Das Vereinigte Königreich ist am 31.12.2019 aus der EU ausgetreten (Brexit), mit 31.12.2020 ist das Übergangsübereinkommen abgelaufen. In dieser Übergangszeit wurden die europäischen Datenschutzregelungen weiterhin angewendet. Aber, wie geht es nun weiter?
Unveränderter Datentransfer bis 30. April bzw. 30. Juni
„Für die Dauer des festgelegten Zeitraums“ (Artikel FINPROV.10A des Handelsabkommens) wird das Vereinigte Königreich nicht als Drittland angesehen und es werden die europäischen Regelungen weiterhin angewendet. Dieser festgelegte Zeitraum beträgt 6 Monate (Fristende 30. Juni 2021), außer es erhebt eine der Vertragsparteien einen Einwand, dann endet dieser festgelegte Zeitraum schon nach 4 Monaten (30. April 2021).
Laut österreichischen Datenschutzbehörde können allerdings bereits jetzt keine Beschwerden wegen behaupteter DSGVO-Verletzungen durch Verantwortliche oder Auftragsverarbeiter im Vereinigten Königreich bei der Datenschutzbehörde eingereicht werden.
Mit Glück unverändert darüber hinaus
Das Vereinigte Königreich hat bereits entschieden Datentransfers in die EU nach dem Brexit wie Inlandstransfers zu behandeln und hat wesentliche Inhalte der DSGVO in die neue UK-GDPR überführt. Sie streben einen Angemessenheitsbeschluss laut Artikel 45 DSGVO an, nachdem sie als ein Drittland mit angemessenes Schutzniveau eingestuft werden. DSGVO konforme Datentransfers können auf dieser Grundlage durchgeführt werden. Laut der österreichischen Wirtschaftskammer arbeitet die EU-Kommission bereits an entsprechenden Angemessenheitsbeschlüssen.
Falls es doch schief geht
Gegen einen Angemessenheitsbeschluss könnte sprechen, dass die Investigatory Powers Bill (2016) dem Vereinigten Königreich eine Möglichkeit zur Vorratsdatenspeicherung bieten.
Falls es zu keinem Angemessenheitsbeschluss kommt, müssen Firmen selbst geeignete Maßnahmen zur Gewährleistung eines angemessenen Schutzniveaus treffen. In diesem Fall sind die folgenden Schritte notwendig:
Schritt 1. Im Verarbeitungsverzeichnis prüfen, welche Daten ins Vereinigte Königreich übermittelt werden und ob diese Übermittlung weiterhin DSGVO-konform stattfinden kann.
Schritt 2. Können für gewisse Datenübermittlungen in Schritt 1 keine geeigneten Garantien festgestellt werden, müssen diese Garantien gemäß Artikel 46 DSGVO gemeinsam mit dem Datenempfänger im Vereinigten Königreich aufgestellt und in den entsprechenden Datenschutzdokumente aktualisiert werden.
Stay tuned
Um auch zukünftig einen DSGVO-konformen Datentransfer zwischen Ihrem Unternehmen und dem Vereinigten Königreich zu gewährleisten, behalten Sie in den nächsten Monaten die Situation im Auge, denn noch sind viele Details offen. Updates zu DSGVO-konformen Datenübermittlungen ins Vereinigte Königreich post-Brexit werden wir an dieser Stelle regelmäßig veröffentlichen.