Die EU und Grossbritannien haben sich in letzter Minute auf eine staatsvertragliche Regelung des Austritts Grossbritanniens aus der EU geeinigt.
Teil der Einigung ist auch die Einhaltung hoher Datenschutzstandards – nicht aber die Anerkennung der Angemessenheit. Ob die EU das englische Datenschutzniveau als angemessen einstuft, entscheidet die EU vielmehr unilateral nach den anwendbaren Regelungen der DSGVO. Allerdings haben sich die Parteien auf eine viermonatige Übergangsfrist geeinigt, die sich ohne Widerspruch einer der Parteien auf sechs Monate verlängert:
Article FINPROV.10A: Interim provision for transmission of personal data to the United Kingdom
1. For the duration of the specified period, transmission of personal data from the Union to the United Kingdom shall not be considered as transfer to a third country under Union law, provided that the data protection legislation of the United Kingdom on 31 December 2020, as it is saved and incorporated into United Kingdom law by the European Union (Withdrawal) Act 2018 and as modified by the Data Protection, Privacy and Electronic Communications (Amendments etc) (EU Exit) Regulations 201987 (“the applicable data protection regime”), applies and provided that the United Kingdom does not exercise the designated powers without the agreement of the Union within the Partnership Council.
2. Subject to paragraphs 3 to 11, paragraph 1 shall also apply in respect of transfers of personal data from Iceland, the Principality of Liechtenstein and the Kingdom of Norway to the United Kingdom during the specified period made under Union law as applied in those states by the Agreement on the European Economic Area done at Porto on 2 May 1992, for so long as paragraph 1 applies to transfers of personal data from the Union to the United Kingdom, provided that those states notify both Parties in writing of their express acceptance to apply this provision.
3. In this Article, the “designated powers” means the powers:
[…]4. The “specified period” begins on the date of entry into force of this Agreement and, subject to paragraph 5, ends:
(a) on the date on which adequacy decisions in relation to the UK are adopted by the European Commission under Article 36(3) of Directive (EU) 2016/680 and under Article 45(3) of Regulation (EU) 2016/679, or
(b) on the date four months after the specified period begins, which period shall be extended by two further months unless one of the Parties objects;
whichever is earlier.5. […].
Sollte die EU vor Ablauf von sechs Monaten keinen Angemessenheitsbeschluss fassen, wird Grossbritannien zum Drittstaat ohne Angemessenheitsbeschluss, gleich wie z.B. Indien, China oder die USA. Datenflüsse aus dem EWR an Empfänger in Grossbritannen wären damit nicht mehr erlaubt, sofern nicht angemessene Garantien vereinbart sind, wie z.B. die Standardvertragsklauseln, und keine Ausnahme des Bekanntgabeverbots gilt. Das gilt für konzerninterne Datenflüsse ebenso wie für Datenflüsse an externe Empfänger. Weitere Angaben dazu finden sich z.B. in den Hinweisen des EDSA für den Fall eines No-Deal-Brexit vom 12. Februar 2019.
Für Unternehmen in der Schweiz ist die Situation anders. Nach schweizerischem Recht ist nicht eine Angemessenheitsentscheidung entscheidend. Es gibt gar keine Angemessenheitsentscheidung; massgebend ist die materielle Frage, ob das ausländische Recht angemessenen Schutz bietet, nicht ein formeller Entscheid. Die Staatenliste des EDÖB ist deshalb nicht verbindlich. Materiell ist aber weiterhin von der Angemessenheit des englischen Datenschutzrechts auszugehen. Das entspricht auch der Auffassung des EDÖB. Datenflüsse aus der Schweiz sind daher grundsätzlich weiterhin wie bisher zulässig.
Das revDSG führt dagegen Angemessenheitsbeschlüsse ins schweizerische Datenschutzrecht ein. Nach Art. 16 Abs. 1 revDSG führt der Bundesrat eine Liste der Staaten, deren Schutzniveau als angemessen gilt. Fehlt ein bestimmter Staat auf dieser Liste, ist die Bekanntgabe in diesen Staat beschränkt, selbst wenn sein Schutzniveau über jeden Zweifel erhaben sein sollte.
Ebenfalls Teil des Abkommens sind Regelungen über den Datenverkehr. Unter anderen wollen beide Seiten darauf verzichten, die Speicherung oder Bearbeitung von Daten in einem bestimmten Standort zu verlangen (Chapter 2, Article DIGIT.6:
1. The Parties are committed to ensuring cross-border data flows to facilitate trade in the digital economy. To that end, cross-border data flows shall not be restricted between the Parties by a Party:
(a) requiring the use of computing facilities or network elements in the Party’s territory for processing, including by imposing the use of computing facilities or network elements that are certified or approved in the territory of a Party;
(b) requiring the localisation of data in the Party’s territory for storage or processing;
(c) prohibiting the storage or processing in the territory of the other Party; or
(d) making the cross-border transfer of data contingent upon use of computing facilities or network elements in the Parties’ territory or upon localisation requirements in the Parties’ territory.
Weitere Bestimmungen sollen den freien Fluss von Daten, aber auch von digitalen Dienstleistungen sicherstellen, z.B. Art. Article DIGIT.9 No prior authorisation;
A Party shall not require prior authorisation of the provision of a service by electronic means solely on the ground that the service is provided online, and shall not adopt or maintain any other requirement having an equivalent effect.
A service is provided online when it is provided by electronic means and without the parties being simultaneously present.
2. Paragraph 1 does not apply to telecommunications services, broadcasting services, gambling services, legal representation services or to the services of notaries or equivalent professions to the extent that they involve a direct and specific connection with the exercise of public authority.
Ebenso Art. Article DIGIT.10: Conclusion of contracts by electronic means
1. Each Party shall ensure that contracts may bwe concluded by electronic means and that its law neither creates obstacles for the use of electronic contracts nor results in contracts being deprived of legal effect and validity solely on the ground that the contract has been made by electronic means.
Ebenfalls Gegenstand der Einigung sind Konsumentenschutz- und Antispam-Bestimmungen. Bspw. verpflichten sich die Parteien, elektronische Direktwerbung nach dem Muster der e‑Privacy-RL zu beschränken (Article DIGIT.14 Unsolicited direct marketing communications). Ok