelegt, dass Datenübermittlungen in das Vereinigte Königreich für einen bestimmten, festgelegten Zeitraum nicht als Drittlandübermittlungen anzusehen sind (S. 406), sofern das Vereinigte Königreich nicht von seinen auf Basis des Austrittsabkommens vom 12. November 2019 getroffenen nationalen datenschutzrechtlichen Regelungen ohne Zustimmung der EU abweicht (insbesondere also vom Data Protection Act 2018). Gleiches gilt, vorbehaltlich einer entsprechenden Zustimmung, auch für die EWR-Staaten (Art. FINPROV.10A, paragraph 2).
Der festgelegte Zeitraum, ab dem diese Regelungen gelten sollten, beginnt mit Inkrafttreten des Abkommens und endet (je nachdem was früher eintritt),
- an dem Tag, an dem ein Angemessenheitsbeschluss durch die EU-Kommission getroffen wird, oder
- mit Ablauf einer Frist von vier Monaten nach Inkrafttreten des Abkommens, wobei die Frist einvernehmlich um zwei Monate verlängert werden kann, so dass eine Übergangsfrist von sechs Monaten angenommen werden kann.
Vereinbarkeit mit der DSGVO und rechtliche Belastbarkeit
Diese Regelung ist zunächst irritierend, da sie im Widerspruch zu Art. 44 DSGVO steht, wonach das Vereinigte Königreich mit dem Austritt aus der EU als Drittland zu behandeln wäre.
Hier muss ganz kurz zum Völkerrecht ausgeholt werden. Das Abkommen ist ein sog. völkerrechtlicher Vertrag, der im Rang über dem sog. Unionssekundärrecht (u.a. Richtlinien und Verordnungen) steht. Er ist ohne Transformationsakt (anders als im deutschen Recht) ein für die EU und ihre Organe unmittelbar bindender Rechtsakt, der als jüngeres Recht auch die DSGVO brechen kann (sog. „lex posterior“ Grundsatz). Für die beteiligten Organe (Europäische Kommission, Europäisches Parlament und Rat) bedeutet das einigen Abstimmungsaufwand, der im Zweifelsfalle vor dem EuGH ausgetragen werden wird. Insbesondere, falls das Europäische Parlament aus dem Abkommen ein Politikum macht.
Für Verantwortliche – und Aufsichtsbehörden! – würde ein wirksam in Kraft gesetztes Abkommen jedoch ohne Weiteres Wirkung entfalten. Zutreffend teilt die Datenschutzkonferenz daher auch in ihrer Pressemitteilung vom 28. Dezember 2020 mit, dass Datenübermittlungen in das Vereinigte Königreich „vorerst weiterhin unter den bisherigen Voraussetzungen möglich [sind]“.
Nicht ganz klar ist hingegen, wie der Beginn der Übergangsregelung zu berechnen ist. EU und Vereinigtes Königreich legen fest, dass die Regelungen des Abkommens bereits ab dem 01. Januar 2021 vorläufig (also vor Inkrafttreten des Abkommens) Anwendung finden sollen (vgl. Article FINPROV. 11, paragaprah 2, S. 408 f.).
Es ergeben sich zwei Lesarten: Entweder die Übergangsfrist beginnt bereits mit dem 01. Januar 2021; dafür spricht der Umstand, dass das Abkommen über die vorläufige Anwendbarkeit akzessorisch zum Hauptabkommen ist. Oder sie beginnt erst mit dem Inkrafttreten des Abkommens; dafür spricht der Wortlaut des Abkommens. Die vorläufige Anwendung endet jedenfalls spätestens am 28. Februar 2021 automatisch (Article FINPROV. 11, paragraph 2 lit. (a), S. 408 f.).
Für das Ende der effektiven Übergangsfrist kommen daher in Betracht, falls nicht zuvor ein Angemessenheitsbeschluss gefasst wird:
- Der 30. April 2021 (sofortige Anwendung, keine Verlängerung),
- Der 30. Juni 2021 (sofortige Anwendung und Verlängerung – oder – Anwendung nach Inkrafttreten, ohne Verlängerung), oder
- Der 31. August 2021 (Anwendung nach Inkrafttreten, mit Verlängerung).
Auswirkung und Zusammenfassung
Mit Ablauf der Übergangsphase sind zwei Szenarien denkbar:
- Die Übergangsphase endet, weil ein Angemessenheitsbeschluss getroffen wird: Das Vereinigte Königreich wird damit zwar zum Drittland, jedoch müssen für Datenübermittlungen aufgrund des Angemessenheitsbeschlusses keine zusätzlichen Anforderungen erfüllt werden (vgl. Art. 45 DSGVO). Aus den gemeinsamen Erklärungen von EU und Vereinigtem Königreich geht hervor, dass die EU-Kommission einen entsprechen-den Angemessenheitsbeschluss prüft (vgl. S. 25).
