Mit dem Brexit verließ das “Vereinigte Königreich Großbritannien und Nordirland“ die EU. Dies führt grundsätzlich dazu, dass die Übermittlung personenbezogener Daten in das Vereinigte Königreich – z. B. die Übermittlung von Beschäftigtendaten zu dortigen Konzernunternehmen – nur noch unter den besonderen Voraussetzungen der Art. 44 Datenschutz-Grundverordnung (DS-GVO) zulässig ist. Allerdings regelt ein Handels- und Kooperationsabkommen zwischen der EU und dem Vereinigten Königreich eine Übergangsfrist.
Folgen des Brexit für den Datentransfer ins Vereinigte Königreich
An Datenübermittlungen innerhalb der Europäischen Union sind nach den Bestimmungen der DS-GVO grundsätzlich keine höheren datenschutzrechtlichen Anforderungen gestellt als an Datenübermittlungen innerhalb der Bundesrepublik Deutschland. Mit dem Brexit schied das Vereinigte Königreich aus der Europäischen Union aus. Folge ist, dass das Vereinigte Königreich nunmehr ein “Drittland” im Sinne des DS-GVO ist und eine Datenübermittlung dorthin grundsätzlich nur noch bei Vorliegen der besonderen Voraussetzungen der Art. 44ff. DS-GVO zulässig ist. Zu den Möglichkeiten, einen Datentransfer von der Bundesrepublik Deutschland ins Vereinigte Königreich zu legitimieren, zählt z. B. der Abschluss von sogenannten EU-Standardverträgen, welche von der Europäischen Kommission entworfen und aktuell überarbeitet werden. Ein Datentransfer ins Vereinigte Königreich kann aber künftig auch dadurch legitimiert sein, dass die Europäische Kommission nach Art. 45 Abs. 3 DS-GVO für das Vereinigte Königreich ein angemessenes Datenschutzniveau feststellt. Dies wird aktuell geprüft.
Übergangsregelung für Datenübermittlungen
Die Europäische Kommission hat mit dem Vereinigten Königreich ein Handels- und Kooperationsabkommen geschlossen. Dieses 1449 Seiten umfassende Dokument wurde am 31.12.2021 im Amtsblatt der Europäischen Union veröffentlicht. Zwar steht noch die Ratifizierung durch das EU-Parlament aus, diese wird aber erwartet.
In den Schlussbestimmungen findet sich auf Seite 468 der deutschen Fassung unter Artikel FINPROV.10A Abs. 1 eine Regelung, nach der für die Übermittlung personenbezogener Daten aus der EU in das Vereinigte Königreich das Vereinigte Königreich nicht als „Drittland“ im Sinne der DS-GVO gilt, sofern das Vereinigte Königreich das zum 31.12.2020 bestehende Recht weiter anwendet. Das bedeutet, dass für die Dauer der Übergangsfrist in Bezug auf die Übermittlung personenbezogener Daten ins Vereinigte Königreich alles zunächst bleibt, wie es war.
Die Übergangsfrist dauert grundsätzlich bis zu dem Zeitpunkt zu dem die EU-Kommission für das Vereinigte Königreich ein auch nach dem Brexit bestehendes angemessenes Datenschutzniveau nach Art. 45 Abs. 3 DS-GVO feststellt, längstens aber vier Monate. Diese 4-Monatsfrist verlängert sich um weiter zwei Monate, wenn keine Partei des Abkommens Einwände erhebt (FINPROV.10A Abs. 4).
Artikel FINPROV.11 Abs. 2 sieht – ungeachtet der noch ausstehenden Ratifizierung des Abkommens durch das EU-Parlament – eine vorläufige Anwendung vor.
Dementsprechend teilte die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) mit einer Pressemitteilung vom 28.12.2020 mit, dass insofern vorübergehend “vorläufige Rechtssicherheit” für Übermittlungen ins Vereinigte Königreich bestünde.
Sollte es zu einem Angemessenheitsbeschluss der Europäischen Union in Bezug auf das Datenschutzniveau des Vereinigten Königreichs nach dem Brexit innerhalb der Fristen des Abkommens kommen, würden besondere datenschutzrechtliche Maßnahmen zur Legitimierung des Datentransfers von der Bundesrepublik Deutschland ins Vereinigte Königreich nicht mehr erforderlich werden.
Da es aber in dem Prozess ggf. sehr kurzfristig zu einem Ende der Übergangsregelung und einer uneingeschränkten Anwendung der DS-GVO in Bezug auf Datentransfers in das Vereinigte Königreich kommen könnte, ist nach wie vor der vorsorgliche Abschluss von EU-Standardverträgen oder die Nutzung anderer Gestaltungsmöglichkeiten nach Art. 44 ff, DS-GVO zu empfehlen.
In diesem Zusammenhang darf zudem nicht vergessen werden, dass neben den besonderen Anforderungen in den internationalen Datentransfer stets geprüft werden muss, ob der Datentransfer die sonstigen Anforderungen an eine rechtmäßige Datenübermittlung nach den Vorschriften der DS-GVO und des Bundesdatenschutzgesetzes (BDSG) erfüllt.
Weiterführende Links:
