Brüssel hat zunächst grünes Licht dafür gegeben, dass personenbezogene Daten auch in der Post-Brexit-Ära weiterhin zwischen dem Vereinigten Königreich und der EU fließen dürfen.
Die Europäische Kommission hat am Freitag einen Entscheidungsentwurf veröffentlicht, in dem sie zu dem Schluss kommt, dass das Datenschutzsystem des Vereinigten Königreichs mit der DSGVO, dem Vorzeige-Datenschutzgesetz der EU, vereinbar ist.
Die DSGVO, die für Allgemeine Datenschutzverordnung steht, ist zu einem der bekanntesten Teile der EU-Gesetzgebung geworden.
Brüssel ist besonders daran interessiert, seine Umsetzung sowohl innerhalb als auch außerhalb des Blocks zu fördern und zu verteidigen.
Das Gesetz, das auch in Island, Liechtenstein und Norwegen gilt, hat zahlreiche Datenschutzgesetze auf der ganzen Welt inspiriert.
Artikel 45 der DSGVO räumt der Europäischen Kommission die Befugnis ein, zu beurteilen, ob Nicht-EU-Länder ein Datenschutzniveau gewährleisten, das „im Wesentlichen gleichwertig“ ist mit dem, was die DSGVO EU-Bürgern bietet
Wenn die Europäische Kommission den Schutz für „angemessen“ hält, können personenbezogene Daten zwischen der EU und diesem Drittland übermittelt werden, ohne dass zusätzliche Bedingungen gelten.
Das empfiehlt Brüssel im Falle des Vereinigten Königreichs.
Die Entscheidung der Europäischen Kommission ist noch nicht rechtskräftig: Sie benötigt nun eine Stellungnahme des Europäischen Datenschutzausschusses (EDPB) und grünes Licht von einem Gremium aus nationalen Vertretern.
In der Zwischenzeit läuft der Datenfluss zwischen den beiden weiterhin über eine Übergangsregelung ab, die in dem im letzten Jahr unterzeichneten Freihandelsabkommen zwischen der EU und dem Vereinigten Königreich enthalten ist. Diese Regelung läuft am 30. Juni aus.
„Die Gewährleistung [des] freien und sicheren Flusses personenbezogener Daten ist für Unternehmen und Bürger auf beiden Seiten des Ärmelkanals von entscheidender Bedeutung“, sagte Věra Jourová, Vizepräsidentin der Europäischen Kommission. „Großbritannien hat die EU verlassen, aber nicht die europäische Datenschutzfamilie.“
Eine Geschichte von zwei GDPRs
Nach dem Brexit ist das Vereinigte Königreich nicht mehr an EU-Recht gebunden. Bevor das Land den Block verließ, wählte die britische Regierung die europäischen Gesetze aus, die sie bewahren wollte – und diejenigen, die sie abschaffen wollte.
Die DSGVO wurde im innerstaatlichen Recht des Vereinigten Königreichs beibehalten B. durch Umsetzung, was jetzt als „UK GDPR“ bezeichnet wird. Die Bestimmungen sind praktisch gleich, aber nach dem Brexit hat Westminster die Befugnis, sie zu überprüfen und zu ändern.
Angesichts dieser Möglichkeit führt der Entscheidungsentwurf der Europäischen Kommission Mechanismen ein, um zu überwachen und zu bewerten, ob das britische System dem der EU gleichwertig bleibt.
„Eine solche Überwachung ist in diesem Fall besonders wichtig, da das Vereinigte Königreich ein neues Datenschutzregime verwalten, anwenden und durchsetzen wird, das nicht mehr dem Recht der Europäischen Union unterliegt und sich möglicherweise weiterentwickeln wird.“ der Text lautet.
Die erste Bewertung erfolgt vier Jahre nach Inkrafttreten des Beschlusses.
Wenn die Kommission der Ansicht ist, dass sich der Datenschutz des Vereinigten Königreichs im Vergleich zur EU verschlechtert hat oder davon abweicht, könnte sie den Datenverkehr zwischen der EU und dem Vereinigten Königreich zusätzlichen Bedingungen unterwerfen oder den Umfang der Übermittlungen einschränken.
In einem extremeren Szenario könnte Brüssel die Gleichwertigkeitsentscheidung insgesamt aussetzen oder aufheben, obwohl dies angesichts der Ähnlichkeiten zwischen beiden DSGVO und der breiten Unterstützung des Datenschutzes auf beiden Seiten des Ärmelkanals höchst unwahrscheinlich erscheint.