© WEKA Business Solutions GmbH
A-1200 Wien, Dresdner Straße 45
E-Mail: kundenservice@weka.at
Brexit & DSGVO – Bestimmungen zum Datenschutz im Austrittsabkommen
Zum Jahresende 2020 wurde nun doch ein Abkommen zwischen dem Vereinigten Königreich und der EU geschlossen. Erleichterte Gesichter werden wohl nicht nur in vielen Unternehmen zu sehen sein, auch im Datenschutz gibt es freudige Nachrichten.
Übergangsbestimmungen: GB vorerst kein Drittland nach Art 44 DSGVO
Voranzustellen ist, dass das Vereinigte Königreich im vereinbarten Zeitraum nicht als Drittland (nach Art 44 DSGVO) in Bezug auf die Übermittlung personenbezogener Daten gilt. Mit dieser Bestimmung wurde der immensen Rechtsunsicherheit der letzten Wochen ein Ende gesetzt. Unternehmen müssen vorerst keine Vorkehrungen treffen und können verfahren wie bisher.
Der Zeitraum beginnt mit Inkrafttreten des Abkommens. Die Gültigkeit dieses Abkommens endet am Tag einer Angemessenheitsentscheidung der Europäischen Kommission. Demnach besitzt die Kommission eine bedeutende Rolle für die Zukunft. Sie ist nun verpflichtet, unter Berücksichtigung von nationaler sowie europäischer Rechtsprechung, eine Angemessenheitsentscheidung zu treffen. Standhalten muss diese Entscheidung auch einer Prüfung des Europäischen Datenschutzausschusses. Befristet sind diese Übergangsbestimmungen auf zunächst vier Monate, die bei Einvernehmen der Parteien um weitere zwei Monate verlängert werden können.
Voraussetzungen für die Übergangsbestimmungen
Im Brexit-Abkommen wurden aber einige Voraussetzungen an das Fortbestehen der Bestimmungen geknüpft. Das Vereinigte Königreich darf im relevanten Zeitraum seine datenschutzrechtlichen Bestimmungen nur ändern:
- unter Zustimmung der Union
- im Zuge einer Angleichung an das EU-Datenschutzrecht – eine solche Angleichung wird nicht als Änderung im Sinne der Bestimmungen gewertet
Nimmt das Vereinigte Königreich eigenmächtig eine Änderung vor, endet der festgelegte Zeitraum der Bestimmung unverzüglich.
Partnerschaftsrat überwacht Abkommen
Als Verhandlungsgremium wird ein so genannter Partnerschaftsrat eingesetzt. Dieser besteht aus Vertretern der Union und des Vereinigten Königreichs und kann je nach Fragestellung in verschiedenen Zusammensetzungen tagen. Vorsitz führen ein Mitglied der Kommission gemeinsam mit einem Vertreter der Regierung des Vereinigten Königreichs. Der Rat überwacht die Verwirklichung des Abkommens und beaufsichtigt dessen Durchführung und Umsetzung.
Befugnisse des Partnerschaftsrats
Im Abkommen werden einige Befugnisse taxativ aufgezählt, die gemeinsam von den Parteien im Partnerschaftsrat ausgeübt werden:
- Erlassung einer neuen Verordnung im Zusammenhang mit dem UK Data Protection Act 2018
- Ausarbeitung eines neuen Dokuments für Standarddatenschutzklauseln
- Entwurf eines Verhaltenskodex
- Erstellung neuer Zertifizierungsmechanismen
- Ausarbeitung neuer verbindlicher Unternehmensregelungen
- Formulierung neuer Verwaltungsvereinbarungen
Will das Vereinigte Königreich eine Befugnis ausüben oder Bestimmungen ihres Datenschutzrechts ändern, muss das Vereinigte Königreich die Union über ihr Vorhaben informieren. Jede der beiden Partien kann folgend innerhalb von 5 Tagen eine Tagung des Partnerschaftsrates verlangen. Diese Tagung findet innerhalb von 2 Wochen statt. Wird keine Sitzung beantragt, wird dies als Zustimmung im Sinne des Abkommens gewertet.
Weiters treffen das Vereinigte Königreich Informationspflichten. Bei Schaffung neuer Rechtsinstitute, welche die Übermittlung personenbezogener Daten betreffen, muss dies der Union mittgeteilt werden. Diese kann sodann eine Tagung des Rates verlangen, um das neue Institut zu erörtern.
Fazit
Alles in allem gibt es also positive Nachrichten. Auch der Blick in die Zukunft ist nicht ausgesprochen düster. Die künftige Entwicklung ist nun zu großen Teilen abhängig von der Kompromissbereitschaft der Parteien im Partnerschaftsrat sowie von der Arbeit und den Entscheidungen der Europäischen Kommission.