Bre­x­it: Ange­mes­sen­heits­ent­schei­dung bleibt der EU über­las­sen; sechs Mona­te Übergangsfrist

Die EU und Gross­bri­tan­ni­en haben sich in letz­ter Minu­te auf eine staats­ver­trag­li­che Rege­lung des Aus­tritts Gross­bri­tan­ni­ens aus der EU geeinigt.

Teil der Eini­gung ist auch die Ein­hal­tung hoher Daten­schutz­stan­dards – nicht aber die Aner­ken­nung der Ange­mes­sen­heit. Ob die EU das eng­li­sche Daten­schutz­ni­veau als ange­mes­sen ein­stuft, ent­schei­det die EU viel­mehr uni­la­te­ral nach den anwend­ba­ren Rege­lun­gen der DSGVO. Aller­dings haben sich die Par­tei­en auf eine vier­mo­na­ti­ge Über­gangs­frist geei­nigt, die sich ohne Wider­spruch einer der Par­tei­en auf sechs Mona­te verlängert:

Arti­cle FINPROV.10A: Inte­rim pro­vi­si­on for trans­mis­si­on of per­so­nal data to the United Kingdom

1. For the dura­ti­on of the spe­ci­fied peri­od, trans­mis­si­on of per­so­nal data from the Uni­on to the United King­dom shall not be con­si­de­red as trans­fer to a third coun­try under Uni­on law, pro­vi­ded that the data pro­tec­tion legis­la­ti­on of the United King­dom on 31 Decem­ber 2020, as it is saved and incor­po­ra­ted into United King­dom law by the Euro­pean Uni­on (With­dra­wal) Act 2018 and as modi­fied by the Data Pro­tec­tion, Pri­va­cy and Elec­tro­nic Com­mu­ni­ca­ti­ons (Amend­ments etc) (EU Exit) Regu­la­ti­ons 201987 (“the app­li­ca­ble data pro­tec­tion regime”), app­lies and pro­vi­ded that the United King­dom does not exer­cise the desi­gna­ted powers without the agree­ment of the Uni­on wit­hin the Part­nership Council.

2. Sub­ject to para­graphs 3 to 11, para­graph 1 shall also app­ly in respect of trans­fers of per­so­nal data from Ice­land, the Princi­pa­li­ty of Liech­ten­stein and the King­dom of Nor­way to the United King­dom during the spe­ci­fied peri­od made under Uni­on law as app­lied in tho­se sta­tes by the Agree­ment on the Euro­pean Eco­no­mic Area done at Por­to on 2 May 1992, for so long as para­graph 1 app­lies to trans­fers of per­so­nal data from the Uni­on to the United King­dom, pro­vi­ded that tho­se sta­tes noti­fy both Par­ties in wri­ting of their express accep­t­ance to app­ly this provision.

3. In this Arti­cle, the “desi­gna­ted powers” means the powers:
[…]

4. The “spe­ci­fied peri­od” begins on the date of ent­ry into for­ce of this Agree­ment and, sub­ject to para­graph 5, ends:
(a) on the date on which ade­quacy deci­si­ons in rela­ti­on to the UK are adop­ted by the Euro­pean Com­mis­si­on under Arti­cle 36(3) of Direc­ti­ve (EU) 2016/680 and under Arti­cle 45(3) of Regu­la­ti­on (EU) 2016/679, or
(b) on the date four mon­ths after the spe­ci­fied peri­od begins, which peri­od shall be exten­ded by two fur­ther mon­ths unless one of the Par­ties objects;
whiche­ver is earlier.

5. […].

Soll­te die EU vor Ablauf von sechs Mona­ten kei­nen Ange­mes­sen­heits­be­schluss fas­sen, wird Gross­bri­tan­ni­en zum Dritt­staat ohne Ange­mes­sen­heits­be­schluss, gleich wie z.B. Indi­en, Chi­na oder die USA. Daten­flüs­se aus dem EWR an Emp­fän­ger in Gross­bri­tan­nen wären damit nicht mehr erlaubt, sofern nicht ange­mes­se­ne Garan­tien ver­ein­bart sind, wie z.B. die Stan­dard­ver­trags­klau­seln, und kei­ne Aus­nah­me des Bekannt­ga­be­ver­bots gilt. Das gilt für kon­zern­in­ter­ne Daten­flüs­se eben­so wie für Daten­flüs­se an exter­ne Emp­fän­ger. Wei­te­re Anga­ben dazu fin­den sich z.B. in den Hin­wei­sen des EDSA für den Fall eines No-Deal-Bre­x­it vom 12. Febru­ar 2019.

