Brexit und DSGVO
26. März 2021

BREXIT & DSGVO: Worauf Unternehmen jetzt achten müssen


Inhalt:


Der EU-Austritt des Vereinigten Königreichs und die damit verbundenen Verhandlungen füllten in den vergangenen Jahren ununterbrochen die Nachrichtenspalten. Dass einige Sorgen nicht grundlos gewesen waren, zeigen die Störungen im Warentransport und steigende Grenzformalitäten. Teure Warenzölle und vermehrte bürokratische Maßnahmen führten bereits zu einer starken Abwanderung der Unternehmen aus dem Vereinigten Königreich in andere europäische Staaten. Neben dem Handel ist es jedoch zunehmend auch der zukünftige Datenschutzes in Großbritannien die Frage, die die Wirtschaft bis zum Sommer auf die Folter spannen wird. 

BREXIT und DSGVO

BREXIT DSGVO 2020

Das Vereinigte Königreich wurde nach seinem Austritt aus der Europäischen Union am 31. Januar 2020 bis zum 31. Dezember 2020 weiterhin als EU-Staat behandelt. In diesem Zeitraum galt in Großbritannien nach wie vor die europäische Datenschutz-Grundverordnung (DSGVO) sowie der nationale Data Protection Act 2018. Beide implizieren eine unkomplizierte Übermittlung personenbezogener Daten von EU-Staaten in das Vereinigte Königreich.

Kurz vor Ablauf der Frist verhinderten die Europäische Union und das Vereinigte Königreich, 

mit dem am 24. Dezember abgeschlossenen Handelsabkommen, nicht nur einen harten Brexit,   sondern regelten neben dem Warenverkehr unter anderem auch den Datenschutz zwischen den beiden Verhandlungspartnern.

Ohne eine solche Regelung wäre Großbritannien ab dem 01.01.2021 zu einem sogenannten Drittland geworden. Dies hätte besonders große Auswirkungen auf den Datenverkehr gehabt, weil gerade die Übermittlung personenbezogener Daten nur noch unter sehr engen Voraussetzungen möglich gewesen wäre.

BREXIT DSGVO 2021 - Die Übergangsphase

BREXIT DSGVO 2021 – Die Übergangsphase

Das am 24. Dezember geschlossene Trade and Cooperation Agreement (TCA), befasst sich auf den Seiten 406-408 mit den Übergangsregelungen für den Transfer personenbezogener Daten zwischen der Europäischen Union und dem Vereinigten Königreich.

Was hat sich verändert?

  • Der Austritt aus der EU hat zur Folge, dass auch die DSGVO in Großbritannien nicht mehr gilt
  • Als „legacy data“ gelten lediglich Daten, die bis zum 31.Dezember 2020 gesammelt wurden. Für sie gilt weiterhin die DSGVO.
  • Nach dem 31.Dezember 2020 im Vereinigten Königreich gesammelte Daten müssen sich nach der „UK GDPR“ richten – Einer Variante der DSGVO für Großbritannien.
  • Bis wahrscheinlich Ende Juni befindet sich Großbritannien in einem Übergangszeitraum. Er endet sobald die EU-Kommission einen Angemessenheitsbeschluss für das Vereinigte Königreich nach Art. 45 Abs. 3 DSGVO erlassen hat.
  • Für die Erlassung des Angemessenheitsbeschlusses muss Großbritannien ein angemessenes Schutzniveau für personenbezogene Daten, vergleichbar mit dem der DSGVO, vorweisen können.

Die durch die TCA geregelte Übergangsphase ist an mehrere Voraussetzungen geknüpft. Großbritannien darf seine Datenschutzgesetze nicht ändern, ansonsten endet die von der EU bewilligte Übergangsfrist. In dem Fall würden Datenübermittlungen aus der Europäischen Union in das Vereinigte Königreich als grenzüberschreitende Übermittlungen in ein unsicheres Drittland im Sinne der Art. 44 ff DSGVO gelten.

Was ist ein sicherer Drittstaat?

Die Bewilligung des Angemessenheitsbeschlusses entscheidet darüber, ob Großbritannien für die EU als sicheres Drittland gelten wird.

