Das Vereinigte Königreich gehört seit gut einem Jahr nicht mehr zur Europäischen Union – am 31. Dezember 2020 endete nun auch die knapp ein Jahr währende Übergangsphase, während der die bisherigen vertraglichen Regelungen weiter angewandt wurden. Seit dem Neujahrstag gilt eine vorläufige Grundsatzvereinbarung über ein langfristiges Handels- und Kooperationsabkommen, die auf europäischer Seite aber noch ratifiziert werden muss (dies wird bis Ende Februar erwartet) – der befürchtete „No-Deal-Brexit“ konnte also gerade noch abgewendet werden.
Der Status Quo
Ein Scheitern dieser Grundsatzvereinbarung hätte unter anderem bedeutet, dass Großbritannien im Sinne der DSGVO als Drittland zu behandeln wäre. Da kein Beschluss der EU-Kommission vorliegt, welcher dem Vereinigten Königreich ein angemessenes Schutzniveau hinsichtlich der Datenverarbeitung bescheinigt, blieben als Grundlage für den Datentransfer dann praktisch nur die Standarddatenschutzklauseln – man hätte also genau den Status, der nach dem Wegfall des EU-US-Privacy-Shield-Abkommens den Datenaustausch mit den USA so erschwert. Große Rechtsunsicherheiten und fortgesetzte Datenschutzverstöße wären die Folge gewesen.
Aufgeschoben ist nicht aufgehoben
Erfreulicherweise wurde der Datenschutz in der Grundsatzvereinbarung nicht komplett außen vor gelassen und zumindest ein Passus aufgenommen, der den Verhandlungspartnern ein wenig Zeit verschafft, eine langfristig tragfähige Regelung zu finden. Konkret gilt eine weitere viermonatige Übergangsfrist, die auf maximal sechs Monate verlängert werden kann. Angestrebt wird ein Angemessenheitsbeschluss nach Art. 45 DSGVO, welcher es Verantwortlichen in der EU sehr erleichtert, weiterhin Daten ins Vereinigte Königreich übertragen – und das betrifft immerhin 60 % aller Firmen.
Einen Zugang zum Schengen-Informationssystem (SIS), in dem die Sicherheitsbehörden automatisiert Personen- und Sachfahndungen durchführen können, sollen die Briten übrigens nicht bekommen, wohl aber zu den im Prümer Vertrag bestimmten Daten zur Strafverfolgung und -verhinderung (DNA-Analysedaten, Fingerabdrücke und Fahrzeughalterdaten) und zu den Passenger Name Records (PNR) von Flugreisenden.
Was also tun?
Der Zeithorizont von vier Monaten für eine dauerhafte Einigung in der Datenschutzfrage erscheint nicht unrealistisch, da zum einen die Gespräche zwischen der EU-Kommission und den britischen Unterhändlern schon seit März intensiv geführt werden und zum anderen das Vereinigte Königreich – anders als die USA – bis dato das anvisierte Sicherheitsniveau ja abbilden konnte.
Verlassen sollte man sich allerdings nicht darauf. So hat etwa der britische Premierminister Boris Johnson wiederholt betont, auch beim Datenschutz eine von der EU „losgelöste und unabhängige“ Linie verfolgen zu wollen. Wie bei vielen seiner Äußerungen muss sich erst zeigen, welcher Bedeutungsinhalt sich dahinter verbirgt.
Auf jeden Fall ist jetzt eine gute Gelegenheit, einen prüfenden Blick ins Verfahrensverzeichnis Ihres Unternehmens zu werfen und zu bestimmen, an welchen Stellen Daten mit britischen Unternehmen ausgetauscht werden.