Update Brexit: Datenübermittlung in das Vereinigte Königreich

Der Austritt des Vereinigten Königreichs aus der EU hat auch für den Datenschutz gravierende Folgen. Denn Datenflüsse personenbezogener Daten in ein Land, welches nicht der EU oder dem EWR angehört, sind nur dann zulässig, wenn besondere Bedingungen der Datenschutz-Grundverordnung erfüllt werden. Welche Regelungen nun im speziellen Fall des Brexits getroffen wurden und was Unternehmen tun sollten, fassen wir in diesem Beitrag zusammen. 

Am 24. Dezember 2020 haben sich die Kommission der Europäischen Union und die Regierung des Vereinigten Königreichs auf ein Handels- und Kooperationsabkommen geeinigt, welches sodann am 01. Januar 2021 vorläufig in Kraft trat. Neben anderen Themenpunkten wurden auch wichtige Regelungen bezüglich der Datenübermittlung ins Vereinigte Königreich getroffen:

• Es besteht ab dem 01. Januar 2021 eine Übergangsfrist von bis zu vier Monaten, in der Datenübermittlungen in das Vereinigte Königreich nicht als Übermittlungen in ein Drittland behandelt werden.
• Diese Übergangsfrist kann sich um zwei weitere Monate verlängern, sofern weder die EU noch das Vereinigte Königreich der Verlängerung widerspricht.
• Die Übergangsfrist endet vorzeitig, wenn die EU-Kommission einen Angemessenheitsbeschluss gem. Art. 45 DSGVO erlässt. Sodann wäre das Vereinigte Königreich als ein Drittland mit einem angemessenen Datenschutzniveau zu behandeln.

Wird innerhalb der Übergangsfrist kein Angemessenheitsbeschluss erlassen, gelten Datenübermittlungen in das Vereinigte Königreiche (je nachdem, ob der Fristverlängerung widersprochen wird oder nicht) ab dem 01. Mai 2021 bzw. ab dem 01. Juli 2021 als Drittlandübermittlungen. Als Rechtsgrundlage kämen für diese Datenübermittlungen (sofern keine Ausnahmen gem. Art. 49 DSGVO bestehen) dann nur noch der Abschluss von Standarddatenschutzklauseln oder die Anwendung von verbindlichen internen Datenschutzvorschriften gem. Art. 47 DSGVO in Frage.

Wird innerhalb der Übergangsfrist ein Angemessenheitsbeschluss erlassen, besteht für Unternehmen, die Daten in das Vereinigte Königreich übermitteln zunächst kein Handlungsbedarf. Jedoch sieht der Gesetzgeber vor, dass erlassene Angemessenheitsbeschlüsse mindestens alle vier Jahre noch einmal durch die Kommission überprüft werden. Sind in dieser Zeit Rechtsänderungen in dem Drittland vorgenommen worden, wird geprüft, ob das Datenschutzniveau noch den Anforderungen der DSGVO entspricht. Führen Rechtsänderungen zur Beeinträchtigung des Schutzniveaus personenbezogener Daten, kann dies zur Folge haben, dass der Angemessenheitsbeschluss auch wieder aufgehoben wird.

Was sollten Unternehmen jetzt tun?

Da noch nicht absehbar ist, ob ein Angemessenheitsbeschluss erlassen wird und ob dieser nach vier Jahren noch Bestand hat, ist es für Unternehmen, die personenbezogene Daten in das Vereinigte Königreich übermitteln, empfehlenswert, nun folgendes zu tun:

• Ermittlung aller Datenflüsse auf die Übermittlung in das Vereinigte Königreich.
• Prüfung aller Datenübermittlungen in das Vereinigte Königreich auf die Erforderlichkeit.
  • Sofern auf Dienstleister im Vereinigten Königreich verzichtet werden kann, empfiehlt es sich, dies zu unterlassen oder die Dienstleistungen an Dienstleister mit Sitz in der EU oder dem EWR zu verlagern.
  • Sofern nicht auf Datenübertragungen in das Vereinigte Königreich verzichtet werden kann, sollten schnellstmöglich die Standarddatenschutzklauseln abgeschlossen werden.

Update vom 19.02.2021: Die Europäische Kommission hat am 19.02.2021 das Verfahren zur Annahme von zwei Angemessenheitsbeschlüssen zur Übermittlung personenbezogener Daten in das Vereinigte Königreich eingeleitet. Für den Abschluss des Verfahrens ist noch die Einholung einer Stellungnahme des Europäischen Datenschutzausschusses (EDSA) sowie die Zustimmung der Vertreter der Mitgliedstaaten im Rahmen des sogenannten Ausschussverfahrens erforderlich. Die Einholung der Stellungnahme der EDSA wurde bereits veranlasst. Sofern die Stellungnahme eingeholt bzw. die Zustimmungen eingeholt wurde, könnte die Kommission die Angemessenheitsbeschlüsse annehmen.

Update vom 10.05.2021: Die erste Übergangsfrist, in der Datenübermittlungen in das Vereinigte Königreich nicht als Übermittlungen in ein Drittland behandelt werden, ist verstrichen. Da weder die EU noch das Vereinigte Königreich der Verlängerung widersprochen haben, ist der 01. Juli 2021 nun der Stichtag bis zu dem Datum ein Angemessenheitsbeschluss der EU vorgelegt werden muss. Ansonsten ist das Vereinigte Königreich wie ein Drittland bei der Übermittlung personenbezogener Daten zu behandeln.Die EDSA bezog nun Stellung zu dem Entwurf. Diese sagt aus, dass die britischen Datenschutzgesetze weitgehend auf dem EU-Datenschutzrahmen basieren, jedoch noch Handlungsbedarf besteht, und gab Empfehlungen ab. Nun muss letztlich die Zustimmung der Mitgliedstaaten für den Angemessenheitsbeschluss für Großbritannien eingeholt werden, damit die Kommission eine endgültige Entscheidung über den Angemessenheitsbeschluss treffen kann.

Wenn Sie mehr zu diesem Thema wissen wollen, wenden Sie sich bitte an unser ds²-Team. Wir freuen uns auf Ihren Anruf!

© 2020ff. by ds² Unternehmensberatung GmbH & Co. KG.