Was jetzt zum BREXIT im Zusammenhang mit dem Datenschutz wichtig ist

Am 24. Dezember 2020 – und damit gerade noch rechtzeitig – haben sich die Kommission der Europäischen Union und die Regierung des Vereinigten Königreichs von Großbritannien und Nordirland auf ein „Handels- und Kooperationsabkommens“ geeinigt. Gerade noch rechtzeitig, weil am 31. Dezember 2020 die bisherige Übergangsphase endgültig auslief.

Das neue Abkommen ist bereits am 01. Januar 2021 in Kraft getreten. Es  enthält auch wichtige Regelungen für Übermittlungen personenbezogender Daten ins Vereinigte Königreich. Diese Regelungen besagen im Wesentlichen:

  1. Bis zu vier Monate nach dem Inkrafttreten gelten Datenübermittlungen in das Vereinigte Königreich nicht als Drittlandübermittlungen.
  2. Diese Frist verlängert sich um zwei Monate sofern weder die EU noch das Vereinigte Königreich der Verlängerung widerspricht.
  3. Die Regelung aus 1.) endet, wenn die EU-Kommission einen sogenannten „Angemessenheitsbeschluss“ gemäß Art. 45 DSGVO erlässt. Damit wären Datenübermittlungen ins Vereinigte Königreich so zu behandeln, wie dies auch bei den anderen Drittländern der Fall ist, für die es bereits einen solchen Angemessenheitsbeschluss gibt (eine Übersicht der Angemessenheitsbeschlüsse der EU-Kommission finden Sie Externer Linkhier).

Diese Regelungen gelten sofern das Vereinigte Königreich seine Datenschutzregelungen nicht überraschend ändert, wovon derzeit aber nicht auszugehen ist.

Drei mögliche Szenarien:

  1. Innerhalb von sechs Monaten erfolgt der Angemessenheitsbeschluss der EU-Kommission und es wird kein Widerspruch gegen die Fristverlängerung eingelegt.
  2. Es wird zwar kein Widerspruch gegen die Fristverlängerung eingelegt, aber es erfolgt innerhalb der Frist von sechs Monaten kein Angemessenheitsbeschluss.
  3. Es wird ein Widerspruch gegen die Fristverlängerung eingelegt und es erfolgt innerhalb der Frist von vier Monaten kein Angemessenheitsbeschluss.

Die Variante c) wäre das Worst Case Szenario, da dann Datenübermittlungen in das Vereinigte Köndigreich bereits ab dem 01. Mai 2021 als Drittlandübermittlungen gelten. Abgesehen von den Ausnahmen aus Art. 49 DSGVO kämen dann nur noch der Abschluss von Standarddatenschutzklauseln oder die Anwendung von verbindlichen internen Datenschutzvorschriften nach Art. 47 DSGVO in Frage. Bei der Variante b) würde das gleiche ab dem 01. Juli 2021 gelten. Die Variante a) wäre aus Sicht der Unternehmen die beste der drei Varianten, da dann erst einmal kein weiterer Handlungsbedarf bestünde. „Erst einmal“, weil spätestens nach vier Jahren der Angemessenheitsbeschluss zu überprüfen ist. Aufgrund von Rechtsänderungen im Vereinigten Königreich könnte eine solche Überprüfung dazu führen, dass der Angemessenheitsbeschluss auch wieder aufgehoben werden muss.

Es gab allerdings auch bereits Aussagen aus den Kreisen der EU-Kommission, dass dieser Angemessenheitsbeschluss kein Selbstläufer ist und von daher nicht sicher ist, ob es zu einem solchen Angemessenheitsbeschluss kommen wird. Daher ist hier meine Empfehlung bei allen Datenübermittlungen in das Vereinigte Königreich zu prüfen, ob diese unbedingt erforderlich sind oder ob künftig auf diese – z.B. durch Verlagerung von Dienstleistungen an Dienstleister mit Sitz in der EU oder dem Europäischen Wirtschaftsraum – verzichtet werden kann.

Handlungsempfehlungen

Wo nicht auf Datenübertragungen in das Vereinigte Königreich verzichtet werden kann, sollten in den nächsten Monaten – sofern nicht bereits geschehen – die Standarddatenschutzklauseln abgeschlossen werden. Hierbei ist allderdings zu beachten, dass die EU-Kommission demnächst neue Standarddatenschutzklausen für Drittlandübermittlungen veröffentlicht wird (vgl. meinen Newsletter vom 07. Dezember 2020, Ziffer 2). Desweiteren muss sichergestellt sein, dass der Dienstleister auch rechtlich in der Lage ist, die Standarddatenschutzklauseln einzuhalten, insbesondere sind dabei nationalen Regelungen für Zugriffe der Sicherheitsbehörden und Geheimdienste auf die beim Dienstleister verarbeiteten Daten zu berücksichtigen (vgl. meinen Beitrag „NOYB: Was Unternehmen in der EU und dem EWR nach dem EuGH-Urteil Schrems II jetzt unternehmen sollten„).

Weitere Informationen

Diese Seite erreichen Sie auch unter der leicht zu merkenden URL
was.jetzt.zum.brexit.im.zusammenhang.mit.dem.datenschutz.wichtig.ist

Der Kurzlink für diese Seite ist: https://ds-exp.de/BREXIT