Datenschutzsicher nach Brexit – Ratgeber für Datentransfers nach Großbritannien

Seit dem 01. Januar 2021 ist der Brexit vollzogen und Großbritannien ist kein Teil der EU mehr und Ende Juni 2021 endet auch die Übergangsphase. Falls Sie sich auf den datenschutzrechtlichen Worst-Case des Brexit noch nicht vorbereitet haben oder sich versichern möchten alles Nötige getan zu haben, empfehlen wir Ihnen den folgenden Beitrag zu lesen.

An dessen Ende erhalten Sie zudem eine Zusammenfassung der notwendigen Prüfungsschritte in einer praktischen Checkliste.

Ist der Brexit für mich relevant?

Der Brexit wird für Sie relevant, wenn Sie personenbezogene Daten nach Großbritannien übermitteln oder dort ansässigen Unternehmen Zugriff auf diese Daten gewähren.

Dies kommt vor allem in folgenden Fällen in Frage:

  • Sie verfügen über eine Niederlassung in Großbritannien.
  • Sie setzen Dienstleister aus Großbritannien zur Ausführung Ihrer Leistungen ein (z. B., Warenlieferanten).
  • Sie nutzen in Großbritannien basierte Cloud/SaaS-Dienste (z. B., Onlinemarketing-Tools).

Betroffen sein können dabei u.a. die folgenden Personengruppen:

  • Ihre Kund/innen.
  • Nutzer/innen Ihrer Onlinedienste oder Websitebesucher.
  • Mitarbeiter/innen oder Bewerber/innen (z. B. beim Einsatz von Onlinebewerbungsdiensten).

Anerkennung als datenschutzrechtlich sicheres Drittland

Tipp: Dieses Schaubild von Calligo verdeutlicht die möglichen datenschutzrechtlichen Entwicklungen nach dem Brexit (aus der Sicht von britischen Unternehmen).

Tipp: Dieses Schaubild von Calligo verdeutlicht die möglichen datenschutzrechtlichen Entwicklungen nach dem Brexit (aus der Sicht von britischen Unternehmen). Aus der Sicht der DSGVO sind alle Länder außerhalb der EU und des Europäischen Wirtschaftsraums (EWR) sog. „Drittländer“. Das bedeutet, dass personenbezogene Daten nicht ohne Weiteres in diese Länder transferiert werden dürfen (Art. 44 DSGVO).

Trotz der Proteste der Datenschützer und gegen den Willen des Europäischen Parlaments, hat sich die EU-Kommission durchgesetzt und Großbritannien ein angemessenes Datenschutzniveau bescheinigt (s. Meldung bei Netzpolitik). Mit diesem sogenannten “Angemessenheitsbeschluss” müssen Sie beim Einsatz von Diensteilstern aus Großbritannien grundsätzlich nichts anderes beachten als bei Dienstleistern in der EU. Denn Großbritannien gilt damit als ein sicheres Drittland für personenbezogene Daten.

Mit diesem sogenannten “Angemessenheitsbeschluss” müssen Sie beim Einsatz von Dienstleistern aus Großbritannien grundsätzlich nichts anderes beachten als bei Dienstleistern in der EU. Denn Großbritannien gilt damit als ein sicheres Drittland für personenbezogene Daten.

Fazit und gute Aussichten für ein Privacy Shield II

Die Angemessenheitsentscheidung der EU-Kommission lässt auch darauf schließen, dass die EU-Kommission ebenso konsequent im Hinblick auf einen neuen “Privacy Shield” mit den USA vorgehen wird und auch hier Erleichterungen wie in Großbritannien möglich werden.

Das zumindest bis zum nächsten EuGH-Verfahren, in dem die Beschlüsse der EU-Kommissionen wegen des Überwachung von EU-Bürgern durch US- und UK-Geheimdienste aufgehoben werden könnten. Datenschützer erwarten dies zumindest. Aber bis dahin können wieder ca. fünf Jahre ins Land gehen.

Weitere Informationen: Neue EU-Standardvertragsklauseln – Werden US-Datentransfers jetzt rechtssicher?

Tipp für mehr Rechtssicherheit

Rechtssichere DSGVO-Datenschutzerklärung:  vom Anwalt  mit Siegel  über 500 aktuelle Module  kein Abo  Dokument ohne zeitliches Limit nutzbar  Download als Word/Office & PDF  Speichern & Laden von Eingaben.

In unserem Shop erhalten Sie eine Übersicht unserer Angebote:

 


Kommentare

  1. Diese Betrachtung ist recht einseitig.
    Da die DSGVO in nationales recht umgesetzt worden ist, ist davon auszugehen, dass aus EU-Sicht UK als sicher gilt.

    Viel gravierender sind die Folgen jedoch durch den Zuständigkeitswechsel der Aufsichtsbehörde. Der ICO ist sehr streng und hat mehrfach dreistellige Millionenbussen verhängt.
    unternehmen in der EU werden nun gezwungen sich dem englischen Recht zu unterwerfen, wenn man Daten über Einwohner oder Staatsbürger des UK speichert.
    Als Beschwerdeinstanz fungiert nun das ICO, so werden dort auch schnell Bussgelder verhängt, da kann es shcon reichen zu spät oder unvollständig zu antworten. Gerade individuelle Anfragen sollten dann nicht mehr als Serienbrief erfolgen.

  2. Hallo Herr Schwenke,
    Sie schreiben in Ihrem Update vom 21. Juni, dass die Kommission sich nun doch mit dem Angemessenheitsbeschluss durchgesetzt hat.

    Haben Sie einen Link zur Quelle, wo die Kommission dies veröffentlicht hat?

  3. Im Rahmen dieser ganzen Auseinandersetzungen (nicht hier, sondern Brexit) ist mir ein Punkte aufgefallen. Seitens UK wird von deutschen Unternehmen, die personenbezogene Daten von Personen verarbeiten, die in UK leben, die Installation eines UK-GDPR Datenschutzbeauftragten (oder Repräsentanten) gefordert (mit entsprechender Bußgeldandrohung). Gibt es eine ähnliche Vorschrift auch für die andere Richtung (soll heißen: ein UK-Unternehmen verarbeitet Daten von Betroffenen aus der EU)? Welche Rolle spielen dann Niederlassungen der Unternehmen in den Ländern? Konnte dazu leider nicht genaues in den Vorschriften finden.
    Vielen Dank
    Dieter Horn

Fügen Sie einen Kommentar hinzu

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert