Datentransfer in die UK nach dem Brexit – Was Sie wissen sollten

PrintMailRate-it

​veröffentlicht am 21. Januar 2021 | von Bastian Schönnenbeck

 

Seit dem 31. Januar 2020 ist das Vereinte Königreich Großbritannien und Nordirland aus der Europäischen Union ausgetreten. Die britische Regierung hatte auf der Grundlage des am 23. Juni 2016 durchgeführten Referendums am 29. März 2017 den Europäischen Rat von seiner Absicht unterrichtet, aus der EU auszutreten. Damit wurde offiziell das Verfahren nach Art. 50 des Vertrags über die Europäische Union eingeleitet. Im Rahmen des Austrittsabkommens zwischen der EU und dem Vereinigten Königreich wurde eine Übergangsfrist vereinbart, nach welcher die Europäische Rechtslage – einschließlich des geltenden Datenschutzrechts (Datenschutz-Grundverordnung – DSGVO) – für das Vereinigte Königreich zunächst weiterhin galt. Diese Übergangsfrist endete am 31. Dezember 2020. Wie geht es nun weiter? 
 

Datentransfer in die UK – Wer ist überhaupt betroffen?

Betroffen sind alle öffentlichen und nicht-öffentlichen Stellen, die personenbezogene Daten in das Vereinigte Königreich transferieren. Dies sind mitnichten nur Behörden oder Konzerne, sondern auch Kleinbetrieb, Mittelständler, Bildungseinrichtungen oder Vereine welche einen Datenaustausch (z.B. Name, Anschrift, Geburtsdatum, Konfessionszugehörigkeit, Bankdaten) durchführen. Dabei sind sowohl die Daten von Externen (Kunden, Vertragspartnern etc.) als auch von Internen (Mitarbeitern, Mitgliedern etc.) betroffen.

 

Ähnlich den Auswirkungen des Privacy Shield Urteils, gelten die Rechtsauswirkungen selbstverständlich auch für genutzte IT-Services oder Cloud-Lösungen, welche bei der Nutzung personenbezogenen Daten in das Vereinte Königreich übermitteln. Auch Auftragsdatenverarbeitungen, bei welchen ein europäisches Unternehmen für einen Verantwortlichen im Vereinten Königreich (und andersherum) Daten im Auftrag verarbeitet, sind betroffen. 


Verlängerte Übergangsfrist ab dem 01.01.2021

Gemäß Art. FINPROV 10A des Brexit-Abkommens vom 31.12.2021 gilt Großbritannien für einen Zeitraum von 4 Monaten ab dem 01.01.2021 erneut noch nicht als Drittland im Sinne der DSGVO. Datenübermittlungen in das Vereinigte Königreich sind demnach weiterhin ohne besondere Vorkehrungen treffen zu müssen möglich. Dieser Übergangszeitraum kann noch einmal um 2 Monate verlängert werden. Die Übergangsfrist wurde aufgrund der befürchteten Rechtsunsicherheit bei Datentransfers zwischen Europäischer Union und dem Vereinten Königreich vereinbart und soll der EU-Kommission genügend Zeit geben, eine Adäquanzentscheidung für Großbritannien zu treffen.

 

Ziel dieser Entscheidung wird es sein, dem Vereinten Königreich ein mit der EU vergleichbares Datenschutzniveau attestieren zu können sowie eine rechtlich belastbare Grundlage für ebensolche Datenströme auszurufen. 
 

Was passiert nach dem Ablauf der Überbrückungsperiode?

Es ist davon auszugehen, dass die Europäische Kommission einen sogenannten Angemessenheitsbeschluss nach Art. 45 DSGVO für das Vereinte Königreich attestieren wird. Sollte dies so passieren, wird sich für den wechselseitigen Datenaustausch wenig ändern, der Datentransfer ist zulässig. Liegt nach der Überbrückungsperiode jedoch kein Angemessenheitsbeschluss vor, muss auf alternative Maßnahmen der DSGVO zurückgegriffen werden, denn dann wäre das Vereinte Königreich als Drittland zu betrachten.


Dann gelten die Bestimmungen zur Übermittlung personenbezogener Daten in ein Drittland 

Um die Datenübermittlung in ein Drittland ohne Angemessenheitsbeschluss der Europäischen Kommission rechtskonform zu gestalten, hat die Rheinland-Pfälzische Datenschutzaufsicht eine geeignete Grafik zur Selbstkontrolle entwickelt:

 

 Grafik Erläuterungen zum jeweiligen Prüfschritt

 

Quelle: Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz

 

Aus dem Newsletter

Kontakt

Contact Person Picture

Hannes Hahn

CISA - CSP - DSB, IT-Auditor IDW

Partner, Rödl IT Secure GmbH

+49 221 9499 092 00

Anfrage senden

Contact Person Picture

Falk Hofmann

ISO/IEC27001/KRITIS -Auditor

Partner

+49 30 810 795 84

Anfrage senden

Wir beraten Sie gern!

Digital GRC
Befehle des Menübands überspringen
Zum Hauptinhalt wechseln
Deutschland Weltweit Search Menu