Datentransfers nach dem Brexit: Angemessenheitsbeschluss als Lösung?

Köln, 04.05.2021

Nachdem der Brexit jahrelang die Schlagzeilen beherrscht hat, ist es nach der Einigung über den Handelsvertrag zwischen EU und Vereinigtem Königreich (im Folgenden: UK) kurz vor dem Jahreswechsel 2020/21 merklich ruhiger geworden: „Ende gut, alles gut“ kann man angesichts der Entscheidung in sprichwörtlich letzter Sekunde allerdings nicht sagen. In vielen Bereichen, die das künftige Verhältnis zwischen der EU und dem UK betreffen, herrscht weiterhin erhebliche Rechtsunsicherheit. Der grenzüberschreitende Verkehr personenbezogener Daten ist einer dieser Bereiche. Erfreulicherweise hat sich die EU-Kommission dazu entschieden, diesen Zustand zu verbessern. Sie hat kürzlich mit dem Entwurf eines sog. „Angemessenheitsbeschlusses“ die Voraussetzungen geschaffen, um künftig unkomplizierte Datenübermittlungen an Empfänger im UK zu ermöglichen. Schon jetzt zeichnet sich allerdings ab: Die Lösung der EU-Kommission dürfte über kurz oder lang die Gerichte beschäftigen – und damit ihr Ziel, endlich Rechtssicherheit zu schaffen, verfehlen.

I. UK als Drittland

Mit dem Brexit wollte sich das UK von der EU lösen. Das hat das UK geschafft und ist damit aus Sicht der EU zu einem „Drittland“ geworden. Unter der Datenschutzgrundverordnung (DSGVO) führt das zu problematischen Folgen, wie sie schon aus der Diskussion über den Datentransfer in die USA bekannt sind (vgl. Legal Update vom 18.11.2020). EU-Unternehmen, die personenbezogene Daten an Empfänger in Drittstaaten übermitteln wollen, unterliegen neben den auch für innereuropäische Datentransfers geltenden Rechtmäßigkeitsanforderungen zusätzlichen Restriktionen gemäß Art. 44 ff. DSGVO. Vereinfacht gesagt: Jeder Datentransfer benötigt nicht nur einen Erlaubnisgrund gemäß Art. 6 Abs. 1 DSGVO, sondern daneben eine zusätzliche Legitimation, damit die Daten die EU verlassen dürfen. Diese zweite Prüfungsebene war irrelevant, solange das UK Mitglied der EU war. Seit Anfang 2021 ist das im Verhältnis zum UK anders.

II. Übergangsphase verlängert

Vielen Unternehmen dürfte dies noch gar nicht aufgefallen sein. Denn im Wissen um die Bedeutung eines ungehinderten Datenaustauschs haben sich EU und UK in ihrem Handelsvertrag auf eine Übergangsphase geeinigt. Faktisch wurde das UK damit datenschutzrechtlich weiter als EU-Mitglied behandelt. Diese Übergangsphase war ursprünglich bis zum 30. April 2021 beschränkt. Kurz vor Ablauf dieser Frist hat allerdings das EU-Parlament das Handelsabkommen ratifiziert. Damit konnte sich zugleich die datenschutzrechtliche Übergangsphase um zwei weitere Monate verlängern. Erst mit dem 1. Juli 2021 wird das UK also zu einem „echten“ Drittland, so dass Datentransfers erhöhten Anforderungen unterliegen würden.

III. Angemessenheitsbeschluss zur Vereinfachung

Die Erfüllung dieser erhöhten gesetzlichen Anforderungen wäre für die Privatwirtschaft mit erheblichen Mühen und auch Kosten verbunden. Dementsprechend fordert die Praxis seit Bekanntwerden des Brexit von der Politik, dass der Datenaustausch trotz Brexit weitestgehend unbeeinträchtigt bleibt.

Diese Forderungen scheinen bei der EU-Kommission Gehör gefunden zu haben. Am 19. Februar 2021 hat sie einen Beschlussentwurf vorgelegt, wonach dem UK ein angemessenes Datenschutzniveau bescheinigt wird. Dieser sog. „Angemessenheitsbeschluss“ ist eine gesetzliche Option für eine legale und zugleich unkomplizierte Datenübermittlung in ein Drittland. Er hat zur Folge, dass Datenexporteure von der ansonsten regelmäßig durchzuführenden Prüfung der Rechtmäßigkeit einzelner Datentransfers in ein Drittland befreit werden. Faktisch wäre die datenschutzrechtliche Situation wieder so wie sie war, als das UK noch Teil der EU war. Sofern die Mitgliedsstaaten keine Bedenken gegen diesen Entwurf anmelden, könnten datenexportierende Unternehmen mit Beziehungen ins UK also „aufatmen“: Ab dem 1. Juli 2021 sollte der Angemessenheitsbeschluss die „Brücke“ bilden, um personenbezogene Daten weiterhin ohne großen rechtlichen Prüfaufwand zu übermitteln.

