Ihre Kontakte
Mit dem Ablauf der Brexit-Übergangsperiode Ende 2020 und dem gerade noch rechtzeitig abgeschlossenen Abkommen stellt sich die Frage, was der «geregelte» Brexit für den Datenschutz bedeutet. Dank der Regelung im Brexit-Deal verändert sich während einer weiteren Übergangsfrist bis mindestens Ende April 2021 für Datentransfers zwischen der EU und dem UK grundsätzlich nichts, gilt das UK bis dahin datenschutzrechtlich weiterhin nicht als Drittstaat. Aus Schweizer Sicht ist ferner weiterhin von einer Angemessenheit des englischen Datenschutzniveaus auszugehen und die Rechtslage bleibt bis auf Weiteres ebenfalls unverändert. Zu beachten ist jedoch, dass die Pflicht zur Bestellung eines Vertreters im Vereinigten Königreich direkte Auswirkungen auf Schweizer Unternehmen haben kann.
Brexit und die Auswirkungen auf den Datenschutz
Das Vereinigte Königreich ist seit dem 31. Dezember 2020, d.h. nach Ablauf der Übergangsperiode im Austritts-Abkommen, offiziell nicht mehr Teil der EU und gilt damit als Drittstaat. Aus datenschutzrechtlicher Sicht ist der Austritt namentlich deshalb bedeutsam, weil die einschlägigen Erlasse der EU und der Schweiz besondere Vorschriften für die Übermittlung von Personendaten ins Ausland bzw. Drittstaaten vorsehen. Beide Rechtsordnungen erlauben Datenübermittlungen in andere Länder bzw. Drittstaaten ohne angemessenes Datenschutzniveau nur, wenn zusätzliche Massnahmen ergriffen werden, wie z.B. der Abschluss sogenannter Standardvertragsklauseln (vgl. dazu aktuell insb. MLL-News 23.12.2020) oder bestimmte, eng umschriebene Ausnahme-Fälle vorliegen (vgl. dazu z.B. MLL-News vom 21. Juli 2018). Deshalb ist zentral, in welchen Ländern von einem angemessenen Datenschutzniveau ausgegangen wird (vgl. hierzu bereits MLL News vom 23. April 2020).
Während in der Schweiz vom Eidg. Datenschutzbeauftragten (EDÖB) im geltenden Recht eine entsprechende Staatenliste geführt wird (vgl. hierzu sowie zur künftigen Rechtslage unten), wird unter der EU-DSGVO hierüber grundsätzlich durch einen formellen Angemessenheitsbeschluss der EU-Kommission entschieden. Da ein solcher Beschluss bis anhin für das Vereinigte Königreich nicht bestand, blieb lange offen, wie die beiden Seiten damit umgehen. Kurz vor Ablauf der Übergangfrist konnten sich die EU und das Vereinigte Königreich bekanntlich doch noch auf einen geregelten Brexit einigen und schlossen ein Handels- und Kooperationsabkommen ab. Darin wird nun auch festgelegt, inwiefern die Rechtsordnung des Vereinigten Königreichs als angemessen gelten soll.
Datenschutzrecht des Vereinigten Königreichs
In diesem Zusammenhang ist zentral, dass das Vereinigte Königreich bereits beschlossen hatte, die materiellen Vorschriften der DSVGO weiterhin anzuwenden, allerdings nicht mehr als europäische Verordnung, sondern als UK GDPR (vgl. hierzu den European Union (Withdrawal) Act 2018). Daneben gilt auch der Data Protection Act 2018 weiterhin. Diese beiden Regelungen bilden somit (weiterhin) den Kern des Datenschutzrecht des Vereinigten Königreichs, wobei diese nach dem Brexit noch durch Regelungen in den Data Protection Amendments angepasst wurden.
Übergangs-Regelung im Handels- und Kooperationsabkommen zwischen der EU und dem UK
Im Handels- und Kooperationsabkommen zwischen der EU und dem Vereinigten Königreich wurde vereinbart, dass weiterhin das hohe Datenschutzniveau eingehalten werden soll. Allerdings wurde nicht geregelt, ob das Datenschutzniveau des Vereinigten Königreichs gemäss der DSGVO als angemessen einzustufen ist. Mit anderen Worten besteht nach wie vor kein Angemessenheitsbeschluss. Jedoch haben sich die Parteien auf eine Übergangsfrist von vier Monaten geeinigt, welche sich automatisch auf sechs Monate verlängert, sollte keine der Parteien widersprechen. Demnach wird das Vereinigte Königreich durch die Übergangsfrist mindestens bis Ende April beziehungsweise Juni 2021 nicht als Drittstaat behandelt.
