Brexit und DSGVO
26. März 2021

BREXIT & DSGVO: Worauf Unternehmen jetzt achten müssen


Inhalt:


Brexit DSGVO Unternehmen

Der EU-Austritt des Vereinigten Königreichs und die damit verbundenen Verhandlungen füllten in den vergangenen Jahren ununterbrochen die Nachrichtenspalten. Dass einige Sorgen nicht grundlos gewesen waren, zeigten die Störungen im Warentransport und steigende Grenzformalitäten. Was bedeutet der Brexit für DSGVO und Unternehmen? Teure Warenzölle und vermehrte bürokratische Maßnahmen führten bereits zu einer starken Abwanderung der Unternehmen aus dem Vereinigten Königreich in andere europäische Staaten. Neben dem Handel war es auch der Datenschutz den es bis zum 01.07.2021 zu prüfen galt.

BREXIT und DSGVO

BREXIT DSGVO 2020

Das Vereinigte Königreich wurde nach seinem Austritt aus der Europäischen Union am 31. Januar 2020 bis zum 31. Dezember 2020 weiterhin als EU-Staat behandelt. In diesem Zeitraum galt in Großbritannien nach wie vor die europäische Datenschutz-Grundverordnung (DSGVO) sowie der nationale Data Protection Act 2018. Beide implizieren eine unkomplizierte Übermittlung personenbezogener Daten von EU-Staaten in das Vereinigte Königreich.

Kurz vor Ablauf der Frist verhinderten die Europäische Union und das Vereinigte Königreich, mit dem am 24. Dezember abgeschlossenen Handelsabkommen, nicht nur einen harten Brexit, sondern regelten neben dem Warenverkehr unter anderem auch den Datenschutz zwischen den beiden Verhandlungspartnern.

Ohne eine solche Regelung wäre Großbritannien ab dem 01.01.2021 zu einem sogenannten unsicheren Drittland geworden. Dies hätte besonders große Auswirkungen auf die Datenübermittlung gehabt, weil gerade personenbezogene Daten nur noch unter sehr engen Voraussetzungen hätten übermittelt werden können.

Was passiert mit der DSGVO nach dem Brexit?

Was passiert mit der DSGVO nach dem Brexit?

Das am 24. Dezember geschlossene Trade and Cooperation Agreement (TCA), befasst sich auf den Seiten 406-408 mit den Regelungen für den Übergang in Bezug auf den Transfer personenbezogener Daten zwischen der Europäischen Union und dem Vereinigten Königreich.

Brexit Datenschutz: Was hat sich verändert?

  • Der Austritt aus der Europäischen Union hat zur Folge, dass auch die DSGVO in Großbritannien nicht mehr gilt
  • Als „legacy data“ gelten lediglich Daten, die bis zum 31.Dezember 2020 gesammelt wurden. Für sie gilt weiterhin die DSGVO.
  • Nach dem 31.Dezember 2020 im Vereinigten Königreich gesammelte Daten müssen sich nach der „UK GDPR“ richten – Einer Variante der DSGVO für Großbritannien.
  • Bis Ende Juni befand Großbritannien sich in einem Übergangszeitraum. Jener endete am 01. Juli 2021 und machte das Vereinigte Königreich endgültig zum Drittland. Das Ende der Übergangsfrist war eng gekoppelt an die Erlassung des Angemessenheitsbeschlusses nach Art. 45 Abs. 3 DSGVO.
  •  Für die Erlassung des Angemessenheitsbeschlusses ließ die Europäische Union das britische Datenschutzniveau prüfen. Besonders in Bezug auf personenbezogene Daten sollte es dem der DSGVO entsprechen. 

Die durch die Regelungen der TCA geprägte Übergangsphase war an mehrere Voraussetzungen geknüpft. Die britischen Datenschutzgesetze durften nicht geändert werden, sonst hätte die von der Europäischen Union bewilligte Übergangsfrist vorzeitig geendet. In dem Fall hätten Datenübermittlungen aus der Europäischen Union in das Vereinigte Königreich als grenzüberschreitende Übermittlungen in ein unsicheres Drittland im Sinne der Art. 44 ff DSGVO gegolten.

Was ist der Brexit DSGVO Angemessenheitsbeschluss?

Ein Angemessenheitsbeschluss der Europäischen Union legt fest, dass ein Drittland mit seinen inländischen Rechtsvorschriften bzw. internationalen Verpflichtungen in Bezug auf personenbezogene Daten den Ansprüchen der DSGVO gerecht wird. 

Die Bewilligung des Angemessenheitsbeschlusses entscheidet darüber, ob Großbritannien für die EU als sicheres Drittland gilt.

Dies ist in erster Linie davon abhängig, ob die geltenden britischen Gesetze einen Schutz für personenbezogene Daten gewährleisten, die mit dem des EU-Rechts vergleichbar sind. Als sichere Drittländer gelten bislang Andorra, Argentinien, Kanada (nur kommerzielle Organisationen), Faröer, Guernsey, Israel, Isle of Man, Jersey, Neuseeland, Schweiz Uruguay und Japan. In diese Länder ist daher die Datenübermittlung ausdrücklich gestattet. 

Das Urteil „Schrems II“ vom 16. Juli 2020 hatte beispielsweise zur Folge, dass ein Datentransfer in die USA nach Art. 44 ff. DSGVO weitere Garantien benötigen. Denn laut des Europäischen Gerichtshofs reiche das Schutzniveau der USA nicht aus, um personenbezogene Daten von EU Bürgern zu verarbeiten.

Die Kommission der Europäischen Union hat im Juli 2021 das im Vereinigten Königreich existierende Schutzniveau für Daten als ausreichend befunden. Seitdem können wieder ohne zusätzliche Garantien oder Genehmigungen Datenübermittlungen zwischen Europäischen Staaten und Großbritannien ausgetauscht werden. Besonders für Unternehmen bietet dies eine wiedergewonnene Form der Sicherheit.