IV. Zukunftstauglichkeit ist fraglich

Fraglich ist allerdings schon jetzt, wie lange diese „Brücke“ halten wird. Der Europäische Datenschutzausschuss (EDSA), in dem die Vertreter aller nationalen Datenschutzaufsichtsbehörden versammelt sind, hat in seiner Stellungnahme zum Entwurf der Kommission nur vordergründig seine Zustimmung zum Ausdruck gebracht. „Zwischen den Zeilen“ klang deutliche Skepsis an, ob das Datenschutzniveau wirklich als angemessen im Verhältnis zum EU-Standard eingestuft werden kann. Kritische Stimmen gab es auch bereits im EU-Parlament.

Ihre Argumente ziehen die Kritiker im Kern aus der Rechtsprechung des EuGH zum für nichtig erklärten „Privacy-Shield“ mit den USA. Auch im UK sehen sie eine Tendenz zu einer extensiven elektronischen Massenüberwachung, gegen die kein ausreichender Rechtsschutz zugunsten der EU-Bürger bestehe und die auch nicht umfassend kontrolliert werde. Zudem könne es zu einer unkontrollierten Weiterleitung der personenbezogenen Daten von EU-Bürgern in ein anderes Drittland komme, sofern das UK künftig bilaterale Verträge mit niedrigeren Schutzvorkehrungen abschließe. Gerade die vom UK gesuchte Nähe zu den USA scheint Kritikern ein „Dorn im Auge“ zu sein, da so im Ergebnis große Mengen personenbezogener Daten an Empfänger in Amerika fließen könnten, ohne die strengen Vorgaben des EuGH für einen „Direkttransfer“ zu erfüllen.

An der Verabschiedung des „Angemessenheitsbeschlusses“ wird diese Kritik wohl nichts ändern. Dennoch sind Zweifel angebracht, ob der Beschluss seine vorgesehene „Lebensdauer“ von vier Jahren (bevor er evaluiert und ggf. verlängert wird) erreicht. Denn seit In-Kraft-Treten der DSGVO können nicht nur betroffene Personen die Rechtmäßigkeit eines Datentransfers gerichtlich prüfen lassen. Vielmehr kann auch eine Datenschutzaufsichtsbehörde gem. § 21 BDSG bei Zweifeln an der Rechtmäßigkeit des Angemessenheitsbeschlusses diesen gerichtlich prüfen lassen, sofern sie in einem von ihr geführten Verfahren ansonsten keine Entscheidung treffen kann. Dafür ist ein „kurzes Verfahren“ vorgesehen, das beim Bundesverwaltungsgericht beginnt und bei dortigen Zweifeln über die Gültigkeit eine Vorlagepflicht zum EuGH vorsieht. In Anbetracht der Skepsis in der Stellungnahme des EDSA und unter Berücksichtigung der strengen Maßstäbe, welche der EuGH mit Blick auf den Datentransfer in die USA gesetzt hat, käme es nicht überraschend, wenn die Luxemburger Richter sich bald zum Angemessenheitsbeschluss äußern müssen. 

V. Fazit 

Datentransfers in das UK werden somit auf lange Sicht eine „Zitterpartie“ bleiben. Solange der Angemessenheitsbeschluss wirksam ist, können personenbezogene Daten ohne großen Prüfaufwand transferiert werden. Parallelen zum „Privacy Shield“ lassen jedoch befürchten, dass dem Beschluss ein ähnliches Schicksal drohen könnte. Folge wäre, dass – wie aktuell bzgl. der USA – in praktisch jedem Einzelfall die Voraussetzungen für eine rechtskonforme Übermittlung aufwändig geprüft und dokumentiert werden müssten.

GÖRG-Newsletter

Wir informieren Sie über aktuelle rechtliche Entwicklungen aus den für Sie relevanten Bereichen.

Bestellen Sie jetzt unseren Newsletter.