Brexit
Das Vereinigte Königreich Großbritannien und Nordirland ist aus der Europäischen Union ausgetreten – gemäß Art. 126 des Austrittsabkommens gilt eine Übergangsfrist bis Ende 2020.
Was passiert während dieser Übergangsfrist?
Solange die Frist läuft, gilt das Unionsrecht, und damit auch die DSGVO - weiterhin für das Vereinigte Königreich (Art. 127 Abs. 1 und 6 des Austrittsabkommens):
„Unless otherwise provided in this Agreement, Union law shall be applicable to and in the United Kingdom during the transition period.
Unless otherwise provided in this Agreement, during the transition period, any reference to Member States in the Union law applicable pursuant to paragraph 1, including as implemented and applied by Member States, shall be understood as including the United Kingdom."
Diese Übergangsfrist kann gemäß Art. 132 Abs. 1 des Austrittsabkommens bis zum 01. Juli 2020 einmalig um ein oder zwei Jahre verlängert werden.
Was passiert danach?
Läuft die Übergangsfrist ab, wird das Vereinigte Königreich zum Drittland. Die Einstufung vom EU/EWR-Mitgliedsstaat zum Drittland führt gegebenenfalls dazu, dass derjenige, der personenbezogene Daten in Drittländer übertragen möchte, die Art. 44 ff. DSGVO beachten muss.
Überträgt ein Unternehmen personenbezogene Daten in ein Drittland, ohne die oben genannten Vorschriften zu beachten, handelt es schlicht und ergreifend rechtswidrig.
Möchte ein Unternehmen bei der Datenübertragung in das Vereinigte Königreich nach Ablauf der Übergangsfrist datenschutzkonform handeln, gibt es mehrere Möglichkeiten. Die Auswahl unter den zur Verfügung stehenden Optionen orientiert sich an der Entscheidung der Europäischen Kommission.
Angemessenes Schutzniveau im Vereinigten Königreich?
Wird diese Frage von der Europäische Kommission bejaht, ergeht ein Angemessenheitsbeschluss nach Art. 45 Abs. 1 S.1 DSGVO. Vorteil: Das Drittland würde dann wie ein Mitgliedsstaat der EU bzw. EWR behandelt.
Ein Angemessenheitsbeschluss wird (laut Political Declaration vom 19. Oktober 2019) bis Ende 2020 angestrebt. Um das Schutzniveau des Vereinigten Königreichs einschätzen zu können, prüft die Europäische Kommission gemäß Art. 45 Abs. 2 DSGVO mehrere Voraussetzungen (z.B.: Rechtsstaatlichkeit, Achtung der Menschenrechte aber auch die Datenschutzvorschriften im Vereinigten Königreich).
Nach Aussage der britischen Aufsichtsbehörde ICO ging man bislang davon aus, dass die britische Regierung, sobald die Übergangsfrist abgelaufen ist, beabsichtigt die DSGVO in das britische Datenschutzgesetz zu integrieren. Es besteht aber auch die Möglichkeit, dass ein eigenständiges und unabhängiges Regelwerk erstellt wird. Bis Klarheit über die britischen Datenschutzregelungen besteht, wird die Europäische Kommission keine Entscheidung treffen. Bis dahin bleibt unklar, ob die EU-Kommission dem Vereinigten Königreich ein angemessenes Schutzniveau attestieren wird.
Welche Alternativen gibt es?
Erfolgt kein Angemessenheitsbeschluss, so kommen die folgenden Alternativen in Betracht:
- Standardvertragsklauseln gemäß Art. 46 Abs.2 lit. c DSGVO,
- Binding Corporate Rules nach Art. 47 DSGVO,
- Zertifizierungen nach Art. 46 Abs. 2 lit. f, 42 DSGVO,
- Genehmigte Verhaltensregeln nach Art. 40 DSGVO
- oder individuell ausgehandelte Vertragsklauseln bzw. Verwaltungsvereinbarungen.
Eine Datenübermittlung in ein Drittland kann unter Umständen auch infolge einer Ausnahme nach Art. 49 Abs.1 S.1, 2 DSGVO erfolgen. Die dort genannten Voraussetzungen sind jedoch eng auszulegen. Im Zweifel entscheidet man sich mit Ablauf der Übergangsfrist für die Standardvertragsklauseln, sofern diese zu dem Zeitpunkt noch eine ausreichende Garantie für ein angemessenes Datenschutzniveau darstellen.
Hinweis: Wir haben die rechtlichen Vorgaben / Problemstellungen / die Rechtslage ausschließlich unverbindlich zusammengefasst. Der Artikel spiegelt darüber hinaus die persönliche Auffassung des Verfassers wider und ersetzt weder eine individuelle Rechtsberatung noch die weiteren Entwicklungen zu diesem Thema.
