Datentransfer mit Großbritannien nach Brexit

Ende des Jahres 2020 wurde der Brexit vollzogen. Damit ist Großbritannien aus der Europäischen Union ausgetreten und nicht länger Mitgliedstaat der EU. Datenschutzrechtlich galt eine Übergangsfrist bis zum 1. Juli 2021. Erst ab diesem Zeitpunkt ist Großbritannien auch im Hinblick auf die DSGVO nicht mehr als EU-Mitgliedstaat anzusehen.

Wie geht es nun weiter?

Großbritannien wollte sich von der EU lösen und gilt damit nun nach Vollzug als Drittland. Im Rahmen der DSGVO hat dies allerdings erhebliche Folgen. Will ein EU-Unternehmen personenbezogene Daten an Personen/Unternehmen in Drittstaaten übermitteln, so gilt neben den Rechtmäßigkeitsanforderungen für innereuropäischen Datentransfer zusätzlich Kapitel V der DSGVO, Art. 44 ff. Es wird eine zusätzliche Legitimation benötigt, damit ein Datentransfer rechtssicher und zulässig erfolgen kann. Betroffen hiervon sind letztendlich alle Unternehmen, Vereine, öffentlichen und nicht öffentlichen Stellen, die personenbezogene Daten nach Großbritannien transferieren.

Mit Art. 45 DSGVO besteht die Möglichkeit eines Angemessenheitsbeschlusses durch die EU, der den Datentransfer mit Drittländern sodann erheblich vereinfacht, da dieser eine legitimierende Wirkung entfaltet.

Am 28. Juni 2021 wurde von der EU, nach vorherigem Scheitern, ein Angemessenheitsbeschluss gebilligt. Daraus folgt, dass Großbritannien ab sofort datenschutzrechtlich weitestgehend als „sicheres Drittland“ einzustufen ist. Es ändert sich für den wechselseitigen Datenaustausch wenig, der Datentransfer ist weiterhin zulässig. Die Rechtsunsicherheiten, die mit dem Brexit betreffend das Datenschutzrecht einhergehen, wurden damit in letzter Sekunde weitestgehend beseitigt.

Vorsicht: Ausnahmen bestätigen die Regel

Im Rahmen des Angemessenheitsbeschlusses wurde die Datenverarbeitung zum Zwecke der Einwanderungskontrolle ausgeklammert. Grund dafür ist, dass aus Sicht der EU die UK-Gesetze Betroffenenrechte unbillig beschneiden. Aus dieser Ausklammerung folgt, dass die Datenübermittlungen in diesem Rahmen nicht von der legitimierenden Wirkung des Beschlusses umfasst sind. Bei personenbezogenen Daten, die zum Zwecke der Einwanderungskontrolle verarbeitet werden, müssen eigenständig geeignete Garantien i. S. v. Art. 46 DSGVO implementiert werden, damit diese Datenübermittlung zulässig ist.

Ausblick

Der am 28. Juni 2021 beschlossene Angemessenheitsbeschluss behält seine Gültigkeit vorerst bis zum 27. Juni 2025. Zum Ablauf dieses Zeitraums muss von der EU-Kommission erneut geprüft werden, ob die Angemessenheit des UK-Datenschutzniveaus auch weiterhin gewährleistet ist. Sollte mit Ablauf dieser Frist kein erneuter Angemessenheitsbeschluss i. S. v. Art. 45 DSGVO gefasst werden, so gilt Großbritannien ab diesem Zeitpunkt als Drittstaat – dies hätte wiederum erhebliche Folgen für den Datentransfer. Es bleibt zu hoffen, dass auch nach Ablauf des 27. Juni 2025 ein weiterer Angemessenheitsbeschluss gebilligt wird.

Haben Sie noch Fragen oder weiteren Informationsbedarf im Hinblick auf Datentransfer mit Drittländern?

Sprechen Sie uns an