Der Brexit ist vollzogen. Am 31.12.2020 ist die Übergangsfrist ausgelaufen. In letzter Sekunde haben sich Großbritannien und die EU in einem Handels- und Kooperationsabkommen einen weiteren gemeinsamen Weg erarbeitet. Darin enthalten sind auch Regelungen zum Datenschutz. Eintracht oder Aufschub, lautet hier die Frage.
“Das Abkommen sieht vor, dass Datenübermittlungen personenbezogener Daten aus der Union in das Vereinigte Königreich vorübergehend nicht als Übermittlung an einen Drittstaat im Sinne des Unionsrechts gelten sollen.” – Eileen Binder
In unserem letzten Artikel zum Brexit (hier geht’s zum Artikel), als das Jahr 2020 in den letzten Zügen lag, wurde mit Spannung erwartet, ob sich Großbritannien und die EU bis zum Ende der Übergangsfrist für den Brexit würden einigen können, wie das Verhältnis zwischen der Insel und dem Kontinent zukünftig aussehen könnte. Und tatsächlich, in buchstäblich letzter Sekunde haben sich beide doch noch auf einen Brexit-Deal geeinigt. Unter anderem geht es in dem 1250 Seiten starken Handels- und Kooperationsabkommen auch um den Datenschutz. Was hat sich nun verändert?
Das Abkommen sieht in Artikel FINPROV.10A (S. 468) vor, dass Datenübermittlungen personenbezogener Daten aus der Union in das Vereinigte Königreich vorübergehend nicht als Übermittlung an einen Drittstaat im Sinne des Unionsrechts gelten sollen. Damit sind Datenübermittlungen in das Vereinigte Königreich ohne weitere Garantien wie z.B. Standardvertragsklauseln oder Corporate Binding Rules möglich.
Doch Achtung! Es handelt sich dabei nur um eine Interimslösung. Die Überbrückungsfrist gilt nur bis zu einem etwaigen Angemessenheitsbeschluss durch die EU-Kommission, längstens jedoch für vier Monate und ist um zwei Monate verlängerbar. Spätestens im Juli 2021 wird die Rechtslage rund um den Datenschutz wieder neu verhandelt werden müssen.
Ob die EU-Kommission bis dahin einen Angemessenheitsbeschluss, der das Datenschutzniveau des Vereinigten Königreichs bestätigt, erlassen wird, ist im doppelten Sinne fraglich. Zum einen, da die EU-Kommission bereits seit Anfang 2020 an dem Beschluss arbeitet und nunmehr nur noch 4 Monate Zeit haben soll. Zum anderen, weil noch unsicher ist, ob aufgrund britischen Rechts ein Angemessenheitsbeschluss überhaupt möglich ist. Denn auch dort haben – vergleichbar mit der Situation in den USA — inländische Behörde umfassende Zugriffsrechte auf personenbezogene Daten. Wie das enden kann, hat uns das Schrems II-Urteil (Hier geht’s zum Artikel) gezeigt.
Was können Unternehmen tun?
Obwohl sowohl die EU als auch das Vereinigte Königreich bekräftigen, Datenübermittlungen auf Angemessenheitsbeschlüsse stützen zu wollen, sollten Unternehmen die Entwicklungen nicht aus den Augen verlieren. Sollte es keinen Angemessenheitsbeschluss geben, wird Großbritannien nach Ablauf der 6 Monate zum datenschutzrechtlichen Drittstaat. Datenübermittlungen sind dann nur noch mittels geeigneter Garantien wie den oben erwähnten Standardvertragsklauseln oder Binding Corporate Rules möglich.
Neben der Datenübermittlung gilt es auch zu beachten, dass das nunmehr nationale Datenschutzrecht Großbritanniens „UK GDPR“ einen UK-Vertreter vorsieht („UK Representative“). Unternehmen müssen also jetzt klären, ob und inwieweit sie Vorgaben des britischen Rechts berücksichtigen müssen und ob die Benennung eines Vertreters im Vereinigten Königreich erforderlich ist.
Fazit
Die EU und das Vereinigte Königreich haben einen last-minute Brexit-Deal geschlossen, das Handels- und Kooperationsabkommen. Danach sind Datenübermittlungen auf die Insel weiterhin uneingeschränkt zulässig. Das gilt jedoch nur für maximal 6 Monate. Unternehmen sollten die Entwicklungen daher im Auge behalten und prüfen, inwiefern Sie unter das britische Datenschutzrecht fallen. Unter Umständen ist die Benennung eines UK-Vertreters notwendig.
Was Sie noch interessieren könnte:
Die Erstellung eines Löschkonzepts – das gilt es zu beachten!
In der DSGVO finden sich an einigen Stellen Verpflichtungen zur Löschung personenbezogener Daten. Darunter beispielsweise das Recht auf Löschung in […]
Künstliche Intelligenz und Datenschutz – woran Verantwortliche im Unternehmen denken sollten
Laut dem statistischen Bundesamt nutzen Unternehmen Künstliche Intelligenz (KI) am häufigsten zur Spracherkennung, gefolgt von der Automatisierung von Arbeitsabläufen oder […]
AI-Act – ein Überblick
Der sog. Artificial Intelligence Act (AI-Act, KI-Gesetz) wurde am 13. März 2024 vom Europäischen Parlament beschlossen und am 21. […]