News

Kategorie: Datenschutz

Der Brexit ist durch, was heißt das für Datenverarbeitung mit UK-Unternehmen?

Zum 24. Dezember 2020 gab es dann endlich die Nachricht, auf die so viele gewartet haben.

Die EU und Großbritannien einigen sich auf Handelsabkommen

In den Verhandlungen um die künftigen Beziehungen zwischen der EU und Großbritannien und Nordirland ist es zu einem Durchbruch gekommen. Der Deal trat am 1. Januar 2021 in Kraft. Viele Regelungen wurden mit diesem „Deal“ beschlossen und auch Regelungen zum Datenschutz wurden getroffen.
Damit Sie aber nicht das ganze Dokument lesen müssen, erläutern wir in dieser Aktuellen Information die Inhalte zum Datenschutz

Vereinigtes Königreich ist fortan ein Drittland

Da bis zum 31.12.2020 trotz Brexit alle Regelungen fortgalten, war das Vereinigte Königreich weiterhin trotz Brexit Mitglied der EU. Dies änderte sich aber zum 01.01.2021 und somit das Vereinigte Königreich nach europäischem Datenschutzrecht ein Drittland.

Somit müssten die Anforderungen für Datenübermittelungen in Drittländer eingehalten werden, wenn personenbezogene Daten an ein Unternehmen in den Vereinigte Königreich übermittelt werden. Dies ist auch der Fall, wenn z.B. Niederlassungen, die im Vereinigte Königreich sitzen, Zugriff auf Daten in Europa bekommen.

Dies betrifft viele Unternehmen und daher ist der Article 10A Interim provision for transmission of personal data to the United Kingdom, S. 406 ff. sehr erfreulich.

Sonderreglung für Datenübermittelungen bis 01.04.2021 beziehungsweise 01.06.2021

In den Schlussbestimmungen des Entwurfs eines Handels- und Zusammenarbeitsabkommens zwischen dem Vereinigten Königreich und der Europäischen Union gibt es eine neue Übergangsregelung, die für Datenübermittlungen vorgesehen ist, die den bisher befürchteten gravierenden Rechtsunsicherheiten vorbeugt.

Danach sollen Übermittlungen personenbezogener Daten von der EU in das Vereinigte Königreich Großbritannien und Nordirland für eine Übergangsperiode nicht als Übermittlungen in ein Drittland (Art. 44 DSGVO) angesehen werden. Diese Periode beginnt mit dem In-Kraft-Treten des Abkommens und endet, wenn die EU-Kommission das Vereinigte Königreich betreffende Adäquanzentscheidungen nach Art. 45 Abs. 3 DSGVO und Art. 36 Abs. 3 Richtlinie (EU) 2016/680 getroffen hat, spätestens jedoch nach vier Monaten. Dieses Enddatum kann um zwei Monate verlängert werden, falls keine der beteiligten Parteien widerspricht.

Damit sind Übermittlungen in das Vereinigte Königreich vorerst weiterhin unter den bisherigen Voraussetzungen möglich. Gravierende Erschwernisse für die betroffenen Unternehmen werden so zunächst vermieden. Allerdings ist jetzt die EU-Kommission in der Pflicht, tragfähige Adäquanzentscheidungen vorzulegen, die auch die aktuelle Rechtsprechung des Europäischen Gerichtshofs berücksichtigen und von den Mitgliedstaaten genauso wie vom Europäischen Datenschutzausschuss sorgfältig zu prüfen sein werden.

 

Welche Möglichkeiten gibt es nach dem 01.06.2021?

Wie es sich in dem Abkommen lesen lässt, erwartet die EU eine Einigung zwischen beiden Parteien. Ein ungeregelter Übergang zu einem Drittland ist nicht geplant/gewünscht. Somit wird gehofft, dass die EU-Kommission nach dem 01.04 oder 01.06.2021 einen Angemessenheitsbeschluss für das Vereinigte Königreich erlassen kann gem. Art. 45 DSGVO.

Somit wären Unternehmen viele Hürden genommen, da eine Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation vorgenommen werden darf, wenn die Kommission beschlossen hat, dass das betreffende Drittland, ein Gebiet oder ein oder mehrere spezifische Sektoren in diesem Drittland oder die betreffende internationale Organisation ein angemessenes Schutzniveau bietet. Eine solche Datenübermittlungen bedarf keiner besonderen Genehmigung.

 

Datenübermittelung nach dem 01.06.2021 ohne Angemessenheitsbeschluss

Kommt es zu keinem Angemessenheitsbeschluss, weil z.B. kein adäquates Datenschutzgesetz im Vereinigten Königreich erlassen wird, oder andere Gegebenheiten dies nicht zulassen würden, müssten Unternehmen sich auf viel Aufwand einstellen.
Demnach müssten alle Übermittlungen nach Art. 46 ff. DSGVO im Einzelfall geprüft werden und Regelungen wie z.B. Standarddatenschutzklauseln geschlossen werden. Da diese seit dem Schrems-II Urteil in der Kritik sind, wäre auch dies kein sonderlich sicheres und auf lange Zeit gebautes Fundament.

 

Hoffen auf gute Vorsätze für das neue Jahr

Somit ist zu hoffen, dass beide Parteien sich einen Vorsatz für das neue Jahr vorgenommen haben, der lauten könnte: „Nicht immer alles auf den letzten Drücker erledigen“. Dann könnte die EU-Kommission für das Vereinigte Königreich einen Angemessenheitsbeschluss erlassen (wenn rechtlich möglich) und dies nicht wieder in der letzten Woche. Wir Berater und die Unternehmen würden danken.

Haben Sie weitere Fragen zu diesem Thema haben, zögern Sie nicht Ihren Berater zu kontaktieren.

 

Nutzen Sie unsere Tipps als Aushang für Ihre Mitarbeiter

Gerne Teilen wir unser Wissen mit Ihnen und bieten Ihnen unsere Informationen als Download