Brexit: EU-Kommission plant Angemessenheitsbeschluss
Die EU-Kommission plant die Durchführung eines Angemessenheitsbeschlusses in Bezug auf das Vereinigte Königreich, um entsprechende Übermittlungen personenbezogener Daten auch nach dem Brexit zu ermöglichen. Die geht aus einem internen Diskussionspapier hervor, das die EU-Kommission veröffentlicht hat. Das Dokument diente als Grundlage einer Sitzung der Artikel 50-Arbeitsgruppe, die die Brexit-Verhandlungen vorbereitet. Insbesondere wird thematisiert, wie das zukünftige Verhältnis zwischen der EU und dem Vereinigten Königreich in datenschutzrechtlicher Hinsicht ausgestaltet sein soll.
Durch die Datenschutz-Grundverordnung (DSGVO) gilt in der gesamten EU ein einheitliches Datenschutzniveau. Nach dem Brexit besteht diese Privilegierung in Bezug auf das Vereinigte Königreich nicht mehr. Das Vereinigte Königreich wird nach dem Brexit als Drittland zu qualifizieren sein. Eine Übermittlung personenbezogener Daten darf nur dann erfolgen, wenn ein mit der Union äquivalentes Datenschutzniveau besteht (Art. 44 DSGVO).
Der Austausch von Daten ist insbesondere im Wirtschaftsverkehr essenziell. Die EU-Kommission strebt daher an, bis zum Ende des Jahres 2020 einen Angemessenheitsbeschluss bezüglich des Datenschutzniveaus des Vereinigten Königreichs zu treffen, um eine Datenübermittlung auch nach dem Brexit zu ermöglichen. Auf Grundlage eines solchen Angemessenheitsbeschlusses dürfte auch weiterhin eine Übermittlung personenbezogener Daten in das Vereinigte Königreich erfolgen (Art. 45 DSGVO).
Im Rahmen der Ermittlung des Datenschutzniveaus überprüft die Kommission insbesondere:
- die Rechtsstaatlichkeit sowie die Achtung konstruktiver Rechte in dem betreffenden Drittland,
- die Existenz sowie die Funktionsweise unabhängiger Aufsichtsbehörden, die für die Einhaltung und Durchsetzung der Datenschutzvorschriften zuständig sind, sowie
- die von dem betreffenden Drittland eingegangenen internationalen Verpflichtungen, die sich aus rechtsverbindlichen Übereinkünften insbesondere in Bezug auf den Schutz personenbezogener Daten ergeben.
Auch das Vereinigte Königreich strebt an, im selben Zeitraum die erforderlichen Schritte zu unternehmen.
Praxistipp: Unternehmen, die eigene Gesellschaften, Niederlassungen oder externe Dienstleister im Vereinigten Königreich haben, sollten diese Datenverarbeitungsprozesse identifizieren. Im Falle eines geordneten Brexits wird es eine Übergangsperiode bis zum 31. Dezember 2020 geben. Falls die EU-Kommission bis zu diesem Termin keine Angemessenheitsentscheidung getroffen hat, müssen Unternehmen selbst ein angemessenes Datenschutzniveau sicherstellen. Das in der Praxis häufigste Mittel stellt der Abschluss von sog. EU-Standarddatenschutzklauseln dar, welche zwischen den beteiligten Parteien die Garantie für ein ausreichendes Datenschutzniveau gewährleisten. Darüber hinaus ist insofern die Anpassung von Verarbeitungsverzeichnissen hinsichtlich des Drittlandtransfers und die Anpassung des Risikos in Rahmen von Datenschutz-Folgenabschätzungen erforderlich.