Brexit: Was Datenschutzbeauftragte jetzt wissen müssen

25.02.2021: Seit dem 01.01.2021 ist Großbritannien (GB) nicht mehr Teil der EU und gilt datenschutzrechtlich von nun an als sogenannter Drittstaat. Beim Datenverkehr mit britischen Unternehmen kann das Auswirkungen auf den Datenschutz in Ihrem Unternehmen haben. Was Sie jetzt beachten und tun müssen.

 

Was gilt es heute zu beachten?

In täglichen Geschäft mit britischen Unternehmen dürfte sich für Sie und Ihr Unternehmen zunächst noch nicht so viel ändern. Am britischen Datenschutzrecht hat sich durch den Brexit erst einmal nichts geändert. Da das britische Datenschutzrecht zudem die Regelungen der DSGVO weitestgehend übernommen hat, dürfte der Handlungsbedarf aktuell eher gering ausfallen.

Als Datenschutzbeauftragter sollten Sie beim Datenverkehr mit britischen Unternehmen generell beachten, dass die DSGVO für diese Unternehmen gegebenenfalls trotz des Brexits weiter gilt. Hintergrund ist hier insbesondere die Regelung des Art. 3 Abs. 2 DSGVO. Danach gilt die DSGVO auch für Unternehmen außerhalb der EU (also z.B. Unternehmen in GB), wenn

• ein Unternehmen außerhalb der EU Personen in der EU Waren oder Dienstleistungen anbietet und/oder
• ein Unternehmen außerhalb der EU das Verhalten von betroffenen Personen beobachtet wird, sofern das Verhalten der betroffenen Personen innerhalb der EU stattfindet.

 

Datenaustausch mit britischen Unternehmen: Was Sie tun müssen!

Ein Datenaustausch personenbezogener Daten mit einem Drittstaat ist unproblematisch, wenn ein entsprechender Angemessenheitsbeschluss der EU-Kommission in Hinblick auf den jeweiligen Drittstaat vorliegt. Ein Solcher liegt bzgl. Großbritannien noch nicht vor. Allerdings ist die EU nach dem EU-GB Handelsabkommen zu einer schnellen Prüfung eines angemessenen Datenschutzniveaus innerhalb von 4 Monaten, maximal auf 6 verlängerbar, verpflichtet (vgl. Art. FINPROV.10 Abs. 4 Buchstabe b) EU-GB-Handelsabkommen). Das EU-GEB-Handelsabkommen finden Sie hier.

Demnach ist die EU-Kommission gehalten bis spätestens zum 30.06.2021 einen Angemessenheitsbeschluss zu erlassen. Falls dies nicht geschieht, wäre Großbritannien ein Drittstaat ohne einen Angemessenheitsbeschluss. In diesem Falle muss ein angemessenes Datenschutzniveau für einen Datenaustausch zwischen Ihrem Unternehmen und Unternehmen in Großbritannien durch die Vereinbarung von Standardvertragsklauseln gewährleistet werden.

Bei Auftragsverarbeitungen müssen Sie daneben natürlich darauf hinwirken, dass entsprechende Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO geschlossen werden. Für den Fall der Auftragsverarbeitung sieht das EU-GB Handelsabkommen (vgl. Art. FINPROV.10A Abs. 1 EU-GB-Handelsabkommen) bis zu einem Angemessenheitsbeschluss oder für längstens bis zum 30.06.2021 ohne einen Angemessenheitsbeschluss vor, dass eine Übermittlung von personenbezogenen Daten nach Großbritannien nicht als Übermittlung in ein Drittland gilt.

 

Häufige Frage: Müssen Verträge unter Einbezug von Standardvertragsklauseln geschlossen werden?

Meines Erachtens besteht bis zum 30.06.2021 derzeit keine Notwendigkeit besondere Vereinbarungen mit Standardvertragsklauseln zwischen den Verantwortlichen untereinander und/oder mit Auftragsverarbeitern abzuschließen. Sollte es dagegen zu keinem Angemessenheitsbeschluss der EU-Kommission bis zum 30.06.2021 kommen, sieht das anders aus.

 

Sie haben weitere Fragen oder benötigen Unterstützung bei der Umsetzung? 

Rufen Sie uns gerne an oder schreiben Sie uns eine E-Mail. Unser Praxispaket für Datenschutzbeauftragte bietet Ihnen die passende Antwort auf Ihre Fragen. Für weitere Infos klicken Sie hier.