Wie es scheint, haben sich die Europäische Union und das Vereinte Königreich doch noch auf ein Abkommen einigen können. Dies hat zahlreiche Auswirkungen auf das gesamte (Rechts-)Leben in Europa, speziell im Bereich des Datenschutzes.
Was ändert sich also im neuen Jahr in Bezug auf Datenübermittlungen von bzw. nach Großbritannien?
Vorerst nichts, denn durch das Austrittsabkommen wird das Vereinte Königreich vorerst nicht als Drittland behandelt. Das bedeutet, dass ein Datentransfer von bzw. nach Großbritannien weiterhin möglich sein wird. Allerdings haben das Vereinte Königreich und die EU einen Zeitrahmen von 4 Monaten festgelegt, der um weitere 2 Monate verlängert werden kann. Dieser Zeitrahmen endet gegebenenfalls früher, falls die Europäische Kommission einen Angemessenheitsbeschluss fasst.
Mit diesem Angemessenheitsbeschluss kann gemäß Art 45 Abs 3 DSGVO festgestellt werden, dass personenbezogene Daten in einem bestimmten Drittland einen, dem europäischen Datenschutzrecht vergleichbaren angemessenen Schutz bekommen. Sollte dieser Fall eintreten, dann können personenbezogene Daten weiterhin, unter Beachtung der DSGVO, nach Großbritannien übermittelt werden.
Welche datenschutzrechtlichen Bestimmungen gelten im Vereinten Königreich ab 2021?
Laut der Datenschutzbehörde des Vereinten Königreichs (ICO) soll die DSGVO in eine Art „UK-GDPR“ und somit in nationales Recht umgewandelt werden. Die Grundprinzipien, Rechte und Verpflichtungen sollen laut diesen Informationen grundsätzlich gleichbleiben. Neben dieser Bestimmung wird weiterhin die (derzeit schon in Kraft stehende) DPA 2018 gelten. Allerdings soll diese noch entsprechend angepasst werden.
Ferner sieht Art. 71 des Austrittsabkommens vor, dass Daten von Unionsbürgern, welche vor dem 31.12.2020 gesammelt wurden, nach wie vor nur nach Maßgabe der DSGVO verarbeitet werden dürfen.
Was ändert sich, wenn es zu keinem Angemessenheitsbeschluss kommt?
Falls nach dem Ablauf der Frist von maximal 6 Monaten kein Angemessenheitsbeschluss gefasst worden sein sollte, dann ist das Vereinigte Königreich als Drittland zu behandeln. Eine Datenübermittlung wird in diesem Fall nur noch dann zulässig sein, wenn Verantwortlicher und Auftragsverarbeiter selbst Garantien zur Gewährleistung des Schutzes von personenbezogenen Daten, wie zB Standardvertragsklauseln, vorsehen und abschließen.
Bereits geschlossene datenschutzrechtliche Verträge sind dementsprechend zu überprüfen bzw. gar zu erneuern. Weiterhin werden auch Daten von Unionsbürgern, die von Unternehmen aus dem Vereinten Königreich verarbeitet werden, aber durch die DSGVO geschützt sein. Dies normiert Art 3 Abs 2 DSGVO und gebietet Unternehmen aus Drittstaaten die Verpflichtungen der DSGVO zu erfüllen.
Wir empfehlen, dringend zu erheben, welche Datenübermittelung im Rahmen Ihres Unternehmens in das Vereinte Königreich stattfinden und Strategien für die bevorstehenden Szenarien zu finden, um abgesichert zu sein.
Ihr KWR-Datenschutzteam steht Ihnen gerne zur Verfügung.