Datenschutzsicher nach Brexit – Ratgeber für Datentransfers nach Großbritannien
Seit dem 01. Januar 2021 ist der Brexit vollzogen und Großbritannien ist kein Teil der EU mehr und Ende Juni 2021 endet auch die Übergangsphase. Falls Sie sich auf den datenschutzrechtlichen Worst-Case des Brexit noch nicht vorbereitet haben oder sich versichern möchten alles Nötige getan zu haben, empfehlen wir Ihnen den folgenden Beitrag zu lesen.
An dessen Ende erhalten Sie zudem eine Zusammenfassung der notwendigen Prüfungsschritte in einer praktischen Checkliste.
Update 28. Juni 2021 – Angemessenheitsbeschluss der EU-Kommission: Trotz der Proteste der Datenschützer und gegen den Willen des Europäischen Parlaments, hat sich die EU-Kommission durchgesetzt und Großbritannien ein angemessenes Datenschutzniveau bescheinigt. Der Beitrag wurde entsprechend angepasst.
Ist der Brexit für mich relevant?
Der Brexit wird für Sie relevant, wenn Sie personenbezogene Daten nach Großbritannien übermitteln oder dort ansässigen Unternehmen Zugriff auf diese Daten gewähren.
Dies kommt vor allem in folgenden Fällen in Frage:
- Sie verfügen über eine Niederlassung in Großbritannien.
- Sie setzen Dienstleister aus Großbritannien zur Ausführung Ihrer Leistungen ein (z. B., Warenlieferanten).
- Sie nutzen in Großbritannien basierte Cloud/SaaS-Dienste (z. B., Onlinemarketing-Tools).
Betroffen sein können dabei u.a. die folgenden Personengruppen:
- Ihre Kund/innen.
- Nutzer/innen Ihrer Onlinedienste oder Websitebesucher.
- Mitarbeiter/innen oder Bewerber/innen (z. B. beim Einsatz von Onlinebewerbungsdiensten).
Anerkennung als datenschutzrechtlich sicheres Drittland
Tipp: Dieses Schaubild von Calligo verdeutlicht die möglichen datenschutzrechtlichen Entwicklungen nach dem Brexit (aus der Sicht von britischen Unternehmen). Aus der Sicht der DSGVO sind alle Länder außerhalb der EU und des Europäischen Wirtschaftsraums (EWR) sog. „Drittländer“. Das bedeutet, dass personenbezogene Daten nicht ohne Weiteres in diese Länder transferiert werden dürfen (Art. 44 DSGVO).
Trotz der Proteste der Datenschützer und gegen den Willen des Europäischen Parlaments, hat sich die EU-Kommission durchgesetzt und Großbritannien ein angemessenes Datenschutzniveau bescheinigt (s. Meldung bei Netzpolitik). Mit diesem sogenannten “Angemessenheitsbeschluss” müssen Sie beim Einsatz von Diensteilstern aus Großbritannien grundsätzlich nichts anderes beachten als bei Dienstleistern in der EU. Denn Großbritannien gilt damit als ein sicheres Drittland für personenbezogene Daten.
Mit diesem sogenannten “Angemessenheitsbeschluss” müssen Sie beim Einsatz von Dienstleistern aus Großbritannien grundsätzlich nichts anderes beachten als bei Dienstleistern in der EU. Denn Großbritannien gilt damit als ein sicheres Drittland für personenbezogene Daten.
Pro und Contra angemessenes Datenschutzniveau: In Großbritannien wurde die DSGVO mit dem Data Protection Act 2018 in das nationale Recht übernommen. Damit herrscht zumindest zum Beginn und dem Gesetz nach eine gleiche Rechtslage. Allerdings darf nicht vergessen werden, dass Großbritannien nicht mehr der Kontrolle der EU (bzw. des EuGH) unterliegen wird. So ist z.B. anhand der Regelungen nur Vorratsdatenspeicherung oder geheimdienstlicher Berechtigungen zu befürchten, dass Großbritannien für genauso unsicher wie die USA gehalten werden könnte.
Fazit und gute Aussichten für ein Privacy Shield II
Die Angemessenheitsentscheidung der EU-Kommission lässt auch darauf schließen, dass die EU-Kommission ebenso konsequent im Hinblick auf einen neuen “Privacy Shield” mit den USA vorgehen wird und auch hier Erleichterungen wie in Großbritannien möglich werden.
Das zumindest bis zum nächsten EuGH-Verfahren, in dem die Beschlüsse der EU-Kommissionen wegen des Überwachung von EU-Bürgern durch US- und UK-Geheimdienste aufgehoben werden könnten. Datenschützer erwarten dies zumindest. Aber bis dahin können wieder ca. fünf Jahre ins Land gehen.
Weitere Informationen: Neue EU-Standardvertragsklauseln – Werden US-Datentransfers jetzt rechtssicher?
Tipp für mehr Rechtssicherheit
Rechtssichere DSGVO-Datenschutzerklärung: vom Anwalt mit Siegel über 500 aktuelle Module kein Abo Dokument ohne zeitliches Limit nutzbar Download als Word/Office & PDF Speichern & Laden von Eingaben.
In unserem Shop erhalten Sie eine Übersicht unserer Angebote:
Diese Betrachtung ist recht einseitig.
Da die DSGVO in nationales recht umgesetzt worden ist, ist davon auszugehen, dass aus EU-Sicht UK als sicher gilt.
Viel gravierender sind die Folgen jedoch durch den Zuständigkeitswechsel der Aufsichtsbehörde. Der ICO ist sehr streng und hat mehrfach dreistellige Millionenbussen verhängt.
unternehmen in der EU werden nun gezwungen sich dem englischen Recht zu unterwerfen, wenn man Daten über Einwohner oder Staatsbürger des UK speichert.
Als Beschwerdeinstanz fungiert nun das ICO, so werden dort auch schnell Bussgelder verhängt, da kann es shcon reichen zu spät oder unvollständig zu antworten. Gerade individuelle Anfragen sollten dann nicht mehr als Serienbrief erfolgen.
Sehr hilfreicher Artikel, vielen Dank. Könnten Sie noch die neuen SCCs einfügen?
Danke für den Hinweis, ich habe den Verweis auf die neuen SCC aufgenommen.
Hallo Herr Schwenke,
Sie schreiben in Ihrem Update vom 21. Juni, dass die Kommission sich nun doch mit dem Angemessenheitsbeschluss durchgesetzt hat.
Haben Sie einen Link zur Quelle, wo die Kommission dies veröffentlicht hat?
Am 21. Juni war es noch aus internen Quellen, jetzt ist es offiziell: https://ec.europa.eu/commission/presscorner/detail/de/ip_21_3183
Im Rahmen dieser ganzen Auseinandersetzungen (nicht hier, sondern Brexit) ist mir ein Punkte aufgefallen. Seitens UK wird von deutschen Unternehmen, die personenbezogene Daten von Personen verarbeiten, die in UK leben, die Installation eines UK-GDPR Datenschutzbeauftragten (oder Repräsentanten) gefordert (mit entsprechender Bußgeldandrohung). Gibt es eine ähnliche Vorschrift auch für die andere Richtung (soll heißen: ein UK-Unternehmen verarbeitet Daten von Betroffenen aus der EU)? Welche Rolle spielen dann Niederlassungen der Unternehmen in den Ländern? Konnte dazu leider nicht genaues in den Vorschriften finden.
Vielen Dank
Dieter Horn