Dies ist in erster Linie davon abhängig, ob die geltenden nationalen Gesetze einen Schutz von personenbezogenen Daten gewährleisten, die mit dem des EU-Rechts vergleichbar sind. Als sichere Drittländer gelten bislang Andorra, Argentinien, Kanada (nur kommerzielle Organisationen), Faröer, Guernsey, Israel, Isle of Man, Jersey, Neuseeland, Schweiz Uruguay und Japan. In diese Länder ist daher die Datenübermittlung ausdrücklich gestattet.

Das Urteil „Schrems II“ vom 16. Juli 2020 hatte beispielsweise zur Folge, dass Datentransfers in die USA nach Art. 44 ff. DSGVO weitere Garantien benötigen. Denn laut des Europäischen Gerichtshofs reiche des Schutzniveau der USA nicht aus, um personenbezogene Daten von EU Bürgern zu verarbeiten.

Wie werden personenbezogene Daten in unsichere Drittstaaten übermittelt?

Wie werden personenbezogene Daten in unsichere Drittstaaten übermittelt?

In Fällen in denen kein Angemessenheitsbeschluss gilt, müssen Unternehmen und Organisationen auf andere Weise sicherstellen, dass die personenbezogenen Daten beim Empfänger ausreichend geschützt werden. Dies kann beispielsweise durch den Einsatz von Standarddatenschutzklauseln, z.B. Binding Corporate Rules, oder durch die Zertifizierung des Verarbeitungsvorgangs geschehen.

Als häufige Ausnahme für die Legitimierung der Datenübertragung gilt vor allem die Einwilligung des Betroffenen. Während die Übermittlung zur Vertragserfüllung, wichtige Gründe des öffentlichen Interesses, oder die Geltendmachung von Rechtsansprüchen weniger relevant sind.

Es besteht Handlungsbedarf für Unternehmen!

Es ist noch nicht klar, ob das Vereinigte Königreich ein, der DSGVO entsprechendes Datenschutzniveau aufrecht erhalten wird.

Aufgrund dieser bestehenden Rechtsunsicherheit sollten EU-Unternehmen in der Lage sein, ihre Datenschutz-Compliance kurzfristig anpassen zu können.

Besonders IT-Unternehmen sollten den bewilligten Aufschub nutzen, um ihre datenbasierte Zusammenarbeit und Abhängigkeit in Bezug auf britische Unternehmen zu analysieren und gegebenenfalls Alternativlösungen zu finden.

Handelt es sich um unverzichtbare Partner, ist es sinnvoll Standarddatenschutzklauseln, auch vor dem Hintergrund des „Schrems II“-Urteil, zu formulieren, um Ende Juni möglichst schnell reagieren zu können. In diesem Fall gilt es vor allem zusätzliche technische und organisatorische Maßnahmen, die sich mit dem Schutz der Daten der EU-Bürger befassen, festzulegen und auszuarbeiten.

Bei lawpilots finden Sie verschiedene Datenschutz-Schulungen, die Ihnen und Ihren Mitarbeitenden alle wichtigen Grundlagen der in Europa geltenden DSGVO näher bringen. So dass Ihr Unternehmen, vor allem in Bezug auf den korrekten Umgang mit personenbezogenen Daten, kein Risiko eingeht.

E-Learning mit lawpilots

Quellen:

BfDI (2021). Praktische Auswirkungen der Rechtsprechung des EuGH auf den internationalen Datentransfer (Rechtssache C-311/18 „Schrems II“). Verfügbar unter https://www.bfdi.bund.de/DE/Europa_International/International/Artikel/Auswirkungen-Schrems-II-Urteil.html

DSGVO (2021). Datenschutz-Grundverordnung. Verfügbar unter https://dsgvo-gesetz.de

Heidrich, J. (2021). In letzter Minute. In c’t Heft 3/2021, S. 26-27
Neufeld, T. (2021). Datenschutz nach dem Brexit. Viel Übergang, wenig Sicherheit. Verfügbar unter https://www.lto.de/recht/kanzleien-unternehmen/k/brexit-pakt-datenschutz-regelung-grossbritannien-europaeische-union-uebergang/

14. April 2021
Update Datenschutz: Facebook und Apple im Streit um unsere Daten
26. März 2021
Das Backup – mehr als nur eine Datensicherung