Symbolbild Brexit Flaggen

Brexit & Datenschutz: Was ändert sich durch den EU-Austritt?

Der EU-Austritt Großbritanniens wirft viele Fragen auf. Vor allem das Thema Brexit und Datenschutz sollte dabei genauer betrachtet werden, denn es wirft überraschende Tatsachen auf.

Großbritannien hat die EU nun verlassen. Aus europäischer Sicht stellen sich nun viele Fragen: Worauf müssen sich Unternehmen einstellen? Wird eine Datenübermittlung in das Vereinigte Königreich weiterhin möglich sein? Wie sieht es beim Thema Datenschutz und Brexit aus?
 

Was hat der Brexit mit Datenschutz und DSGVO zu tun? Die aktuellen Entwicklungen im Zusammenhang mit dem Brexit

Ende letzten Jahres war es soweit: der Brexit wurde offiziell vollzogen. Seither gelten für britische Verantwortliche und Auftragsverarbeiter:innen bei der Verarbeitung von personenbezogenen Daten nun der Data Protection Act 2018 (DPA 2018) sowie die UK-GPDR, welche einen Großteil der Regelungen der europäischen Datenschutzgrundverordnung (DSGVO) übernommen hat.

Aus europäischer Sicht stellt sich nun die Frage: worauf müssen sich Unternehmen einstellen? Wird eine Datenübermittlung in das Vereinigte Königreich weiterhin möglich sein?

Die Antwort lautet: Ja, zumindest vorerst. Pünktlich zu den Feiertagen einigte man sich in Brüssel am 24.12.2020 auf das Handels- und Kooperationsabkommen, welches insbesondere Regelungen zum Datentransfer zwischen der Europäischen Union und dem Vereinigten Königreich vorsieht. Letztlich konnte ein aus datenschutzrechtlicher Sicht „harter“ Brexit verschoben werden.

Die gute Nachricht ist, dass die EU-Kommission nun Zeit hat, einen Angemessenheitsbeschluss zu prüfen. Die Hoffnung auf reibungslose Datenübermittlungen europäischer Unternehmen in das Vereinigte Königreich bleibt damit weiterhin bestehen.


Übergangs Brexit-Datenschutzregelung: Ein sicheres Drittland auf Zeit – das Handels- und Kooperationsabkommen

Dürfen personenbezogene Daten also weiter nach UK transferiert werden? Das Handels- und Kooperationsabkommen zwischen der Europäischen Union und dem Vereinigten Königreich sieht vor, dass der Transfer personenbezogener Daten zwischen europäischen und britischen Organisationen nicht als Übermittlung in ein Drittland betrachtet werden. Aufgrund dieser Überbrückungszeit („Bridge“) sind die Bestimmungen des Kapitel 5 der DSGVO noch nicht zu beachten. Das Abkommen steht unter der Bedingung, dass die derzeitigen Datenschutzregelungen des Vereinigten Königreichs unverändert in Kraft bleiben. Die Bridge gilt nun zunächst für vier Monate und könnte einmalig um zwei Monate verlängert werden. Die Europäische Kommission kann also spätestens bis zum 30.06.2021 erneut einen Angemessenheitsbeschluss gem. Art 45 DSGVO prüfen.


Brexit & DSGVO: Facts zum Datentransfer und Angemessenheitsbeschluss

Bereits jetzt steht fest: Datenübermittlungen aus dem Vereinigten Königreich in den Europäischen Wirtschaftsraum (EWR) sind zulässig. Nach Angaben der britischen Aufsichtsbehörde Information Commissioner’s Office (ICO) möchte der Ex-EU-Mitgliedstaat den hohen Standard der DSGVO zum Schutz personenbezogener Daten beibehalten. Daher wurden in der UK-GDPR nahezu alle Regelungen der DSGVO vom Parlament übernommen. Sollte man sich in Brüssel nun darüber einigen, dass das Vereinigte Königreich doch noch als sicheres Drittland eingestuft wird, können personenbezogene Daten sicher und ohne Einhaltung weiterer Maßnahmen zwischen der Europäischen Union und den britischen Inseln übermittelt werden.

