Der lange diskutierte EU-Austritt des Vereinigten Königreichs (Brexit) steht nun fest: Ab dem 1. Januar 2021 gehört Großbritannien nicht mehr zur EU. Da alle Länder außerhalb des Europäischen Wirtschaftsraums (EWR) aus Sicht der DSGVO sogenannte „Drittländer“ sind, zieht der EU-Austritt auch im Datenschutz einige Änderungen mit sich.
Aktuell gibt es hier noch eine „Übergangsregelung“, die Großbritannien mit der EU abgeschlossen hat. Am 28.12.2020 informiert die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder in einer Pressemitteilung über die „Vorläufige Rechtssicherheit für Datenübermittlungen in das Vereinigte Königreich“ mit einer „viermonatigen Übergangsfrist ab dem 01. Januar 2021“. Die viermonatige Frist (bis zum 30. April 2021), kann noch um zwei Monate verlängert werden, insofern keine der beteiligten Parteien widerspricht. Für die Zeit der Übergangsreglung wird das Vereinigte Königreich (UK) folglich datenschutzrechtlich noch als Teil der EU behandelt. Doch auch dies ist nur eine Regelung auf Zeit und früher oder später muss sich der Frage gestellt werden, wie nun mit Großbritannien umgegangen werden soll. Dies hängt maßgeblich davon ab, ob Großbritannien durch die EU-Kommision ein angemessenes Datenschutzniveau nach Art. 45 Abs. 3 DSGVO bescheinigt bekommt, wie z.B. die Schweiz oder Kanada. Liegt ein solcher Angemessenheitsbeschluss nicht vor, wird das Vereinigte Königreich genauso behandelt wie jeder andere (potenziell unsichere) Drittstaat (z.B. die USA oder Russland).
Dies bedeutet, dass grundsätzlich alle Datenübertragungen nach Großbritannien untersagt sind, es sei denn, es liegt eine gültige Legitimationsquelle für die Datenübermittlung vor. Dies könnten z.B. Standardvertragsklauseln, Einwilligungen der Betroffenen, vertraglich erforderliche Datentransfers oder sogenannte „Binding-Corporate-Rules“ sein (wir berichteten umfassend in unseren vorherigen Newslettern). Betroffene Personengruppen, deren personenbezogene Daten Sie zu schützen verpflichtet sind, sind z.B. Kunden, Mitarbeiter, ggf. Bewerber (UK-Onlinesystem) und Besucher Ihrer Webseite.
Ob der Brexit für Ihr Unternehmen relevant ist, hängt u.a. davon ab, ob Sie:
- personenbezogene Daten in die UK übermitteln oder dort ansässigen Unternehmen Zugriff auf diese Daten gewähren
- über eine Niederlassung in Großbritannien verfügen oder dortige Dienstleister einsetzen (z.B. Warenlieferanten)
- Dienste und Systeme aus der UK nutzen (z.B. Clouddienste, Marketing-Tools).
Zwar haben Sie aktuell durch die Übergangsphase noch etwas Zeit sich mit diesem Thema auseinanderzusetzen. Dennoch sollten Sie für den Fall, dass Großbritannien kein angemessenes Datenschutzniveau durch die EU-Kommission bescheinigt bekommt, schon einmal interne Prozesse auf Datenübermittlungen nach Großbritannien identifizieren, diese Prozesse auf eine mögliche Umstellung prüfen und sich nach europäischen Alternativen (EU-Anbieter) umsehen. Ist dies bei Ihnen nicht ohne weiteres möglich, sollten Sie sich dringend zu den Legitimationsquellen für UK-Anbieter informieren (z.B. Standardvertragsklauseln).
Es bleibt spannend, wie die kommenden vier Monate der Übergangsphase verlaufen und welche Entscheidung die EU-Kommision bezüglich des Datenschutzniveaus in der UK trifft.
Quelle:
- Datenschutz-Generator.de, Artikel „Keep calm and prepare for Brexit“, abgerufen am 14.01.2021 unter https://datenschutz-generator.de/brexit-dsgvo-8-schritte/