DSGVO
02.03.2021
DSGVO

EU sucht Ausweg aus der Brexit-Datenschutz-Sackgasse

BrexitBrexitBrexit
Pixelbliss / shutterstock.com
Mit dem Austritt aus der EU hat Großbritannien auch den Wirkungsbereich der DSGVO verlassen. Datenschutzrechtlich gilt das Vereinigte Königreich spätestens ab Sommer 2021 als unsicherer Drittstaat. Die EU-Kommission will das nach Möglichkeit vermeiden.
Zu den unangenehmen Folgen des Brexits, die gern übersehen werden, gehören auch die Auswirkungen auf den Datenschutz. Denn mit dem Austritt Großbritanniens aus der Union verlor auch die EU-Datenschutzgrundverordnung (DSGVO) ihre Gültigkeit im Königreich. Damit ist es seit Januar 2021 strenggenommen illegal, personenbezogene Daten aus der EU nach Großbritannien zu übertragen, dort zu speichern oder verarbeiten zu lassen.

Noch bis Sommer 2021 legal

Das sofortige Eingreifen übereifriger Datenschutzbehörden verhindert einstweilen noch ein Übergangsabkommen, das zeitgleich mit dem Brexit-Vertrag verabschiedet wurde und eine sechsmonatige Schonfrist für grenzüberschreitende Datenströme bis Mitte 2021 vorsieht.
Dass die DSGVO in Großbritannien mit dem Brexit ihre Gültigkeit verlor, liegt an ihrer rechtlichen Ausgestaltung. Die DSGVO ist eine EU-Verordnung, die mit Inkrafttreten in allen Mitgliedsstaaten sofort gültiges Recht wurde.
Zum Vergleich: Die EU-Verbraucherrechterichtlinie dagegen ist eine Richtlinie. Bei ihr erhalten alle Mitgliedsstaaten eine Frist, innerhalb derer sie ihre nationalen Gesetze so anpassen müssen, dass die EU-Vorgaben erfüllt werden. Das bedeutet für Online-Händler, die mit UK-Kunden Geschäfte machen, dass die EU-Verbraucherrechte auch nach dem Brexit in UK weiterhin gelten, denn die sind in den britischen Gesetzbüchern enthalten.

UK wird zum "Drittland"

Bei der DSGVO gilt dies nicht. Sie verlor in Großbritannien mit dem Brexit ihre Gültigkeit, automatisch traten wieder die alten britischen Datenschutzgesetze in Kraft, die zuvor gegolten hatten. Das macht UK aus EU-Sicht zu einem "Drittland" ohne ausreichendes Datenschutzniveau.
Dass dieser Zustand ab August 2021 tatsächlich eintritt, möchten beide Seiten auf jeden Fall vermeiden. Die britische Seite hat bereits reagiert und Datenweitergaben in die EU für grundsätzlich unbedenklich erklärt. Was jetzt auf EU-Seite noch fehlt, ist ein sogenannter "Angemessenheitsbeschluss". Er würde festhalten, dass ein Staat ein Datenschutzniveau hat, das der DSGVO nicht unbedingt entspricht, aber dennoch dein EU-Bürgern einen angemessenen Schutz vor Ausforschung und Missbrauch gibt. Einen solchen Beschluss hat das EU-Parlament zum Beispiel für Japan gefasst.

Zwei Entwürfe liegen vor

Auch in Bezug auf Großbritannien ist die EU-Kommission mit Hochdruck dabei, einen solchen Angemessenheitsbeschluss auf die Bahn zu bringen. Zwei Entwürfe hat sie bereits vorbereitet und den entsprechenden Gremien vorgelegt. Allerdings wirft die Situation in Großbritannien ähnliche Probleme auf wie in den USA, wo eine Datenweitergabe aus der EU derzeit nicht legal möglich ist. So gibt ein Gesetz von 2016 dem britischen Geheimdienst GCHQ weit reichende Befugnisse zur Datenschnüffelei. Dass der GHCQ eng mit der US-amerikanischen NSA kooperiert, macht die Sache nicht besser.

Sorge vor dem EuGH

Ein Angemessenheitsbeschluss des EU-Parlamentes für den UK-Datenschutz könnte deshalb immer noch vom Europäischen Gerichtshof kassiert werden - genau so wie Safe Harbor und Privacy Shield, die beiden Datenschutzabkommen, die die EU bislang mit den USA ausverhandelt haben. Der Internet-Aktivist Max Schrems hatte geklagt, und der EuGH war zu dem Entschluss gekommen, dass das US-Datenschutzniveau nicht ausreicht. Schrems hat bereits angekündigt, auch eine vergleichbare Vereinbarung mit den Briten genauestens unter die Lupe zu nehmen.

mehr zum Thema