INFORMATIONEN

Was wird mit dem Austritt des Vereinigten Königreichs aus der EU in Bezug auf den Datenschutz geschehen?

Der Austritt des Vereinigten Königreichs aus der EU wirft eine Reihe von Fragen auf. Die Frage des Brexit und des Datenschutzes sollte näher untersucht werden, denn sie wirft einige interessante Fakten auf.

Aus europäischer Sicht stellen sich nun viele Fragen: Worauf müssen sich Unternehmen einstellen? Ist es noch möglich, Daten in das Vereinigte Königreich zu übertragen? Wie sieht es mit dem Datenschutz und dem Austritt des Vereinigten Königreichs aus der EU aus?

Was hat der Brexit mit dem Datenschutz und der Datenschutz-Grundverordnung zu tun?

Die Zeit war gekommen: Der Brexit wurde Ende letzten Jahres formell vollzogen. Seitdem unterliegen britische für die Verarbeitung Verantwortliche und Auftragsverarbeiter dem Data Protection Act 2018 (AVV 2018) und der UK-DSGVO, die die meisten Bestimmungen der europäischen Datenschutzgrundverordnung (DSGVO) übernommen hat.

Aus europäischer Sicht stellt sich heute die Frage: Worauf müssen sich Unternehmen einstellen? Ist es noch möglich, Daten in das Vereinigte Königreich zu übertragen?

Ja, zumindest bis auf Weiteres. Am 24. Dezember 2020, gerade noch rechtzeitig vor den Feiertagen, wurde in Brüssel eine Einigung über ein Handels- und Kooperationsabkommen erzielt, das Gesetze zur Datenübermittlung zwischen der Europäischen Union und dem Vereinigten Königreich enthält. Am Ende wurde ein „harter“ Brexit im Hinblick auf den Datenschutz verschoben.

Die gute Nachricht ist, dass die EU-Kommission nun mehr Zeit hat, um über eine angemessene Entscheidung nachzudenken. Es besteht also noch Hoffnung auf einen reibungslosen Datentransfer von europäischen Unternehmen in das Vereinigte Königreich.

Ein sicheres Drittland – das Handels- und Kooperationsabkommen – wird nur für eine begrenzte Zeit zur Verfügung stehen. Dürfen also personenbezogene Daten auf unbestimmte Zeit in das Vereinigte Königreich übermittelt werden? Die Übermittlung personenbezogener Daten zwischen europäischen und britischen Unternehmen gilt nach dem Handels- und Kooperationsabkommen zwischen der Europäischen Union und dem Vereinigten Königreich nicht als Übermittlung an einen Drittstaat. Die Bestimmungen von Kapitel 5 der Datenschutz-Grundverordnung wurden aufgrund dieser Überbrückungszeit (Bridge“) noch nicht geprüft. Das Abkommen setzt voraus, dass die derzeitige Datenschutzregelung des Vereinigten Königreichs unverändert bleibt. Die Überbrückungsfrist gilt nun für vier Monate und kann um zwei weitere Monate verlängert werden. Infolgedessen kann die Europäische Kommission bis zum 30. Juni 2021 eine Angemessenheitsentscheidung nach Artikel 45 DSGVO überprüfen.

Fakten zur Datenübermittlung und zu Angemessenheitsentscheidungen nach dem Brexit und der DSGVO

Eines ist sicher: Datenübermittlungen zwischen dem Vereinigten Königreich und dem Europäischen Wirtschaftsraum (EWR) sind legal. Das ehemalige EU-Mitgliedsland will den hohen Datenschutzstandard der DSGVO beibehalten, so die britische Aufsichtsbehörde, das Information Commissioner’s Office (ICO).

Infolgedessen sind praktisch alle Anforderungen der Datenschutz-Grundverordnung vom Parlament im Vereinigten Königreich verabschiedet worden. Personenbezogene Daten können sicher und ohne Einhaltung zusätzlicher Verfahren zwischen der Europäischen Union und den Britischen Inseln ausgetauscht werden, wenn man sich in Brüssel darauf geeinigt hat, dass das Vereinigte Königreich nach wie vor als sicheres Drittland betrachtet werden sollte.

