Datenschutz: Durch Last Minute-Brexit-Deal wird UK (noch) nicht zum Drittland

 

Privilegierter Datentransfer innerhalb der EU

Der Datentransfer innerhalb der EU erfordert (nur) eine Rechtsgrundlage, die Information des Betroffenen und die Aufnahme des Vorgangs ins Verarbeitungsverzeichnis. Als Rechtsgrundlage kommen hier die Einwilligung, die Vertragserfüllung, die Erfüllung rechtlicher Pflichten oder das berechtigte Interesse in Betracht.

Brexit – UK als Drittland

Mit Ablauf des Übergangszeitraums am 31.12.2020 drohte das Vereinigte Königreich (UK) für Datenverantwortliche in der EU zu einem Drittland zu werden. Bei einem Datentransfer in ein Drittland müssen zusätzliche Voraussetzungen erfüllt werden, die ein angemessenes Datenschutzniveau in dem Drittland sicherstellen.

Mit dem Abkommen vom 24.12.2020 konnten die EU und UK dieses Szenario aber (zumindest vorübergehend) verhindern. Ab Seite 406 des Abkommens finden sich Regelungen zum Datentransfer zwischen Mitgliedstaaten der EU und UK. Für einen Zeitraum von weiteren vier Monaten soll UK nicht als Drittland im Sinne der DSGVO gelten, vorausgesetzt, es ändert die eigenen Datenschutzgesetze nicht. Diese Frist wird automatisch um zwei weitere Monate verlängert, wenn weder die EU noch UK einer Verlängerung widersprechen. Innerhalb dieser Frist soll wohl ein Angemessenheitsbeschluss der EU getroffen werden, der UK ein angemessenes Datenschutzniveau bescheinigt.

Angemessenes Datenschutzniveau

Die EU-Kommission kann somit beschließen, dass das Datenschutzniveau in UK angemessen ist, sodass keine weiteren Maßnahmen mehr erfolgen müssen. Von vielen Experten wird jedoch bezweifelt, dass ein solches Abkommen in der vorgesehenen Frist zustande kommen wird.

Standardvertragsklauseln

Wenn kein Angemessenheitsbeschluss getroffen wird, muss der Verantwortliche selbst für ein angemessenes Schutzniveau sorgen. Das kann durch den Abschluss von Standardvertragsklauseln, konzernintern durch „Binding Corporate Rules“ oder durch Einzeleinwilligungen der Betroffenen geschehen.

Im täglichen Verkehr ist die Verwendung der Standardvertragsklauseln empfehlenswert. Beim Datentransfer mit Drittländern, auch mit den USA nach dem Wegfall des EU-US-Privacy-Shield-Abkommens, sind sie schon jetzt vielfach erprobt. Von den vorgegebenen Mustern der EU-Kommission darf nicht abgewichen werden, sodass kein individueller Spielraum bleibt. Zusätzliche Schutzmaßnahmen können aber auch hier notwendig werden, um das Schutzniveau zugunsten des Verantwortlichen zu erhöhen und ausreichend Sicherheit beim Datentransfer in Drittländer zu gewährleisten.

Was ist zu tun?

Die Diskussionen und Entscheidungen der EU und UK sind genau zu beobachten. Das neue Abkommen bietet nur einen kurzen Überbrückungszeitraum. Mit unverzichtbaren Dienstleistern in UK sollte daher der Abschluss von Standardvertragsklauseln in Betracht gezogen werden, um auf ein mögliches Auslaufen des Abkommens ohne Angemessenheitsbeschluss vorbereitet zu sein. In der Praxis dürfte dies vor allem bei IT-Dienstleistern und Rechenzentren in UK sowie beim Datenaustausch im Konzern eine Rolle spielen. Im Einzelfall, vor allem bei besonders sensiblen Daten, können weitere Schutzmaßnahmen erforderlich sein. Gerne unterstützen wir Sie an dieser Stelle. Sprechen Sie uns einfach an.

Dr. Christian Lenz

Rechtsanwalt / Fachanwalt für Steuerrecht / Fachanwalt für Informationstechnologierecht

Zum Profil von Dr. Christian Lenz

Kirsten Garling

Rechtsanwältin

Zum Profil von Kirsten Garling

Alexandra Hecht

Rechtsanwältin, Fachanwältin für Arbeitsrecht

Zum Profil von Alexandra Hecht

René Manz

IT-Prüfer und Berater

Zum Profil von René Manz

Kontakt

Nehmen Sie mit uns Kontakt auf

Mail Kontaktformular Telefon +49 228 81000 0 Newsletter Newsletter
Durch das Laden des YouTube Videos erklären Sie sich damit einverstanden, dass Cookies durch YouTube und Google gesetzt werden, und dadurch Daten an diese Anbieter übermittelt werden. Wir verarbeiten die Daten um die Zugriffe auf unsere YouTube-Videos analysieren zu können oder die Wirksamkeit unserer Werbung und Anzeigen auszuwerten. YouTube und Google verarbeiten die Daten auch zu eigenen Zwecken. Zudem erklären Sie sich auch damit einverstanden, dass Ihre Daten in die USA übermittelt werden, obwohl in den USA das Risiko besteht, dass US-Behörden zu Überwachungszwecken Zugriff auf Ihre Daten erhalten und Ihnen dagegen möglicherweise keine ausreichenden Rechtsschutzmöglichkeiten zustehen. Weitere Informationen finden Sie in unserer Datenschutzerklärung.
YouTube Video laden
Permalink