DIE AUSWIRKUNGEN DES BREXIT AUF DIE VERARBEITUNG UND DEN FLUSS PERSONENBEZOGENER DATEN ZWISCHEN THEMEN UND MÖGLICHEN LÖSUNGEN

Autor Dr. Lisa Ilaria Maiorca

Am 24. Dezember 2020 wurde schließlich ein Grundsatzabkommen über Handel und Zusammenarbeit (Handels- und Kooperationsabkommen – das Abkommen) zwischen der Europäischen Union und dem Vereinigten Königreich erzielt.

In der Tat haben die Parteien fast vier Jahre nach dem schicksalhaften Referendum, in dem die britischen Bürger ihren Willen zum Ausdruck brachten, nicht mehr Teil der Europäischen Union zu sein, und ein Jahr nach dem Inkrafttreten des Austrittsabkommens des Vereinigten Königreichs aus der Europäischen Union eine Vereinbarung getroffen, die in der Lage ist, einen Raum der Kooperation und Zusammenarbeit zu schaffen, nicht nur wirtschaftlich, sondern auch sozial. 

Das Ziel, das sich die Europäische Union gesetzt hat, war immer, Vereinbarungen zu treffen, die einen geordneten und schrittweisen Austritt des Vereinigten Königreichs ermöglichen, die die Rechte der Bürger und Unternehmen schützen, aber auch sehr sensible Themen wie Irland regeln können. So ist es nicht verwunderlich, dass das Handels- und Kooperationsabkommen nach langen Verhandlungen und Gesprächen zustande gekommen ist.

Um sicherzustellen, dass der Austritt des Vereinigten Königreichs schrittweise erfolgt, haben die Parteien im Austrittsabkommen eine Übergangsfrist bis zum 31. Dezember 2020 vorgesehen, in der – obwohl das Vereinigte Königreich zu einem Drittland geworden ist – innerhalb des Vereinigten Königreichs der größte Teil des Regelungsapparats der Europäischen Union weiter gilt und die Parteien sich verpflichten, eine Vereinbarung zur Regelung von Aspekten der Zusammenarbeit und des Handels zu finden.

Während das Austrittsabkommen die Modalitäten des Austritts des Vereinigten Königreichs aus der Europäischen Union festlegte und Aspekte wie die Rechte der im Vereinigten Königreich lebenden Menschen, der dort ansässigen Unternehmen und die Aspekte im Zusammenhang mit der Erfüllung der finanziellen Verpflichtungen Großbritanniens regelte, zielen die Parteien mit dem Kooperationsabkommen stattdessen auf die Schaffung eines ganz bestimmten wirtschaftlichen und sozialen Raums.

Das erzielte Abkommen stützt sich auf drei Säulen, die geeignet sind, langfristig eine Form der Partnerschaft in den Bereichen Freihandel, Sicherheit der Bürger und Regierungsführung mit Leben zu erfüllen. 

Unter den verschiedenen zu klärenden Fragen und unter den verschiedenen zu regelnden Aspekten gibt es auch das heikle Thema der Behandlung und Übermittlung von personenbezogenen Daten und deren Regulierung nach dem Brexit. Viele Menschen befürchteten, dass es nach dem formalen Austritt Großbritanniens aus der Europäischen Union nicht mehr möglich sein oder sehr kompliziert und riskant werden würde, personenbezogene Daten in die und aus der Europäischen Union zu übertragen. Tatsächlich gibt es viele in Großbritannien ansässige Unternehmen, die täglich personenbezogene Daten verarbeiten und in andere europäische Länder übertragen und umgekehrt. 

Diese Befürchtung ist vorerst gebannt, denn das Abkommen sieht die Verpflichtung der Europäischen Union und des Vereinigten Königreichs vor, den grenzüberschreitenden Datenfluss zu gewährleisten – um insbesondere den Handel in Bezug auf den elektronischen Handel nicht übermäßig zu belasten – und für eine Übergangszeit von bis zu sechs Monaten ein hohes Datenschutzniveau sicherzustellen. Die Übergangsfrist gibt nicht nur den Unternehmen Zeit, sich an die neue Gesetzgebung anzupassen, sondern auch der Kommission Zeit, eine sogenannte Angemessenheitsentscheidung vorzubereiten. Sollte diese Erklärung nach Ablauf dieser Frist nicht erstellt sein, würden die in der Verordnung 679/2016 (GDPR) in den Artikeln 44 ff. enthaltenen Regelungen zur Datenübermittlung in Drittstaaten gelten. 