Für Unter­neh­men in der Schweiz ist die Situa­ti­on anders. Nach schwei­ze­ri­schem Recht ist nicht eine Ange­mes­sen­heits­ent­schei­dung ent­schei­dend. Es gibt gar kei­ne Ange­mes­sen­heits­ent­schei­dung; mass­ge­bend ist die mate­ri­el­le Fra­ge, ob das aus­län­di­sche Recht ange­mes­se­nen Schutz bie­tet, nicht ein for­mel­ler Ent­scheid. Die Staa­ten­li­ste des EDÖB ist des­halb nicht ver­bind­lich. Mate­ri­ell ist aber wei­ter­hin von der Ange­mes­sen­heit des eng­li­schen Daten­schutz­rechts aus­zu­ge­hen. Das ent­spricht auch der Auf­fas­sung des EDÖB. Daten­flüs­se aus der Schweiz sind daher grund­sätz­lich wei­ter­hin wie bis­her zulässig.

Das revDSG führt dage­gen Ange­mes­sen­heits­be­schlüs­se ins schwei­ze­ri­sche Daten­schutz­recht ein. Nach Art. 16 Abs. 1 revDSG führt der Bun­des­rat eine Liste der Staa­ten, deren Schutz­ni­veau als ange­mes­sen gilt. Fehlt ein bestimm­ter Staat auf die­ser Liste, ist die Bekannt­ga­be in die­sen Staat beschränkt, selbst wenn sein Schutz­ni­veau über jeden Zwei­fel erha­ben sein sollte.

Eben­falls Teil des Abkom­mens sind Rege­lun­gen über den Daten­ver­kehr. Unter ande­ren wol­len bei­de Sei­ten dar­auf ver­zich­ten, die Spei­che­rung oder Bear­bei­tung von Daten in einem bestimm­ten Stand­ort zu ver­lan­gen (Chap­ter 2, Arti­cle DIGIT.6:

1. The Par­ties are com­mit­ted to ensu­ring cross-bor­der data flows to faci­li­ta­te tra­de in the digi­tal eco­no­my. To that end, cross-bor­der data flows shall not be restric­ted bet­ween the Par­ties by a Party:
(a) requi­ring the use of com­pu­ting faci­li­ties or net­work ele­ments in the Party’s ter­ri­to­ry for pro­ces­sing, inclu­ding by impo­sing the use of com­pu­ting faci­li­ties or net­work ele­ments that are cer­ti­fied or appro­ved in the ter­ri­to­ry of a Party;
(b) requi­ring the loca­li­sa­ti­on of data in the Party’s ter­ri­to­ry for sto­rage or processing;
(c) pro­hi­bi­t­ing the sto­rage or pro­ces­sing in the ter­ri­to­ry of the other Par­ty; or
(d) making the cross-bor­der trans­fer of data con­tin­gent upon use of com­pu­ting faci­li­ties or net­work ele­ments in the Par­ties’ ter­ri­to­ry or upon loca­li­sa­ti­on requi­re­ments in the Par­ties’ territory.

Wei­te­re Bestim­mun­gen sol­len den frei­en Fluss von Daten, aber auch von digi­ta­len Dienst­lei­stun­gen sicher­stel­len, z.B. Art. Arti­cle DIGIT.9 No pri­or authorisation;

A Par­ty shall not requi­re pri­or aut­ho­ri­sa­ti­on of the pro­vi­si­on of a ser­vice by elec­tro­nic means sole­ly on the ground that the ser­vice is pro­vi­ded online, and shall not adopt or main­tain any other requi­re­ment having an equi­va­lent effect.
A ser­vice is pro­vi­ded online when it is pro­vi­ded by elec­tro­nic means and without the par­ties being simul­ta­ne­ous­ly present.
2. Para­graph 1 does not app­ly to tele­com­mu­ni­ca­ti­ons ser­vices, broad­ca­sting ser­vices, gamb­ling ser­vices, legal repre­sen­ta­ti­on ser­vices or to the ser­vices of nota­ries or equi­va­lent pro­fes­si­ons to the extent that they invol­ve a direct and spe­ci­fic con­nec­tion with the exer­cise of public authority.

Eben­so Art. Arti­cle DIGIT.10: Con­clu­si­on of con­tracts by elec­tro­nic means

1. Each Par­ty shall ensu­re that con­tracts may bwe con­clu­ded by elec­tro­nic means and that its law neit­her crea­tes obsta­cles for the use of elec­tro­nic con­tracts nor results in con­tracts being depri­ved of legal effect and vali­di­ty sole­ly on the ground that the con­tract has been made by elec­tro­nic means.

Eben­falls Gegen­stand der Eini­gung sind Kon­su­men­ten­schutz- und Antis­pam-Bestim­mun­gen. Bspw. ver­pflich­ten sich die Par­tei­en, elek­tro­ni­sche Direkt­wer­bung nach dem Muster der e‑Pri­va­cy-RL zu beschrän­ken (Arti­cle DIGIT.14 Unso­li­ci­ted direct mar­ke­ting com­mu­ni­ca­ti­ons). Ok