Neues zum Datenschutzrecht
1.1.2021
Brexit – Zwischenlösung für Datentransfers in das Vereinigte Königreich
Die EU und das Vereinigte Königreich haben sich in dem am 24.12.2020 ausgehandelten Handels- und Kooperationsabkommen darauf geeinigt, Transfers personenbezogener Daten aus der EU in das Vereinigte Königreich ab dem 1.1.2021 für einen weiteren Übergangszeitraum von bis zu sechs Monaten zu erlauben.
Das Abkommen sieht vor, dass im Übergangszeitraum Transfers personenbezogener Daten aus der EU und dem Europäischen Wirtschaftsraum nach Großbritannien und Nordirland nicht als Transfers in einen Drittstaat anzusehen sind, sofern die Datenschutzregelungen des Vereinigten Königreichs Stand 31.12.2020 dort weiterhin angewendet werden und das Vereinigte Königreich sein weiteres Vorgehen in datenschutzrechtlichen Fragen mit der europäischen Seite abstimmt. Diese Übergangsbestimmung ist zu finden in Artikel 10FINPROV.10A des Handels- und Kooperationsabkommens zwischen der Europäischen Union und der Europäischen Atomgemeinschaft einerseits und dem Vereinigten Königreich Großbritannien und Nordirland andererseits, abgedruckt im Amtsblatt der Europäischen Union L 444/14 v. 31.12.2020 (hier abrufbar). Für alle, die sich diese Regelung im Detail anschauen möchten, gibt es einen besonderen Service: Sie ist zu finden auf S. 468 ff. des vorgenannten 1449 Seiten umfassenden Dokuments.
Spätestens ab dem 30.6.2021 wird das Vereinigte Königreich datenschutzrechtlich als Drittland zu behandeln sein.
UPDATE: Darauf weist auch der Europäische Datenschutzausschuss in seiner Information vom 13.1.2021 nochmals zutreffend explizit hin.
Hintergrund
Der Austritt des Vereinigten Königreichs aus der EU hat bekanntermaßen auch Auswirkungen auf den Datenverkehr zwischen den EU-Mitgliedstaaten und dem Vereinigten Königreich, das datenschutzrechtlich zu einem Drittland geworden ist. Dieser Umstand, die Konsequenzen und die Notwendigkeit, Vorkehrungen zu treffen, waren bereits mehrfach Gegenstand der Datenschutz-News.
Zu einem Drittland wurde das Vereinigte Königreich bereits mit dem Austritt zum 31. Januar 2020. Dennoch blieb die DSGVO bis zum 31. Dezember 2020 im Vereinigten Königreich wirksam. Daher bedurfte es in diesem Übergangszeitraum für einen Datentransfer in das Vereinigte Königreich keiner besonderen Schutzmaßnahmen nach Art. 44 ff. DSGVO.
Mit dem Handels- und Kooperationsabkommen vom 24.12.2020 wurde vereinbart, dass das Vereinigte Königreich für einen Übergangszeitraum bis maximal zum 30.6.2021 nicht als Drittland behandelt wird. Nach Ablauf des Übergangszeitraums werden Großbritannien und Nordirland unter datenschutzrechtlichen Gesichtspunkten endgültig als Drittländer zu behandeln sein.
Eine Datenübermittlung in ein Drittland ist gemäß Art. 45 Abs. 1 DSGVO zulässig, wenn die EU-Kommission für dieses Drittland ein angemessenes Datenschutzniveau festgestellt hat. Das wäre mit Blick auf den Brexit die einfachste Lösung für das zukünftige Drittland, setzt aber zunächst eine entsprechende Umsetzung durch die EU-Kommission voraus.
Sollte die Kommission es nicht schaffen, bis zum 30.6.2021 einen Angemessenheitsbeschluss zu fassen, ist eine Datenübermittlung in Drittländer nach Art. 46 Abs. 1 DSGVO zulässig, wenn geeignete Garantien hinsichtlich des auf die konkrete Datenübermittlung bezogenen Datenschutzniveaus vorgesehen werden und den betroffenen Personen durchsetzbare Rechte sowie effektive Rechtsmittel zur Verfügung stehen. Diese Garantien können unter anderem bestehen in verbindlichen internen Datenschutzvorschriften (Binding Corporate Rules) und Standarddatenschutzklauseln. Darüber hinaus können die Garantien zur Sicherstellung eines angemessenen Datenschutzniveaus auch in individuellen vertraglichen Vereinbarungen über die Datenverarbeitung zwischen den Verantwortlichen bzw. dem Verantwortlichen und dem Auftragsverarbeiter bestehen, wenn diese von der zuständigen Datenschutzaufsichtsbehörde genehmigt wurden.
Ohne Angemessenheitsbeschluss der EU-Kommission oder geeignete Garantien gem. Art. 46 DSGVO darf eine Übermittlung personenbezogener Daten in Drittländer ausnahmsweise nur dann erfolgen, wenn ein Ausnahmetatbestand gemäß Art. 49 Abs. 1 DSGVO vorliegt.
Fazit und Ausblick
Es bleibt abzuwarten und zu hoffen, dass die EU-Kommission bis zum Ende des Übergangszeitraums einen Angemessenheitsbeschluss erlässt. Andernfalls müssen Datentransfers ins Vereinigte Königreich auf andere Grundlagen wie insbesondere Standarddatenschutzklauseln gestützt werden. Auf dieses Szenario sollten Sie vorbereitet sein, da ein (rechtzeitiger) Angemessenheitsbeschluss nicht sicher ist.
Sollten Sie Fragen zu den datenschutzrechtlichen Konsequenzen des Brexits haben oder insoweit Unterstützung benötigen, können Sie mich gerne kontaktieren.
Zurück zur Übersicht