Es ist jedoch noch nichts entschieden: Wenn die Angemessenheit für die Britischen Inseln nicht festgestellt wird, gelten die strengen Garantien der Datenschutz-Grundverordnung für die Übermittlung personenbezogener Daten ins Ausland. Wenn ein europäisches Unternehmen Daten in ein Drittland übertragen möchte, ohne dass die Angemessenheit festgestellt wurde, muss es angemessene Garantien bieten.

Interne Datenschutzvorschriften, Standarddatenschutzbestimmungen oder von einer Aufsichtsbehörde zertifizierte Vertragsklauseln sind Beispiele hierfür. Die Datenübermittlung kann unter außergewöhnlichen Umständen gemäß der Ausnahmeregelung in Artikel 49 DSGVO zulässig sein. Der Europäische Datenschutzausschuss (EDPB) schlägt vor, dass die strenge Anforderung, die in erster Linie für einzelne Situationen gedacht war, nur unter bestimmten Umständen angewandt werden sollte.

Um ein angemessenes Maß an Datenschutz in den Vereinigten Staaten zu erreichen, sind möglicherweise eine andere Risikobewertung und zusätzliche Verfahren erforderlich. Falls keine Angemessenheitsentscheidung ergeht, rät das ICO britischen Unternehmen, vor dem 30. April 2021 Präventivmaßnahmen zu ergreifen.

Datenübertragungs- und Datenschutzvereinbarungen mit dem Vereinigten Königreich

Sowohl die britische Datenschutz-Grundverordnung als auch die DSGVO 2018 müssen von britischen Unternehmen befolgt werden, die Daten von Kunden aus der Europäischen Union verarbeiten. Darüber hinaus rät der EDPB, in Übereinstimmung mit Artikel 27 DSGVO einen europäischen Vertreter zu ernennen. Aufsichtsbehörden und betroffene Personen können sich an den Vertreter wenden, um die Einhaltung der DSGVO durchzusetzen.

Das ICO rät britischen Unternehmen außerdem, eine Bestandsaufnahme vorzunehmen, um Daten zu ermitteln, die vor dem Ende der Übergangszeit aus dem Ausland gesammelt wurden (sogenannte „Altdaten“). Die DSGVO in ihrer am 31. Dezember 2020 aktualisierten Fassung gilt für Daten, die vor dem 1. Januar 2021 verarbeitet werden (die sogenannte „eingefrorene DSGVO“).

Um zu überprüfen, ob ihre Verarbeitung mit den einschlägigen Vorschriften übereinstimmt, sollten Organisationen feststellen, wann personenbezogene Daten erhoben wurden und wo die betroffene Person am 31. Dezember 2020 lebte.

Wenn kein Angemessenheitsbeschluss ergeht, müssen europäische Unternehmen, die mit für die Verarbeitung Verantwortlichen und Auftragsverarbeitern im Vereinigten Königreich zusammenarbeiten, Vorkehrungen treffen. Personenbezogene Daten können weiterhin in das Vereinigte Königreich übermittelt werden, aber es ist die beste Praxis, bei den Schutzmaßnahmen zusammenzuarbeiten, um sicherzustellen, dass die Daten weiterhin in das Vereinigte Königreich fließen können. Dies gilt sowohl für Auftragsverarbeiter als auch für die für die Verarbeitung Verantwortlichen.

Neben der Auswahl geeigneter Schutzverfahren sollte in der Datenschutzerklärung individuell auf die Datenübermittlung in ein Drittland hingewiesen werden. Es ist auch eine gute Idee, das Verarbeitungsverzeichnis zu ändern.

Es hat sich also vorerst nichts geändert – eine unerwartete Tatsache. Wir freuen uns auf die kommenden Monate, die uns im Bereich des Datenschutzes auf Trab halten werden.

Entsorgung von Datenträgern und CDs

Die Covid-19-Pandemie offenbart die digitalen Möglichkeiten vieler Unternehmen. Alles geht gleichzeitig online und hinterlässt unnötige Datenträger. Was soll ich damit machen? Sollen CDs weggeworfen werden?

mehr »

Die Verwendung des Datenverarbeitungsregisters

Das in Artikel 30 der Datenschutz-Grundverordnung vorgesehene Verzeichnis der Verarbeitungstätigkeiten ermöglicht es einem Unternehmen, alle Datenverarbeitungsvorgänge eindeutig zu identifizieren. Daher muss jede Organisation in der

mehr »