Sofern die EU bis dann keinen Angemessenheitsbeschluss fällen sollte, würde das Vereinigte Königreich spätestens ab dem 1. Juli 2021 als Drittstaat behandelt werden. Unter diesen Umständen wären dann Datenübermittlungen an Empfänger im Vereinigten Königreich nur noch unter Einhaltung besonderer Voraussetzungen erlaubt. Unternehmen müssten in diesem Fall zusätzliche Vorkehrungen ergreifen, wie sie bereits für den Fall des „No-Deal-Brexit“ erläutert wurden (vgl. MLL-News vom 25. März 2019).
Entwurf des Angemessenheitsbeschlusses zum UK-Datenschutzrecht
Davon ist jedoch aktuell nicht auszugehen, ist doch die Europäische Kommission kürzlich zum Schluss gelangt, dass im Vereinigten Königreich ein Schutzniveau gewährleistet wird, das dem durch die DSGVO gewährleisteten Schutzniveau im Wesentlichen gleichwertig ist. Ein Angemessenheitsbeschluss liegt daher nun in Entwurfsform vor. Zur Verabschiedung bedarf es sodann einer Stellungnahme des Europäischen Datenschutzausschusses (EDSA) und der Zustimmung eines aus Vertretern der EU-Mitgliedstaaten bestehenden Komitologieausschusses.
Vertreter im Vereinigten Königreich gemäss Art. 27 UK GDRP
Eine weitere wichtige datenschutzrechtliche Folge des Brexits ist für zahlreiche Unternehmen die Pflicht zur Bestellung eines Vertreters im Vereinigten Königreich. Diese Pflicht geht auf Artikel 27 EU-DSGVO zurück, welche nun auch unverändert in das nationale Recht des Vereinigten Königreichs bzw. die UK-DSGVO übernommen wurde. Verantwortliche und Auftragsverarbeiter, welche Waren oder Dienstleitungen an Personen im Vereinigten Königreich anbieten oder aber das Verhalten von Personen im Vereinigten Königreich beobachten, müssen deshalb einen Vertreter im Vereinigten Königreich bestimmen. Dies ist unabhängig davon, ob bereits ein Vertreter in der EU bestimmt wurde. Somit sind unter Umständen bereits heute zwei Vertreter zu bestellen.
Ausgenommen von der Pflicht sind nur die öffentliche Hand oder Fälle, in denen nur gelegentlich und keine besonders schützenswerten Daten verarbeitet werden sowie zu keinem hohen Risiko für die Datenschutzrechte der Betroffenen führen (vgl. zur Bestellung von Vertretener im Vereinigten Königreich: ICO betr. Vertreter). Die Übergangfrist von vier bis sechs Monaten hat keinen Einfluss auf die Regelung bezüglich der Bestellung von Vertretern, bezieht sich diese doch einzig auf die Angemessenheit des englischen Datenschutzrechts.
Bis auf Weiteres keine Folgen für Datentransfers aus der Schweiz in das UK
Wie bereits angesprochen, führt der EDÖB für die Schweiz aktuell eine Staatenliste und hält darin fest, welche Länder über ein angemessenes Datenschutzniveau verfügen. Für Datentransfers in solche Länder, gelten neben den allgemeinen Anforderungen für sämtliche Datenbearbeitungen und Datenbekanntgaben, keine zusätzlichen Anforderungen. In der aktuellsten Fassung der Staatenliste (8. September 2020) ist das Vereinigte Königreich als Land mit angemessenem Datenschutzniveau aufgeführt. Somit ergeben sich aus dem Brexit für Datentransfers aus der Schweiz in das Vereinigte Königreich keine Folgen und sind keine zusätzlichen Massnahmen zu ergreifen.
Es ist indessen zu beachten, dass nach dem Inkrafttreten der Totalrevision des Schweizerischen Datenschutzrechts ebenfalls ein formeller Angemessenheitsbeschluss des Bundesrats erforderlich sein wird (vgl. Art. 16 Abs. 1 nDSG). Die weitere Entwicklung sollte deshalb auch aus diesem Grund im Auge behalten werden.
Weitere Informationen:
- Handels- und Kooperationsabkommen zwischen der EU und dem UK
- Entwurf des Angemessenheitsbeschlusses zum UK-Datenschutzrecht
- MLL News vom 23. April 2020: EDÖB zum Brexit: Datenschutzniveau im Vereinigten Königreich weiterhin angemessen
- MLL-News vom 25. März 2019: EDSA-Informationen zur Datenübermittlung ins Vereinigte Königreich im Falle eines No-Deal-Brexit
- EU-DSGVO
- Pressemitteilung des EDÖB betr. Brexit
- ICO betr. Vertreter