Seit Ende Januar 2020 ist das Vereinigte Königreich, d. h. Großbritannien und Nordirland, kein EU-Mitglied mehr. Zwischen der Europäischen Union und dem Vereinigten Königreich war eine Übergangsvereinbarung getroffen worden.
Im aktuellen Entwurf des Brexit-Abkommens (Stand: 31.12.2020) ist eine viermonatige Übergangsfrist ab dem 1. Januar 2021 enthalten. So ist eine Übergangsregelung für Datenübermittlungen vorgesehen, die den befürchteten gravierenden Rechtsunsicherheiten vorbeugt (Article 10A Interim provision for transmission of personal data to the United Kingdom).
Demnach sollen Übermittlungen personenbezogener Daten von der EU in das Vereinigte Königreich (also Großbritannien und Nordirland) für eine Übergangsperiode nicht als Übermittlungen in ein Drittland (Art. 44 DSGVO) angesehen werden. Diese Periode beginnt mit dem In-Kraft-Treten des Abkommens und endet, wenn die EU-Kommission einen das Vereinigte Königreich betreffenden Angemessenheitsbeschluss getroffen hat, spätestens jedoch nach vier Monaten. Dieses Enddatum kann um zwei Monate verlängert werden, falls keine der beteiligten Parteien widerspricht.
Damit sind Übermittlungen in das Vereinigte Königreich vorerst weiterhin unter den bisherigen Voraussetzungen möglich. Gravierende Erschwernisse für die betroffenen Unternehmen werden so zunächst vermieden. Allerdings ist jetzt die EU-Kommission in der Pflicht, tragfähige Adäquanzentscheidungen vorzulegen, die auch die aktuelle Rechtsprechung des Europäischen Gerichtshofs berücksichtigen und von den Mitgliedstaaten genauso wie vom Europäischen Datenschutzausschuss sorgfältig zu prüfen sein werden.
Langfristig streben die Europäische Union und das Vereinigte Königreich einen Angemessenheitsbeschluss an, welcher das Niveau des Datenschutzes auch bei Drittlandtransfer in das Vereinigte Königreich gewährleisten würde. Einen derartigen Beschluss zu fassen, ist ein längerer Prozess, doch ist zu hoffen, dass dieser rechtzeitig gefasst wird.
Empfehlung: Wir empfehlen, den Prozess weiterhin zu beobachten und sich ggf. auf einen „Nicht-Angemessenheitsbeschluss“ vorzubereiten. Wir werden Sie über unseren Info-Brief „UIMCommunication“ weiter informieren.
Hintergrund: Datentransfer ins Ausland
Für die Übermittlung personenbezogener Daten an Stellen innerhalb der EU oder EWR sowie in Länder mit Angemessenheitsbeschluss (siehe oben) gelten die gleichen Regelungen wie bei einer Übermittlung innerhalb Deutschlands, da hierbei ein angemessenes Datenschutzniveau unterstellt wird. Dies kann auch wie folgt herbeigeführt werden:
» Standarddatenschutzklauseln der EU-Kommission
» Standarddatenschutzklauseln der Aufsichtsbehörden
» Verbindliche interne Datenschutzvorschriften [Binding Corporate Rules / BCR]
Näheres finden Sie unter www.uimc.de/drittlandtransfer.