Wie werden personenbezogene Daten in unsichere Drittstaaten übermittelt?

Das Vereinigte Königreich als Drittland

Um den Forderungen der Europäischen Union nachzukommen, die personenbezogenen Daten von Unionsbürgern angemessen zu schützen, hat das Vereinigte Königreich alle Grundsätze, Rechte und Pflichten der DSGVO in das eigene Rechtssystem übernommen. Zum ersten Mal wurde in einem Angemessenheitsbeschluss eine Verfallklausel integriert. Sie begrenzt die Geltung des Beschlusses auf vier Jahre. Danach wird erneut geprüft, ob das Vereinigte Königreich weiterhin über ein vergleichbares Datenschutzniveau wie die Europäische Union verfügt.

Wie werden personenbezogene Daten in unsichere Drittländer übermittelt?

In Fällen, in denen kein Angemessenheitsbeschluss gilt, müssen Unternehmen und Organisationen auf andere Weise sicherstellen, dass die personenbezogenen Daten beim Empfänger ausreichend geschützt werden. Dies kann beispielsweise durch den Einsatz von Standarddatenschutzklauseln, z.B. Binding Corporate Rules, oder durch die Zertifizierung des Verarbeitungsvorgangs geschehen.

Als häufige Ausnahme für die Legitimierung der Datenübertragung gilt vor allem die Einwilligung des Betroffenen. Während die Übermittlung zur Vertragserfüllung, wichtige Gründe des öffentlichen Interesses, oder die Geltendmachung von Rechtsansprüchen weniger relevant sind.

Die Vorteile des Angemessenheitsbeschlusses für Unternehmen

Während nach dem Brexit zunächst nicht klar war, ob das Vereinigte Königreich ein der DSGVO entsprechendes Datenschutzniveau aufrechterhalten wird, können EU-Unternehmen nun aufatmen. Datenverarbeitende Unternehmen mit Datentransfers in das Vereinigte Königreich müssen keine neuen Maßnahmen ergreifen.

Weiterhin ist es sinnvoll in Hinblick auf die Zukunft und den Ablauf der vierjährigen Frist in der Lage zu sein die eigene Datenschutzerklärung kurzfristig anpassen zu können. Es besteht durchaus die Möglichkeit, dass der Europäische Gerichtshof (EuGH) die Entscheidung der Kommission revidieren wird und Prozesse erneut umgestellt werden müssen. Grund hierfür sind gewisse Bedenken in Bezug auf mögliche Datenüberwachungen.  

Besonders IT-Unternehmen sollten, um ihre datenbasierte Zusammenarbeit und Abhängigkeit mit britischen Unternehmen zu analysieren gegebenenfalls Alternativlösungen im Auge behalten.

Handelt es sich um unverzichtbare Partner, ist es sinnvoll Standarddatenschutzklauseln, auch vor dem Hintergrund des „Schrems II“-Urteil, zu formulieren, um in der Zukunft möglichst schnell reagieren zu können. In diesem Fall gilt es vor allem zusätzliche technische und organisatorische Maßnahmen, die sich mit dem Schutz der Daten der EU-Bürger befassen, in der Datenschutzerklärung festzulegen und auszuarbeiten.

Bei lawpilots finden Sie verschiedene Datenschutz-Schulungen, die Ihnen und Ihren Mitarbeitenden alle wichtigen Grundlagen der in Europa geltenden DSGVO näher bringen. So dass Ihr Unternehmen, vor allem in Bezug auf den korrekten Umgang mit personenbezogenen Daten, kein Risiko eingeht.

E-Learning mit lawpilots

Quellen:

BfDI (2021). Praktische Auswirkungen der Rechtsprechung des EuGH auf den internationalen Datentransfer (Rechtssache C-311/18 „Schrems II“). Verfügbar unter https://www.bfdi.bund.de/DE/Europa_International/International/Artikel/Auswirkungen-Schrems-II-Urteil.html

DSGVO (2021). Datenschutz-Grundverordnung. Verfügbar unter https://dsgvo-gesetz.de

EU (2018). Fragen und Antworten zum Angemessenheitsbeschluss in Bezug auf Japan. https://ec.europa.eu/commission/presscorner/detail/de/MEMO_18_4503

Heidrich, J. (2021). In letzter Minute. In c’t Heft 3/2021, S. 26-27

Herwartz, C. (2021). EU-Kommission: Europäische Kundendaten in Großbritannien gut aufgehoben. https://www.handelsblatt.com/politik/deutschland/brexit-eu-kommission-europaeische-kundendaten-in-grossbritannien-gut-aufgehoben/27371330.html?ticket=ST-2319872-vVdE1htd7eJ5QJweZt70-ap5

It-daily.net (2021). Daten zwischen EU und UK können ungehindert fließen. https://www.it-daily.net/shortnews/29369-einigung-zwischen-eu-und-uk-daten-koennen-ungehindert-fliessen

Neufeld, T. (2021). Datenschutz nach dem Brexit. Viel Übergang, wenig Sicherheit. Verfügbar unterhttps://www.lto.de/recht/kanzleien-unternehmen/k/brexit-pakt-datenschutz-regelung-grossbritannien-europaeische-union-uebergang/

14. April 2021
Update Datenschutz: Facebook und Apple im Streit um unsere Daten
26. März 2021
Das Backup – mehr als nur eine Datensicherung
lawpilots GmbH Recht. Einfach. Verstehen. lawpilots bietet innovative & praxisnahe E-Learnings Anonym hat 4,66 von 5 Sternen 1381 Bewertungen auf ProvenExpert.com