INFORMATIONEN

Was wird mit dem Austritt des Vereinigten Königreichs aus der EU in Bezug auf den Datenschutz geschehen?

Der Austritt des Vereinigten Königreichs aus der EU wirft eine Reihe von Fragen auf. Die Frage des Brexit und des Datenschutzes sollte näher untersucht werden, denn sie wirft einige interessante Fakten auf.

Aus europäischer Sicht stellen sich nun viele Fragen: Worauf müssen sich Unternehmen einstellen? Ist es noch möglich, Daten in das Vereinigte Königreich zu übertragen? Wie sieht es mit dem Datenschutz und dem Austritt des Vereinigten Königreichs aus der EU aus?

Was hat der Brexit mit dem Datenschutz und der Datenschutz-Grundverordnung zu tun?

Die Zeit war gekommen: Der Brexit wurde Ende letzten Jahres formell vollzogen. Seitdem unterliegen britische für die Verarbeitung Verantwortliche und Auftragsverarbeiter dem Data Protection Act 2018 (AVV 2018) und der UK-DSGVO, die die meisten Bestimmungen der europäischen Datenschutzgrundverordnung (DSGVO) übernommen hat.

Aus europäischer Sicht stellt sich heute die Frage: Worauf müssen sich Unternehmen einstellen? Ist es noch möglich, Daten in das Vereinigte Königreich zu übertragen?

Ja, zumindest bis auf Weiteres. Am 24. Dezember 2020, gerade noch rechtzeitig vor den Feiertagen, wurde in Brüssel eine Einigung über ein Handels- und Kooperationsabkommen erzielt, das Gesetze zur Datenübermittlung zwischen der Europäischen Union und dem Vereinigten Königreich enthält. Am Ende wurde ein „harter“ Brexit im Hinblick auf den Datenschutz verschoben.

Die gute Nachricht ist, dass die EU-Kommission nun mehr Zeit hat, um über eine angemessene Entscheidung nachzudenken. Es besteht also noch Hoffnung auf einen reibungslosen Datentransfer von europäischen Unternehmen in das Vereinigte Königreich.

Ein sicheres Drittland – das Handels- und Kooperationsabkommen – wird nur für eine begrenzte Zeit zur Verfügung stehen. Dürfen also personenbezogene Daten auf unbestimmte Zeit in das Vereinigte Königreich übermittelt werden? Die Übermittlung personenbezogener Daten zwischen europäischen und britischen Unternehmen gilt nach dem Handels- und Kooperationsabkommen zwischen der Europäischen Union und dem Vereinigten Königreich nicht als Übermittlung an einen Drittstaat. Die Bestimmungen von Kapitel 5 der Datenschutz-Grundverordnung wurden aufgrund dieser Überbrückungszeit (Bridge“) noch nicht geprüft. Das Abkommen setzt voraus, dass die derzeitige Datenschutzregelung des Vereinigten Königreichs unverändert bleibt. Die Überbrückungsfrist gilt nun für vier Monate und kann um zwei weitere Monate verlängert werden. Infolgedessen kann die Europäische Kommission bis zum 30. Juni 2021 eine Angemessenheitsentscheidung nach Artikel 45 DSGVO überprüfen.

Fakten zur Datenübermittlung und zu Angemessenheitsentscheidungen nach dem Brexit und der DSGVO

Eines ist sicher: Datenübermittlungen zwischen dem Vereinigten Königreich und dem Europäischen Wirtschaftsraum (EWR) sind legal. Das ehemalige EU-Mitgliedsland will den hohen Datenschutzstandard der DSGVO beibehalten, so die britische Aufsichtsbehörde, das Information Commissioner’s Office (ICO).

Infolgedessen sind praktisch alle Anforderungen der Datenschutz-Grundverordnung vom Parlament im Vereinigten Königreich verabschiedet worden. Personenbezogene Daten können sicher und ohne Einhaltung zusätzlicher Verfahren zwischen der Europäischen Union und den Britischen Inseln ausgetauscht werden, wenn man sich in Brüssel darauf geeinigt hat, dass das Vereinigte Königreich nach wie vor als sicheres Drittland betrachtet werden sollte.

Es ist jedoch noch nichts entschieden: Wenn die Angemessenheit für die Britischen Inseln nicht festgestellt wird, gelten die strengen Garantien der Datenschutz-Grundverordnung für die Übermittlung personenbezogener Daten ins Ausland. Wenn ein europäisches Unternehmen Daten in ein Drittland übertragen möchte, ohne dass die Angemessenheit festgestellt wurde, muss es angemessene Garantien bieten.

Interne Datenschutzvorschriften, Standarddatenschutzbestimmungen oder von einer Aufsichtsbehörde zertifizierte Vertragsklauseln sind Beispiele hierfür. Die Datenübermittlung kann unter außergewöhnlichen Umständen gemäß der Ausnahmeregelung in Artikel 49 DSGVO zulässig sein. Der Europäische Datenschutzausschuss (EDPB) schlägt vor, dass die strenge Anforderung, die in erster Linie für einzelne Situationen gedacht war, nur unter bestimmten Umständen angewandt werden sollte.

