Datenaustausch mit dem Vereinigten Königreich nach dem Brexit (Lejeune, ITRB 2022, 135)

Das Vereinigte Königreich ist bekanntlich zum 31.12.2020 aus der EU ausgetreten. Es ist damit aus Sicht der EU ein sog. Drittland. Deshalb stellt sich die Frage, unter welchen Umständen ein Datenaustausch aus der EU mit dem Vereinigten Königreich jetzt noch möglich ist und welche Anforderungen für einen Datenaustausch vom Vereinigten Königreich mit anderen Drittländern maßgeblich sind, soweit personenbezogene Informationen von EU Bürgern betroffen sind. Der Beitrag erläutert die zugrundeliegenden Rechtsvorschriften.

1. Adäquanzentscheidung der EU-Kommission v. 28.6.2021

2. Datenaustausch des Vereinigten Königreichs mit anderen Drittländern

a) International Data Transfer Agreement

b) International Data Transfer Addendum

3. Zeitlicher Rahmen

a) Vertragsschluss bis 21.9.2022

b) Vertragsschluss zwischen 31.3.2022 und 21.9.2022

c) Vertragsschluss ab 21.9.2022

4. Consultation document about the future of data protection law in the UK


1. Adäquanzentscheidung der EU-Kommission v. 28.6.2021

Aufgrund des Brexits ist die Europäische Datenschutzgrundverordnung (im Folgenden: General Data Protection Regulation – GDPR) nicht mehr für das Vereinigte Königreich anwendbar, das natürlich nach dem Brexit auch nicht mehr der Gerichtsbarkeit des EuGH unterliegt.

Das Vereinigte Königreich hatte aber im Rahmen des Brexits die GDPR mit einigen, aber in allen wesentlichen Vorschriften ohne signifikante Änderungen in das englische Recht übernommen. Daraufhin hatte die EU-Kommission am 28.6.2021 zwei Adäquanzbeschlüsse gem. Art. 45 GDPR getroffen, und zwar einen, der das Datenschutzniveau im Vereinigten Königreich nach dem Brexit unter Geltung der UK GPDR und einen, der die sog. Law Enforcement Directive des Vereinigten Königreichts, also die Richtlinie zum Datenschutz bei der Strafverfolgung, betrifft. Die Adäquanzbeschlüsse sind jeweils gem. Art. 4 auf einen Zeitraum von vier Jahren bis zum 27.6.2025 begrenzt und ermöglichen es der Kommission gem. Art. 3 (4) auch, während der Laufzeit einzuschreiten, wenn sich das Datenschutzrecht im Vereinigten Königreich z.B. durch gesetzliche Eingriffe in einer Weise ändert, dass kein angemessenes Datenschutzniveau mehr sichergestellt werden kann.

Folge dieser Adäquanzbeschlüsse ist zunächst, dass ein Datenaustausch der EU mit dem Vereinigten Königreich nach Art. 45 GDPR ohne weitere Maßnahmen oder Einschränkungen bis zum 27.6.2025 zulässig ist, sofern das Vereinigte Königreich keine Regelungen erlässt, die einem mit der GDPR vergleichbaren Schutzniveau entgegenstehen.

2. Datenaustausch des Vereinigten Königreichs mit anderen Drittländern

Als das Vereinigte Königreich Ende 2020 aus der EU ausgetreten ist, waren in der EU noch die alten Standardvertragsklauseln aus den Jahren 2001, 2004 und 2010 gültig, die unter der Datenschutzrichtlinie 95/46 erlassen wurden. ITRB 2022, 136Die neuen Standardvertragsklauseln, die von der EU am 4.6.2021 erlassen wurden, sind deshalb für das Vereinigte Königreich nicht (mehr) bindend.

Die britische Information Commissioner`s Office (ICO) hat daher im August 2021 eigenständige Vertragsklauseln für den Datentransfer mit Drittländern erlassen: zum einen das International Data Transfer Agreement (IDTA), zum anderen ein International Data Transfer Addendum (Addendum) zu den von der EU herausgegebenen, neuen Standardvertragsklauseln. Hintergrund für die Herausgabe dieser beiden Vertragsklauseln ist natürlich das Bemühen, dem Adäquanzbeschluss der EU gerecht zu werden und für den Datentransfer mit Drittländern Vertragsklauseln zu kreieren, die mit den Standardvertragsklauseln der EU für einen Datentransfer mit Drittländern vergleichbar sind, d.h. ein vergleichbares Schutzniveau im Drittland sicherstellen, wenn (...)