Datenschutz: Durch Last Minute-Brexit-Deal wird UK (noch) nicht zum Drittland

Privilegierter Datentransfer innerhalb der EU

Der Datentransfer innerhalb der EU erfordert (nur) eine Rechtsgrundlage, die Information des Betroffenen und die Aufnahme des Vorgangs ins Verarbeitungsverzeichnis. Als Rechtsgrundlage kommen hier die Einwilligung, die Vertragserfüllung, die Erfüllung rechtlicher Pflichten oder das berechtigte Interesse in Betracht.

Brexit – UK als Drittland

Mit Ablauf des Übergangszeitraums am 31.12.2020 drohte das Vereinigte Königreich (UK) für Datenverantwortliche in der EU zu einem Drittland zu werden. Bei einem Datentransfer in ein Drittland müssen zusätzliche Voraussetzungen erfüllt werden, die ein angemessenes Datenschutzniveau in dem Drittland sicherstellen.

Mit dem Abkommen vom 24.12.2020 konnten die EU und UK dieses Szenario aber (zumindest vorübergehend) verhindern. Ab Seite 406 des Abkommens finden sich Regelungen zum Datentransfer zwischen Mitgliedstaaten der EU und UK. Für einen Zeitraum von weiteren vier Monaten soll UK nicht als Drittland im Sinne der DSGVO gelten, vorausgesetzt, es ändert die eigenen Datenschutzgesetze nicht. Diese Frist wird automatisch um zwei weitere Monate verlängert, wenn weder die EU noch UK einer Verlängerung widersprechen. Innerhalb dieser Frist soll wohl ein Angemessenheitsbeschluss der EU getroffen werden, der UK ein angemessenes Datenschutzniveau bescheinigt.

Angemessenes Datenschutzniveau

Die EU-Kommission kann somit beschließen, dass das Datenschutzniveau in UK angemessen ist, sodass keine weiteren Maßnahmen mehr erfolgen müssen. Von vielen Experten wird jedoch bezweifelt, dass ein solches Abkommen in der vorgesehenen Frist zustande kommen wird.

Standardvertragsklauseln

Wenn kein Angemessenheitsbeschluss getroffen wird, muss der Verantwortliche selbst für ein angemessenes Schutzniveau sorgen. Das kann durch den Abschluss von Standardvertragsklauseln, konzernintern durch „Binding Corporate Rules“ oder durch Einzeleinwilligungen der Betroffenen geschehen.

Im täglichen Verkehr ist die Verwendung der Standardvertragsklauseln empfehlenswert. Beim Datentransfer mit Drittländern, auch mit den USA nach dem Wegfall des EU-US-Privacy-Shield-Abkommens, sind sie schon jetzt vielfach erprobt. Von den vorgegebenen Mustern der EU-Kommission darf nicht abgewichen werden, sodass kein individueller Spielraum bleibt. Zusätzliche Schutzmaßnahmen können aber auch hier notwendig werden, um das Schutzniveau zugunsten des Verantwortlichen zu erhöhen und ausreichend Sicherheit beim Datentransfer in Drittländer zu gewährleisten.

Was ist zu tun?

Die Diskussionen und Entscheidungen der EU und UK sind genau zu beobachten. Das neue Abkommen bietet nur einen kurzen Überbrückungszeitraum. Mit unverzichtbaren Dienstleistern in UK sollte daher der Abschluss von Standardvertragsklauseln in Betracht gezogen werden, um auf ein mögliches Auslaufen des Abkommens ohne Angemessenheitsbeschluss vorbereitet zu sein. In der Praxis dürfte dies vor allem bei IT-Dienstleistern und Rechenzentren in UK sowie beim Datenaustausch im Konzern eine Rolle spielen. Im Einzelfall, vor allem bei besonders sensiblen Daten, können weitere Schutzmaßnahmen erforderlich sein. Gerne unterstützen wir Sie an dieser Stelle. Sprechen Sie uns einfach an.