Um ein angemessenes Maß an Datenschutz in den Vereinigten Staaten zu erreichen, sind möglicherweise eine andere Risikobewertung und zusätzliche Verfahren erforderlich. Falls keine Angemessenheitsentscheidung ergeht, rät das ICO britischen Unternehmen, vor dem 30. April 2021 Präventivmaßnahmen zu ergreifen.

Datenübertragungs- und Datenschutzvereinbarungen mit dem Vereinigten Königreich

Sowohl die britische Datenschutz-Grundverordnung als auch die DSGVO 2018 müssen von britischen Unternehmen befolgt werden, die Daten von Kunden aus der Europäischen Union verarbeiten. Darüber hinaus rät der EDPB, in Übereinstimmung mit Artikel 27 DSGVO einen europäischen Vertreter zu ernennen. Aufsichtsbehörden und betroffene Personen können sich an den Vertreter wenden, um die Einhaltung der DSGVO durchzusetzen.

Das ICO rät britischen Unternehmen außerdem, eine Bestandsaufnahme vorzunehmen, um Daten zu ermitteln, die vor dem Ende der Übergangszeit aus dem Ausland gesammelt wurden (sogenannte „Altdaten“). Die DSGVO in ihrer am 31. Dezember 2020 aktualisierten Fassung gilt für Daten, die vor dem 1. Januar 2021 verarbeitet werden (die sogenannte „eingefrorene DSGVO“).

Um zu überprüfen, ob ihre Verarbeitung mit den einschlägigen Vorschriften übereinstimmt, sollten Organisationen feststellen, wann personenbezogene Daten erhoben wurden und wo die betroffene Person am 31. Dezember 2020 lebte.

Wenn kein Angemessenheitsbeschluss ergeht, müssen europäische Unternehmen, die mit für die Verarbeitung Verantwortlichen und Auftragsverarbeitern im Vereinigten Königreich zusammenarbeiten, Vorkehrungen treffen. Personenbezogene Daten können weiterhin in das Vereinigte Königreich übermittelt werden, aber es ist die beste Praxis, bei den Schutzmaßnahmen zusammenzuarbeiten, um sicherzustellen, dass die Daten weiterhin in das Vereinigte Königreich fließen können. Dies gilt sowohl für Auftragsverarbeiter als auch für die für die Verarbeitung Verantwortlichen.

Neben der Auswahl geeigneter Schutzverfahren sollte in der Datenschutzerklärung individuell auf die Datenübermittlung in ein Drittland hingewiesen werden. Es ist auch eine gute Idee, das Verarbeitungsverzeichnis zu ändern.

Es hat sich also vorerst nichts geändert – eine unerwartete Tatsache. Wir freuen uns auf die kommenden Monate, die uns im Bereich des Datenschutzes auf Trab halten werden.

DSGVO: Wie Sie der Erfassung Ihrer persönlichen Daten zustimmen

14/05/2021 Keine Kommentare

Unternehmen, die Ihre personenbezogenen Daten verarbeiten, tun dies auch, weil sie Ihre Erlaubnis dazu haben. Bisher war es egal, wie sie die Daten von Ihnen

mehr »

Wie definiert man eine Datenschutz-Folgenabschätzung (DFA)?

13/01/2021 Keine Kommentare

Datenschutz-Folgenabschätzungen dienen dazu, alle datenschutzrelevanten Risiken zu definieren und zu minimieren, die sich aus einer geplanten Initiative ergeben, die das Unternehmen oder die Kunden betreffen

mehr »

Welche Auswirkungen hat die DSGVO auf die Cookies-Politik?

25/11/2022 Keine Kommentare

Wenn Sie im Internet surfen, speichert Ihr Browser Dateien auf Ihrem Computer, die aus Text bestehen. Diese Dateien werden vom Server der von Ihnen besuchten

mehr »

Cookie	Dauer	Beschreibung
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

INFORMATIONEN

Was wird mit dem Austritt des Vereinigten Königreichs aus der EU in Bezug auf den Datenschutz geschehen?

Was hat der Brexit mit dem Datenschutz und der Datenschutz-Grundverordnung zu tun?

Aus europäischer Sicht stellt sich heute die Frage: Worauf müssen sich Unternehmen einstellen? Ist es noch möglich, Daten in das Vereinigte Königreich zu übertragen?

Fakten zur Datenübermittlung und zu Angemessenheitsentscheidungen nach dem Brexit und der DSGVO

Datenübertragungs- und Datenschutzvereinbarungen mit dem Vereinigten Königreich

DSGVO: Wie Sie der Erfassung Ihrer persönlichen Daten zustimmen

Wie definiert man eine Datenschutz-Folgenabschätzung (DFA)?

Welche Auswirkungen hat die DSGVO auf die Cookies-Politik?

Cookie and External Connections Consent / Einwilligung in Cookies und externe Verbindungen