Tatsächlich gibt es nicht wenige Unternehmen, die sowohl in der Europäischen Union als auch in Großbritannien eine Niederlassung haben und zwischen diesen beiden Ländern personenbezogene Daten verarbeiten und transferieren; diese haben sechs Monate Zeit, um die Anforderungen zu erfüllen und entsprechende Tools vorzubereiten. Ein besonderes Problem ergibt sich nicht für Daten, die aus dem Vereinigten Königreich in die Europäische Union kommen, hier ist nämlich immer die Einhaltung der GDPR vorgeschrieben. Die Probleme entstehen im umgekehrten Fall, nämlich bei der Übermittlung von Daten aus der Union in das Vereinigte Königreich.

Um die Unternehmen in dieser nicht gerade einfachen Phase zu begleiten, haben die europäischen und britischen Institutionen Werkzeuge und zusätzliches Informationsmaterial zur Verfügung gestellt.

Um ein wenig mehr in die Materie einzusteigen, gibt es auf der Website der Europäischen Kommission neben zusammenfassenden Hinweisen für jeden vom Brexit am stärksten betroffenen Sektor (darunter auch derjenige zu personenbezogenen Daten und deren Behandlung/Übermittlung) ein Flowchart zum Thema, das für die Unternehmen vor allem in der Anfangsphase nützlich ist, um die Aktivitäten abzubilden, die am meisten dem Risiko der Nichteinhaltung und der Sicherheit der Übermittlung personenbezogener Daten ausgesetzt sind.

Flowchart: data transfers in the context of Brexit: PowerPoint Presentation (europa.eu)

Hinweisen:https://ec.europa.eu/info/relations-united-kingdom/overview/consequences-public-administrations-businesses-and-citizens-eu_de

Auf der Website des Information Commission Officer (ICO) – der für die Durchsetzung des britischen Datenschutzgesetzes (Data Protection Act, DPA) zuständigen Stelle – steht ein kleiner Leitfaden zur Verfügung, der aus fünf Schritten besteht, die jeweils der Tätigkeit und/oder dem Verfahren entsprechen, das die Unternehmen vorbereiten und befolgen sollten, um am Ende der Übergangszeit mit der neuen Disziplin konform zu sein.

Law enforcement processing: Five steps to take: law-enforcement-processing-5-steps-202001.pdf (ico.org.uk)

Auf der Website des ICO stehen außerdem interaktive Tools zur Verfügung, die Unternehmen konkrete Hilfestellung bieten: ein Fragebogen zur Überprüfung des Konformitätsniveaus, Entwürfe und herunterladbare Vorlagen, die für die Erstellung von Schutzklauseln (SCCs) nützlich sind. Diese SCCs oder Standardvertragsklauseln als besondere Vertragstypen ermöglichen es den Vertragspartnern – die insbesondere von Unternehmen mit Sitz außerhalb der Europäischen Union genutzt werden – alle Aspekte und Bedingungen bezüglich der Übermittlung und Verarbeitung von Daten zu regeln und zu regulieren, um das von der Gesetzgebung geforderte Maß an Compliance zu erreichen.

Darüber hinaus bietet das ICO diversifizierte Informationen und Tools sowohl für multinationale Unternehmen oder große Konzerne als auch für KMU.

Nachfolgend finden Sie Links zu den vom ICO bereitgestellten Tools und Instrumenten:

– Data Protection after the end of the transition period | ICO

– End of transition – interactive tool for small businesses | ICO

– Data protection after the end of the Brexit transition period for small businesses and organisations | ICO

– Keep data flowing from the EEA to the UK – interactive tool | ICO

DISCLAIMER

Diese Newsletter dient nur zur allgemeinen Information, stellt kein Rechtsgutachten dar und kann keinesfalls eine spezifische Rechtsberatung ersetzen.