Aktuelles

Brexit: Übergabefrist bei der Datenübermittlung in das Vereinigte Königreich

Der Austritt des Vereinigten Königreichs aus der EU hat auch für den Datenschutz gravierende Folgen. Denn Datenflüsse personenbezogener Daten in ein Land, welches nicht der EU oder dem EWR angehört, sind nur dann zulässig, wenn besondere Bedingungen der Datenschutz-Grundverordnung erfüllt werden. Welche Regelungen nun im speziellen Fall des Brexits getroffen wurden und was Unternehmen tun sollten, fassen wir in diesem Beitrag zusammen.

Am 24. Dezember 2020 haben sich die Kommission der Europäischen Union und die Regierung des Vereinigten Königreichs auf ein Handels- und Kooperationsabkommen geeinigt, welches sodann am 01. Januar 2021 vorläufig in Kraft trat. Neben anderen Themenpunkten wurden auch wichtige Regelungen bezüglich der Datenübermittlung ins Vereinigte Königreich getroffen:

  • Es besteht ab dem 01. Januar 2021 eine Übergangsfrist von bis zu vier Monaten, in der Datenübermittlungen in das Vereinigte Königreich nicht als Übermittlungen in ein Drittland behandelt werden.
  • Diese Übergangsfrist kann sich um zwei weitere Monate verlängern, sofern weder die EU noch das Vereinigte Königreich der Verlängerung widerspricht.
  • Die Übergangsfrist endet vorzeitig, wenn die EU-Kommission einen Angemessenheitsbeschluss gem. Art. 45 DSGVO erlässt. Sodann wäre das Vereinigte Königreich als ein Drittland mit einem angemessenen Datenschutzniveau zu behandeln.

Wird innerhalb der Übergangsfrist kein Angemessenheitsbeschluss erlassen, gelten Datenübermittlungen in das Vereinigte Königreiche (je nachdem, ob der Fristverlängerung widersprochen wird oder nicht) ab dem 01. Mai 2021 bzw. ab dem 01. Juli 2021 als Drittlandübermittlungen. Als Rechtsgrundlage kämen für diese Datenübermittlungen (sofern keine Ausnahmen gem. Art. 49 DSGVO bestehen) dann nur noch der Abschluss von Standarddatenschutzklauseln oder die Anwendung von verbindlichen internen Datenschutzvorschriften gem. Art. 47 DSGVO in Frage.

Wird innerhalb der Übergangsfrist ein Angemessenheitsbeschluss erlassen, besteht für Unternehmen, die Daten in das Vereinigte Königreich übermitteln zunächst kein Handlungsbedarf. Jedoch sieht der Gesetzgeber vor, dass erlassene Angemessenheitsbeschlüsse mindestens alle vier Jahre noch einmal durch die Kommission überprüft werden. Sind in dieser Zeit Rechtsänderungen in dem Drittland vorgenommen worden, wird geprüft, ob das Datenschutzniveau noch den Anforderungen der DSGVO entspricht. Führen Rechtsänderungen zur Beeinträchtigung des Schutzniveaus personenbezogener Daten, kann dies zur Folge haben, dass der Angemessenheitsbeschluss auch wieder aufgehoben wird.

Was sollten Unternehmen jetzt tun?

Da noch nicht absehbar ist, ob ein Angemessenheitsbeschluss erlassen wird und ob dieser nach vier Jahren noch Bestand hat, ist es für Unternehmen, die personenbezogene Daten in das Vereinigte Königreich übermitteln, empfehlenswert, nun folgendes zu tun:

  • Ermittlung aller Datenflüsse auf die Übermittlung in das Vereinigte Königreich.
  • Prüfung aller Datenübermittlungen in das Vereinigte Königreich auf die Erforderlichkeit.
    • Sofern auf Dienstleister im Vereinigten Königreich verzichtet werden kann, empfiehlt es sich, dies zu unterlassen oder die Dienstleistungen an Dienstleister mit Sitz in der EU oder dem EWR zu verlagern.
    • Sofern nicht auf Datenübertragungen in das Vereinigte Königreich verzichtet werden kann, sollten schnellstmöglich die Standarddatenschutzklauseln abgeschlossen werden.