Doch noch ist nichts entschieden: wenn kein Angemessenheitsbeschluss für die britischen Inseln gefasst wird, gelten die strengen Vorkehrungen der DSGVO für die Übermittlung personenbezogener Daten in Drittländern. Will ein europäisches Unternehmen dennoch Daten in Drittländer ohne Angemessenheitsbeschluss übermitteln, werden angemessene Garantien gefordert. Diese können darin bestehen, dass auf verbindliche interne Datenschutzvorschriften, Standarddatenschutzklauseln oder von einer Aufsichtsbehörde genehmigte Vertragsklauseln zurückgegriffen wird. In Einzelfällen kann eine Datenübermittlung basierend auf der Ausnahmeregelung in Artikel 49 GDPR möglich sein. Der europäische Datenschutzausschuss (EDSA) empfiehlt jedoch nur bedingt die Anwendung der strengen und nur für Einzelfälle geschaffene Norm.

Damit dann ein angemessenes Datenschutzniveau in den Vereinigten Staaten erreicht werden kann, muss unter Umständen eine gesonderte Risikobewertung stattfinden und zusätzliche Maßnahmen getroffen werden. Daher empfiehlt der ICO britischen Unternehmen bereits zum 31.04.2021 Schutzvorkehrungen zu treffen für den Fall, dass kein Angemessenheitsbeschluss erlassen wird.

Ausblick: Datentransfer und Datenschutz mit dem Vereinigten Königreich

Britische Unternehmen, die Daten von Kund:innen aus der europäischen Union verarbeiten, müssen sowohl der UK GDPR als auch dem DPA 2018  und der DSGVO entsprechen. Zudem empfiehlt der EDSA, gem. Art. 27 DSGVO eine:n europäische:n Vertreter:in zu benennen. Der / die Vertreter:in kann von Aufsichtsbehörden und betroffenen Personen angesprochen werden, um die Einhaltung der DSGVO durchzusetzen.

Außerdem empfiehlt der ICO britischen Unternehmen, eine Bestandsaufnahme durchzuführen, damit Daten aus dem Ausland identifiziert werden können, die vor dem Ende der Übergangsfrist erfasst wurden (sogenannte „Altdaten"). Daten, die vor dem 01. Januar 2021 verarbeitet werden, unterliegen der DSGVO in der Fassung vom 31. Dezember 2020 (bekannt als die „eingefrorene DSGVO"). Organisationen sollten daher klären, wann personenbezogene Daten erhoben wurden und wo die betroffene Person am 31. Dezember 2020 lebte, um sicherzustellen, dass ihre Verarbeitung mit der entsprechenden Gesetzgebung übereinstimmt.

Europäische Unternehmen, die mit britischen Verantwortlichen und Verarbeiter:innen zusammenarbeiten, müssen Schutzvorkehrungen treffen für den Fall, das kein Angemessenheitsbeschluss gefasst wird. Noch können personenbezogene Daten weiterhin in das vereinigte Königreich übermittelt werden, aber es empfiehlt sich, gemeinsam an Sicherheitsvorkehrungen zu arbeiten, um sicherzustellen, dass die Daten weiterhin in das Vereinigte Königreich fließen können. Dies gilt sowohl für Auftragsverarbeiter:innen als auch für den / die für die Verarbeitung Verantwortliche*n.

Neben der Auswahl geeigneter Schutzmechanismen sollte weiterhin in der Datenschutzerklärung auf einen Datentransfer in ein Drittland gesondert hingewiesen werden. Auch das Verarbeitungsverzeichnis sollte entsprechend angepasst werden.

Damit bleibt also zunächst einmal alles beim Alten – eine überraschende Tatsache. Wir blicken gespannt auf das kommende halbe Jahr, das uns auch aus datenschutzrechtlicher Sicht in Atem hält.

Autorin: Carolin Weißofner
Artikel veröfefntlicht am: 27.01.21

Bitte beachten Sie: Allgemeine Beiträge können eine datenschutzrechtliche Beratung im Einzelfall nicht ersetzen. Für die Richtigkeit und Vollständigkeit unsere Blogbeiträge können wir keine Gewähr übernehmen. Inhalte beziehen sich immer auf die Rechts- und Faktenlage zum Zeitpunkt der Veröffentlichung und sind deshalb zum Zeitpunkt des Aufrufs möglicherweise nicht mehr aktuell.

In den von uns erstellten Artikeln, Leitfäden, Checklisten, Whitepaper und anderen Beiträgen wird aus Gründen der besseren Lesbarkeit das generische Maskulinum verwendet. Wir möchten betonen, dass sowohl weibliche als auch anderweitige Geschlechteridentitäten dabei ausdrücklich mitgemeint sind, soweit es für die Aussage erforderlich ist.

Aktuelle Beiträge zum Thema Datenschutz

Wir freuen uns auf Ihre Anfrage!

Telefon:

+49 89 / 250 039 220

Öffnungszeiten:

Mo. - Fr.: 09:00 - 18:00 Uhr