Informationsblatt für den Umgang der Datenübermittlung nach dem Brexit.
Problemstellung:
Mit dem Ablauf des 31.01.2020 ist das Vereinigte Königreich Großbritannien, einschließlich Nordirland, (im Folgenden VK genannt) aus der Europäischen Union ausgetreten. Für das Austrittsabkommen galt ein Übergangszeitraum bis zum 31.12.2020, in dem das Vereinigte Königreich datenschutzrechtlich weiterhin wie ein Mitgliedsstaat behandelt wird.
Diese Frist gilt nun ab dem 01.01.2021 noch weitere vier Monate als verlängert und bietet vorläufige Rechtssicherheit. Das Vorgehen kann um weitere zwei Monate verlängert werden, wenn keine der Parteien widerspricht. Es handelt sich demnach nicht um Datenübermittlungen in ein Drittland.
Vorab ist jedoch zu sagen, dass, unabhängig von der Entscheidung der EU über den Angemssenheitsbeschluss, die EU-DSGVO nicht mehr anwendbar ist, wenn Geschäftsbeziehungen zum VK unterhalten werden. Nach Ende der Übergangsfrist gilt dann die neue Verordnung (UK GDPR), die inhaltlich jedoch den Anforderungen der EU-DSGVO entspricht.
Die Frage, die sich nun aber vielen stellt ist: Ist der Brexit für mein Unternehmen relevant und was passiert, wenn das VK nach der Übergangsfrist als ein unsicheres Drittland eingestuft wird?
Hierfür gibt es zwei Anhaltspunkte, um die Relevanz zu ermitteln. Dies ist zum einen die Frage, ob überhaupt Daten in das VK übermittelt werden und zum anderen, ob das Unternehmen, das Daten übermittelt, Zugriffe hierauf gewährt.
Dies würde für folgende Fälle gelten:
- Sie verfügen über eine Niederlassung in UK
- Sie setzen Dienstleister aus UK zur Ausführung Ihrer Leistungen ein
- Sie nutzen in UK basierte Cloud/SaaS- Dienste
Folgende Personengruppen können davon betroffen sein:
- Kund/innen
- Nutzer/innen Ihrer Onlinedienste oder Webseitenbesucher
- Mitarbeiter/innen oder Bewerber/innen (bei Einsatz von Onlinebewerbungsdiensten)
Konsequenz:
Ohne einen Angemessenheitsbeschluss seitens der EU ist Großbritannien also so zu behandeln, wie jedes unsichere Drittland, wie etwa die USA, auch. Aber in diesen Fällen existieren ebenso Möglichkeiten, trotzdem eine sichere Zusammenarbeit zu regeln und datenschutzrechtliche Standards einzuhalten.
- Abschluss von Standardvertragsklauseln
- Vertraglich erforderliche Datentransfers
- Einwilligungen der Betroffenen
- „Binding – Corporate – Rules“, also interne und genehmigungspflichtige Abreden
- Ausnahmen nach Art. 49 DSGVO
Fazit:
Es bleibt also vorerst abzuwarten, ob Großbritannien nach der Übergangsfrist im April (bzw. Juni) noch als datenschutzrechtlich sicheres Drittland anerkannt wird oder doch die oben genannten Standardvertragsklauseln notwendig werden. Dies lässt sich derzeit schwer abschätzen.
Generell lässt sich aber empfehlen, dass Sie als Unternehmen insoweit vorsorgen können, als dass Standardvertragsklauseln vorhanden sein sollten, falls sie zum Einsatz kommen müssen. So entsteht im Unternehmen keine unnötige Unsicherheit über die zu treffenden Maßnahmen.
Bei Fragen stehen wir gerne zur Verfügung und werden Sie weiterhin über sämtliche Entwicklungen informieren.
Kontakt Anywhere digital Datenschutz-Team:
Tel.: +49 (0)40 38 99 50 -0
E-Mail: team-ds@anywhere.de
Quellen:
Pressemitteilung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 28.12.2020.
Vorläufige Rechtssicherheit für Datenübermittlungen in das Vereinigte Königreich – Entwurf des Brexit-Abkommens bietet viermonatige Übergangsfrist ab dem 01. Januar 2021.