Update vom 19.02.2021: Die Europäische Kommission hat am 19.02.2021 das Verfahren zur Annahme von zwei Angemessenheitsbeschlüssen zur Übermittlung personenbezogener Daten in das Vereinigte Königreich eingeleitet. Für den Abschluss des Verfahrens ist noch die Einholung einer Stellungnahme des Europäischen Datenschutzausschusses (EDSA) sowie die Zustimmung der Vertreter der Mitgliedstaaten im Rahmen des sogenannten Ausschussverfahrens erforderlich. Die Einholung der Stellungnahme der EDSA wurde bereits veranlasst. Sofern die Stellungnahme eingeholt bzw. die Zustimmungen eingeholt wurde, könnte die Kommission die Angemessenheitsbeschlüsse annehmen.

Wenn Sie mehr zu diesem Thema wissen wollen, wenden Sie sich bitte an unser ds²-Team. Wir freuen uns auf Ihren Anruf!

© 2020ff. by ds² Unternehmensberatung GmbH & Co. KG.

Sabrina Daniel

LLM., fundiertes betriebswirtschaftliches und wirtschaftsrechtliches Wissen sowie Erfahrung in der Umsetzung von Datenschutz in Unternehmensprozessen und berät seit 3 Jahren als Datenschutzbeauftragte und im ds²-Team von Thomas Spaeing. (mehr)

zur Vita

Weitere Referenzen von ds²

Datenschutz für Verbände und Dachorganisationen

Unternehmen verschiedenster Branchen organisieren sich heutzutage immer öfter in entsprechenden Verbänden, welche die Mitglieder mit der notwendigen Beratung und oft auch mit Rahmenvereinbarungen für wesentliche Dienstleistungen unterstützen. Experten der Branche informieren ihre Mitglieder über neuste Entwicklungen, Risiken im Beruf und Möglichkeiten der Verbesserung.

Qualitätsgarantie im Datenschutz

ds² profitiert von langjährigen Erfahrungswerten, umfangreichem Wissen in Theorie und Praxis sowie einer guten Zusammenarbeit mit den relevanten Institutionen der Branche.

Schutz von Kundendaten

Nach Inkrafttreten der Datenschutz-Grundverordnung ist die Sensibilisierung für den Datenschutz gestiegen. So ist mittlerweile vielen Abteilungen, die mit Kundenansprachen arbeiten, bewusst, dass neben dem Gesetz gegen den unlauteren Wettbewerb (UWG) auch der Datenschutz zu berücksichtigen ist. Die verantwortliche Stelle im Unternehmen stellt sich jedoch meist die Frage: "Darf ich das?"

GPS-Ortung und Datenschutz

Immer mehr Speditionen, Taxiunternehmen oder Unternehmen mit eigenem Kundendienst koordinieren ihren Fuhrpark mit Hilfe von „Global Positioning Systemen“ – kurz GPS.

Externer Datenschutzbeauftragter

Die Bestellung eines Datenschutzbeauftragten (DSB) ist notwendig, wenn mehr als neunzehn Personen EDV-gestützt personenbezogene Daten verarbeiten. Darunter ist jede Art von personenbezogenen Daten zu verstehen.

Datensicherheit

Die Abhängigkeit der Unternehmensprozesse von der Informationstechnologie sowie die steigenden Anforderungen an die Informationssicherheit haben dazu geführt, dass dieser Bereich zunehmend Gegenstand von Haftungsansprüchen und daher auch von Risikoprüfungen ist.

Coaching Ihres internen Datenschutzbeauftragten

Wie findet man den richtigen internen Datenschutzbeauftragten (DSB)? Da der interne DSB einen gesetzlichen Kündigungsschutz erfährt, sind Unternehmen gut beraten, bei der Auswahl die richtige Person entsprechend den gesetzlichen Anforderungen zu ermitteln.

mehr Beiträge laden

Kontakt

Schreiben Sie uns eine Mail an info[at]ds-quadrat.de
oder rufen Sie uns an

+49 5421 308950

Kontakt

Schreiben Sie uns eine Mail an info[at]ds-quadrat.de
oder rufen Sie uns an

+49 5421 308950
2021-02-25T14:00:47+01:00
Nach oben