Brexit, Datentransfer und die DSGVO – was Unternehmen jetzt beachten müssen

Offiziell wurde der Brexit am 31. Januar 2020 vollzogen, Großbritannien ist also seit über einem Jahr kein Mitglied der EU mehr. Bis zum 31. Dezember galten noch zahlreiche Übergangsregelungen, die beispielsweise auch den Datentransfer zwischen den Ländern regelten. Für den Datenschutz wurde inzwischen eine weitere Frist vereinbart. Aber auch die läuft bald ab.
Brexit | EU
Ressourcen / Blog / Brexit, Datentransfer und die DSGVO – was Unternehmen jetzt beachten müssen
Veröffentlicht von Usercentrics
Lesedauer: 3 Minuten
Apr 14, 2021

Offiziell wurde der Brexit am 31. Januar 2020 vollzogen, Großbritannien ist also seit über einem Jahr kein Mitglied der EU mehr. Bis zum 31. Dezember galten noch zahlreiche Übergangsregelungen, die beispielsweise auch den Datentransfer zwischen den Ländern regelten. Für den Datenschutz wurde inzwischen eine weitere Frist vereinbart. Aber auch die läuft bald ab.

Was hat der Brexit mit der DSGVO zu tun?

Mit dem Austritt Großbritanniens aus der EU traten zahlreiche Übergangslösungen in Kraft, die bis zum 31. Dezember 2020 gültig waren. Davon betroffen war auch der grenzüberschreitende Datenverkehr mit den Ländern der Europäischen Union. Bis Ende vergangenen Jahres wurde das Vereinigte Königreich weiterhin als EU-Staat behandelt. Damit war eine frühzeitige Anpassung der Wirtschaft an neue Datenschutzregelungen nicht nötig: Es galt weiterhin die Datenschutz-Grundverordnung (DSGVO) sowie die nationale Anpassung, der Data Protection Act 2018. Daten konnten damit zwischen Deutschland und Großbritannien problemlos übermittelt werden

Brexit nun ein Drittland?

Seit dem Ablauf der Übergangsfrist ist Großbritannien nicht mehr Teil des europäischen Binnenmarktes und der Zollunion. Damit gilt es jetzt als sogenanntes Drittland, auch im Sinne der DSGVO (Art. 44 DSGVO). Um Rechtsunsicherheiten vorzubeugen, wurde in den Schlussbestimmungen des Entwurfs eines Handels- und Zusammenarbeitsabkommens zwischen Großbritannien und der EU aber eine neue Übergangsregelung für Datenübermittlungen vorgesehen. Diese Frist gilt bis Ende April und kann um zwei weitere Monate verlängert werden. In diesem Zeitraum wird Großbritannien noch nicht als Drittland betrachtet.

 

Die DSGVO und das TCA

Dieses sogenannte Trade and Cooperation Agreement (TCA) legt die Übergangsregelungen für den Transfer personenbezogener Daten fest. Danach gilt für Daten, die bis zum 31. Dezember 2020 gesammelt wurden, weiterhin die DSGVO. Daten, die nach dem 31. Dezember im Vereinigten Königreich gesammelt werden, müssen sich nach einer neuen, angepassten DSGVO, der UK GDPR richten. Das TCA legt außerdem fest, dass Datentransfers von der EU nach Großbritannien weiterhin möglich sind, so als wäre das Land nach wie vor Mitglied der Europäischen Union.

Wie eine zwischenzeitliche Einigung im Einklang mit der DSGVO erreicht werden könnte

Der Übergangszeitraum endet also spätestens am 30. Juni 2021. Er endet aber auch dann, wenn die EU bis zu diesem Zeitpunkt einen sogenannten Angemessenheitsbeschluss für das Vereinigte Königreich erlässt (Art. 45 Abs. 3 DSGVO), wie er beispielsweise auch für die Schweiz gilt. Die Übergangsfrist endet allerdings auch, wenn Großbritannien seine Datenschutzgesetze ändern und dadurch das aktuell bestehende Datenschutzniveau gefährdet würde.

Brexit & DSGVO – Datentransfer und Angemessenheitsbeschluss

Bislang deutet aber wenig darauf hin. Es sieht vielmehr so aus, als würde ein Angemessenheitsbeschluss verabschiedet werden. Dafür spricht, dass Großbritannien bereits damit begonnen hat, die Regelungen der DSGVO in nationales Recht umzusetzen. Sollte es zu keinem Angemessenheitsbeschluss für die britischen Inseln kommen, werden künftig die strengen Vorschriften der DSGVO für die Übermittlung personenbezogener Daten in Drittländer gelten. Nur in Einzelfällen dürfte dann eine Datenübermittlung möglich sein, die auf der Ausnahmeregelung in Artikel 49 DSGVO basiert.

Was können Unternehmen jetzt schon tun?

Europäische Unternehmen müssen also Schutzvorkehrungen für den Fall treffen, dass kein Angemessenheitsbeschluss gefasst wird. Sie sollten deshalb ihre Datenflüsse in das Vereinigte Königreich analysieren und eine entsprechende Dokumentation anfertigen. Daneben sollten sie weiterhin in ihrer Datenschutzerklärung auf einen Datentransfer in ein Drittland gesondert hinweisen. 

Perspektive dieser Entwicklung


Nach Einschätzung von Juristen ändert sich damit vorerst nichts, zumindest nicht bis Ende Juni 2021. Dann läuft die Übergangsfrist ab. Die EU-Kommission ist bis zu diesem Zeitpunkt in der Pflicht, eine tragfähige Entscheidung vorzulegen.


Allerdings hat die EU-Kommission am 19.02.2021 in einer offiziellen Pressemitteilung erklärt, dass ein Verfahren zur Annahme von zwei Angemessenheitsbeschlüssen eingeleitet wurde. Aus dieser lässt sich herauslesen, dass personenbezogene Daten im UK im Wesentlichen ein dem Europäischen Datenschutzrecht gleichwertigen Schutz genießen und somit die Voraussetzungen des Art. 45 II DSGVO erfüllt sind.

 

CHECKLISTE: Worauf Unternehmen jetzt achten müssen 

Daten dokumentieren
Unternehmen sollten jetzt die Daten dokumentieren, die in das Vereinigte Königreich gehen. Darin sollten auch die Garantien und Ausnahmeregelungen aufgeführt sein, auf die man sich bezieht.

Datenschutzerklärung überprüfen
Unternehmen sollten darauf hinweisen, dass ein Datentransfer nach Großbritannien erfolgt. Auch das Verarbeitungsverzeichnis sollte entsprechend angepasst werden. 

✔ Nutzer aufklären
Stellt eine Person ein Auskunftsersuchen, muss sie über die Datenübermittlung in ein Drittland aufgeklärt werden.

Verträge checken
Unternehmen sollten zudem bestehende Verträge, beispielsweise mit Cloud-Anbietern, für die Zeit nach dem Übergangszeitraum absichern.

Bislang blieben die befürchteten Rechtsunsicherheiten bei den Datentransfers zwischen der EU und UK zum Glück aus. Bis Ende des ersten Halbjahres 2021 ist vermutlich auch nichts Gegenteiliges zu befürchten. Auch für die Zeit danach deutet viel darauf hin, dass weiterhin ein geordneter und weitgehend reibungsloser Datentransfer möglich sein wird. Ausgeschlossen aber ist nicht, dass Großbritannien dennoch als Drittland eingestuft wird, mit dem keine gesonderten Regelungen vereinbart sind. In diesem Fall gelten die strengen Vorgaben der DSGVO – und dafür sollten Unternehmen auf jeden Fall gewappnet sein.