Ihre
Suche

    07.07.2020

    Brexit und Datenschutz: Datentransfers absichern!


    Die Übergangsphase für den Austritt Großbritanniens aus der Europäischen Union wird nicht verlängert und endet damit am 31. Dezember 2020. Von der nach dem Austrittsabkommen möglichen einvernehmlichen Verlängerung der Übergangsphase wurde kein Gebrauch gemacht. Wir gehen davon aus, dass bis zum 31. Dezember 2020 auch kein oder nur ein sehr eingeschränktes Freihandelsabkommen vorliegen wird ‑ damit würde es zu einem „No Deal Brexit“ kommen.

     

    Europäische und britische Unternehmen aller Branchen und Größenordnungen werden vor große Herausforderungen gestellt. Im datenschutzrechtlichen Bereich müssen Unternehmen zügig Vorkehrungen treffen, damit auch nach dem Ende der Übergangsphase ab dem 1. Januar 2021 Datentransfers zwischen der EU und Großbritannien möglich bleiben.

     

    Die britische Sicht auf den Datentransfer

     

    Mit dem 31. Dezember 2020 wird das EU-Recht (mit einigen Ausnahmen) vollständig in das nationale britische Recht übernommen. Dies gilt auch für die DSGVO, die unter Ausschluss einiger Artikel zur Zusammenarbeit mit anderen europäischen Behörden und unter Anpassung zur britischen Situation wortwörtlich ins nationale Recht übernommen wird („UK-GDPR“). Vorerst sind daher keine inhaltlichen Änderungen im Datenschutzrecht ersichtlich.

     

    Die EU-Sicht auf den Datentransfer

     

    Allerdings ist Großbritannien ab 31. Dezember 2020 aus europäischer Sicht als Drittland zu behandeln. Danach dürfen personenbezogene Daten nach Großbritannien nur dann übermittelt werden, wenn für die Übermittlung ein angemessenes Datenschutzniveau sichergestellt ist, wie in den Artikeln 44 ff. DSGVO festgelegt ist. Grundsätzlich wird von den Beteiligten ein „Angemessenheitsbeschluss“ angestrebt, der Datenübermittlungen aus der EU an Großbritannien nach Maßgabe der Art. 45 DSGVO grundsätzlich erlauben würde. Die Fassung eines solchen Angemessenheitsbeschlusses vorm Ende der Übergangsphase ist jedoch keineswegs gewiss. Zum einen stehen andere Länder (z.B. Südkorea) seit langem an, die mit einer zeitlichen Bevorzugung Großbritanniens höchst unzufrieden wären. Zum anderen besteht trotz fast identischer datenschutzrechtlicher Rechtslage die realistische Möglichkeit, dass ein Angemessenheitsbeschluss (zumindest vorübergehend) nicht kommt. Die weitreichenden Überwachungsgesetze – insbesondere das Investigatory Powers Act 2016 – und die großen Befugnisse der Geheimdienste in Großbritannien sorgen für erhebliche Bedenken für den entsprechenden Angemessenheitsbeschluss.

     

    Handlungsbedarf: Datentransfer absichern und notwendige Anpassungen vornehmen

     

    Aus diesem Grund sollten sich Verantwortliche innerhalb der EU auf den Brexit ohne schnellen Angemessenheitsbeschluss vorbereiten. Sie sollten sicherstellen, dass Datenübermittlungen nur mit geeigneten Garantien erfolgen. Soweit bis Ende des Jahres kein Angemessenheitsbeschluss vorliegt, empfiehlt sich für den Datentransfer über den Kanal der Abschluss der von der EU-Kommission veröffentlichten Standardvertragsklauseln mit den Datenempfängern in Großbritannien.

     

    Darüber hinaus besteht zusätzlich Anpassungsbedarf sowohl bei den Dokumentationspflichten (z.B. Aktualisierung der Datenschutzerklärung und des Verzeichnisses von Verarbeitungstätigkeiten) als auch bei internen Organisationsfragen (z.B. doppelte Meldung von Datenschutzvorfällen, soweit europäische und britische Betroffene davon betroffen werden).

     

    Verantwortliche sollten sich mit der Umsetzung dieser Maßnahmen bald befassen, um diese noch vor Jahreswechsel umzusetzen. Ab Anfang nächsten Jahres drohen aufsichtsrechtliche Maßnahmen.

     

    Dr. Axel von Walter

     

    Best Law Firms – Germany 2025: ADVANT Beit…
    München, 30. September 2024 – Für die besten deutschen Wirtschaftskanzleien in D…
    Weiterlesen
    Was dürfen Smart-Meter? Datenschutzkonfere…
    Die Digitalisierung schreitet auch im Bereich der Energie- und Wasserwirtschaft …
    Weiterlesen
    Leitfaden für öffentlich-rechtliche Einric…
    Das Auskunftsrecht nach Art. 15 DSGVO ist in der Praxis ohne Zweifel das am meis…
    Weiterlesen
    Einwilligungsverwaltungsverordnung – Cooki…
    Laut einer aktuellen Studie des Bitkom sind 76 % der Internetnutzer von Cookie-B…
    Weiterlesen
    ADVANT Beiten berät die Gesellschafter der…
    Freiburg, 5. August 2024 – Die internationale Wirtschaftskanzlei ADVANT Beiten h…
    Weiterlesen
    KI im Social-Media-Marketing: Chancen und …
    Unsere Experten Dr. Holger Weimann und Dr. Birgit Münchbach beschreiben die wach…
    Weiterlesen
    Schocktherapie Folge 9: „Als Datenschützer…
    „Als Datenschützer ist man nie wirklich willkommen“ – Datenschutz im Krankenhaus…
    Weiterlesen
    Durchsetzung des Digital Services Act in D…
    Der Digital Services Act (DSA) zielt darauf ab, ein sicheres und transparentes O…
    Weiterlesen
    Handspiel: Was die Fußball-Europameisterschaft mit dem EU-Datenrecht zu tun hat
    Während das Land noch diskutiert, ob die Entscheidung von Schiedsrichter Taylor richtig war, Deutschland den Hand-Elfmeter zu verweigern, machen wir uns dazu ganz unaufgeregt ein paar Gedanken aus Sicht de…
    Weiterlesen