- Die Übergangsphase endet durch Zeitablauf und das Vereinigte Königreich wird zum Drittland ohne Angemessenheitsbeschluss. Datenübermittlungen in das Vereinigte Königreich sind nur im Rahmen der Art. 46, 49 DSGVO zulässig. Mit anderen Worten: Das Vereinigte Königreich ist ähnlich zu behandeln wie die USA.
Während der Übergangsphase können Datenübermittlungen in das Vereinigte Königreich wie bisher ohne zusätzliche Rechtgrundlage nach Art. 45 ff. DSGVO vorgenommen werden. Dadurch wird das Vereinigte Königreich zunächst so behandelt, als läge ein Angemessenheitsbeschluss vor.
ToDo für Verantwortliche
Mit Blick auf den offenen Ausgang hinsichtlich eines Angemessenheitsbeschlusses entbindet das Abkommen Verantwortliche und Auftragsverarbeiter nicht davon, spätestens jetzt alle Datenübermittlungen in das Vereinigte Königreich zu identifizieren und entsprechende Vorbereitungen zu treffen (u.a. Definieren der Datenübermittlungen, die zukünftig möglicherweise auf andere Rechtsgrundlagen gestützt werden müssen und ggf. zusätzliche Garantien erfordern).
Wird kein Angemessenheitsbeschluss erlassen ist davon auszugehen, dass einige Verarbeitungstätigkeiten, die bislang als wenig kritisch betrachtet wurden, zu Problemfällen werden. Die Verweigerung eines Angemessenheitsbeschlusses durch die EU wäre unmittelbar mit der Feststellung verbunden, dass das Datenschutzniveau im Vereinigten Königreich nicht demjenigen in der EU bzw. im EWR entspricht. Dann wären aber auch rein vertragliche Instrumente wie Standardvertragsklauseln ohne zusätzliche technische Maßnahmen in der Regel als wirkungslos anzusehen. Die „Schrems II“-Entscheidung des EuGH (unser Beitrag dazu) und die Recommendations 1/2020 des Europäischen Datenschutzausschusses (unser Beitrag dazu) schlagen dann mit voller Wucht durch.
Wer sind Ihre Ansprechpartner?
Wenn Sie von uns im Datenschutz bereits beraten werden wenden Sie sich bitte an die/den Sie betreuende/n Rechtsanwältin/Rechtsanwalt –zu unserem Team hier entlang. Nehmen Sie anderenfalls jederzeit gerne Kontakt zu einer/einem der folgenden Ansprechpartner/innen auf:
- Sascha Kremer, Fachanwalt für IT-Recht, externer Datenschutzbeauftragter (TÜV),
kremer@kremer-recht.de - Daniela Köhnlechner, Rechtsanwältin, Datenschutzbeauftragte (TÜV),
koehnlechner@kremer-recht.de - Kristof Kamm, Rechtsanwalt, Datenschutzbeauftragter (TÜV),
kamm@kremer-recht.de - Nadine Schneider, Rechtsanwältin, Datenschutzbeauftragte (TÜV),
schneider@kremer-recht.de - Michael Matejek, LLM., Wirtschaftsjurist,
matejek@kremer-recht.de
Alle Ansprechpartner/innen erreichen Sie unter 0221/27141874 und persönlich in der Brückenstraße 21, 50667 Köln (Innenstadt).
Wer sind KREMER RECHTSANWÄLTE?
KREMER RECHTSANWÄLTE ist eine auf Digitalisierungsberatung spezialisierte Sozietät und berät ihre Mandanten und Auftraggeber hochspezialisiert an der Schnittstelle zwischen Technik und Recht. Zu unseren Mandanten und Auftraggebern gehören DAX-Konzerne, KMU, Kreditinstitute und Finanzdienstleister jeglicher Größe, kirchliche Einrichtungen und Startups. Die Sozietät berät regelmäßig in auch internationalen Großprojekten, begleitet IT- oder Datenschutzprojekte und stellt erarbeitet passende Standardvertragswerke für ihre Mandanten.
Die Rechtsanwältinnen, Rechtsanwälte, Wirtschaftsjuristinnen und Wirtschaftsjuristen veröffentlichen regelmäßig Fachbeiträge, Muster und Bücher zum Datenschutz und sind in der Aus- und Weiterbildung von Daten-schutzbeauftragten, Personalverantwortlichen, Unternehmensleitungen, Juristinnen und Juristen sowie Referendar/inn/en und Studierenden tätig. KREMER RECHTSANWÄLTE ist von der WirtschaftsWoche 2019 als TOP Kanzlei im Datenschutzrecht ausgezeichnet worden. Außerdem wird die Sozietät im kanzleimonitor.de 2018/2019 und 2020/2021 als von Unternehmensjuristinnen und -juristen empfohlene, führende Kanzlei im IT- und Datenschutzrecht geführt.