In der Nacht vom 31. Januar zum 1. Februar 2020 war es schließlich soweit. Kaum einer hatte wahrscheinlich noch daran geglaubt, dass nach allen Strapazen und Verschiebungen dieses Mal der Termin wirklich eingehalten wird. Mittlerweile sind 24 Tage vergangen, seit das Vereinigte Königreich aus der EU ausgetreten ist. Doch was bedeutet der Brexit für die Unternehmen in Bezug auf die datenschutzrelevanten Themen?
Das neue Jahr begann direkt mit einer der größten Veränderungen der letzten Jahre. Das Vereinigte Königreich Großbritannien und Nordirland treten aus der EU aus. Ein Akt, der sich mit dem Referendum am 23. Juni 2016 bereits abgezeichnet hatte, aber wirklich daran glauben wollte keiner. Doch das Austrittsabkommen wurde trotz allen Brexit-Diskussionen unterzeichnet, mit Ablauf zum 31. Januar trat es in Kraft. So hat die EU seit dem 1. Februar nur noch 27 Mitgliedsstaaten.
Mit dem Austritt besteht auch keine Pflicht mehr, die Verordnungen der EU verbindlich umzusetzen. Die Folgen im Bereich Datenschutz möchten wir uns heute einmal genauer anschauen. Die Prozesse müssen nicht von heute auf morgen direkt umgestellt werden, denn gemäß Art. 126 des Austrittsabkommens gilt eine Übergangsfrist bis Ende 2020. Bis zum Ende des Jahres bleibt also alles wie gehabt: das Unionsrecht gilt für das Vereinigte Königreich und somit auch die DSGVO. Das Vereinigte Königreich könnte sogar bis zum 1. Juli 2020 die Übergangsfrist einmalig um ein oder zwei Jahre verlängern.
Früher oder später wird auf jeden Fall der Tag kommen, an dem sich das Vereinigte Königreich nicht mehr an das Unionsrecht halten muss, damit auch nicht mehr an die DSGVO. Dann wird das Vereinigte Königreich rechtlich gesehen zum Drittland. Von besonderer Bedeutung wird diese Konstellation bei der Übermittlung von personenbezogenen Daten. Denn wer personenbezogene Daten in Drittländer übertragen möchte, muss die Art. 44 ff. DSGVO beachten. Nach Art. 44 ff. DSGVO darf eine Übermittlung in ein Drittland nur erfolgen, wenn das Drittland ein angemessenes Schutzniveau vorweisen kann. Dies hat den Hintergrund, dass viele Länder außerhalb der EU lockere nationale Datenschutzgesetze haben und der Schutz der personenbezogenen Daten bei einer Übermittlung somit ins Leere laufen würde.
Die Zulässigkeitsprüfung einer solchen Datenübermittlung erfolgt in zwei Schritten. Die Datenübermittlung muss zunächst einmal zulässig sein, d.h. es muss mindestens einer der Erlaubnistatbestände aus Art. 6 Abs. 1 DSGVO vorliegen. Anschließend muss die Übermittlung in das Drittland zulässig sein. Zulässig ist die Datenübermittlung, wenn das Drittland ein angemessenes Schutzniveau vorweisen kann. Die Kommission hat für eine Reihe von Drittländern solch ein angemessenes Datenschutzniveau feststellen können (Angemessenheitsbeschluss). Man bezeichnet diese Länder auch als sicheres Drittland.
Eine Datenübermittlung in ein unsicheres Drittland ist grundsätzlich nicht ausgeschlossen. In Art. 46 ff. DSGVO sind eine Reihe von weiteren Voraussetzungen terminiert, die eine Übermittlung unter bestimmten Voraussetzungen möglich machen. Möglichkeiten für eine Zusicherung eines angemessenen Datenschutzniveaus sind beispielsweise der Einsatz von Standardvertragsklauseln, bei Datenübertragungen innerhalb eines Konzerns durch Binding Coporate Rules, durch eine Verpflichtung zur Einhaltung von Vertragsregeln, die von der Kommission für allgemein gültig erklärt worden sind oder durch Zertifizierung des Verarbeitungsvorgangs geschehen. Wird eine Maßnahme nach Art. 46 ff. DSGVO umgesetzt, so ist die Datenübermittlung auch in ein unsicheres Drittland zulässig.
Für eine Datenübermittlung in das Vereinigte Königreich gibt es nach Ablauf der Übergangsfrist mehrere Szenarien:
Es bleibt also spannend, für welches Modell sich die Kommission entscheidet. Es wird auf jeden Fall für viele Unternehmen von Bedeutung sein, da fast jedes siebte deutsche Unternehmen einen Dienstleister mit Sitz im Vereinigten Königreich beschäftigt.
Sie möchten mehr über Datenübermittlung in ein Drittland erfahren? Wissen Sie bereits, welche Anforderungen bei der Verarbeitung personenbezogener Daten greifen?
In unserer Datenschutz-Schulungsapp wird die DSGVO und das Thema Datenschutz verständlich erklärt. Lernen Sie die notwendigen Grundlagen und gängigen Begrifflichkeiten. In sieben verschiedene Themengebiete unterteilt, können Sie sich mit Hilfe anschaulicher Infotexte, Bilder sowie Videos an das Fachwissen der Datenschützer herantasten. Am Ende jedes Kapitels gibt es eine integrierte Lernerfolgskontrolle zum autodidaktischen Lernen. Erhältlich ist die App für alle iOS und Android-Geräte im Appstore. Weitere Infos finden Sie unter https://datenschutz-schulungsapp.com/.
Vor genau einem Jahr hat das Vereinigte Königreich die EU verlassen. Wie ist die aktuelle Rechtslage? Was hat sich mittlerweile in Bezug auf Datenübermittlungen geändert? Wir haben die wichtigsten Infos zusammengefasst: Ein Jahr nach dem Brexit - Die Folgen für den Datenschutz
Der Übergangszeitraum läuft nun aus. Das Vereinigte Königreich wird jetzt endgültig als Drittland bezeichnet. Jetzt dreht sich alles um die Frage: Ist das Vereinigte Königreich ein sicheres oder ein unsicheres Drittland? Dieser Frage gehen wir in unserem Blogbeitrag Brexit vollzogen: UK als Drittland auf den Grund.
Brexit Drittland Datenübermittlung DSGVO Angemessenheitsbeschluss