Die in der EU geltende Datenschutzgrundverordnung DSGVO regelt Rechte und Pflichten im Umgang und bei der Verarbeitung personenbezogener Daten. Verstöße werden mit erheblichen Bußgeldern geahndet. Doch was bedeutet das nun für den Datentransfer nach Großbritannien nach dem Brexit und der am 31.12.2020 geendeten Übergangsphase?
Häufig befinden sich Dienstleister oder Server im Ausland, so dass bei Sitz außerhalb eines EU-Staates, andere Datenschutzbestimmungen zur Anwendung kommen. Da der internationale Datenfluss für den internationalen Handel unabdingbar ist, stellt sich die Frage, wie grenzüberschreitende Daten nach dem Brexit ausreichend geschützt werden können- auf einem der DSGVO entsprechenden Niveau.
Eine vorläufige Regelung beinhaltet das „EU-UK Trade and Cooperation Agreement“, welches Großbritannien vorerst weiterhin als EU-Mitgliedsland und nicht als Drittland behandelt- zumindest was den Schutz bei der Datenübermittlung betrifft. Dieses Abkommen hat eine Gültigkeitsdauer von maximal 6 Monaten, sollte die Europäische Kommission nicht vorher einen Angemessenheitsbeschluss für das Königreich erlassen und somit automatisch das Abkommen beenden. Innerhalb des angegebenen Zeitraumes erkennt die EU an, dass das datenschutzrechtliche Niveau dem eigenen Standard entspricht, so dass keine weiteren Vorkehrungen oder Maßnahmen getroffen werden müssen. Sollte die Europäische Kommission bis zum Ablauf der Übergangsfrist einen Angemessenheitsbeschluss erlassen, ändert sich daran auch nach dem Ablauf der Frist nichts.
Was passiert, sollte die Europäische Kommission bis zum Ablauf der Übergangsfrist keinen Angemessenheitsbeschluss erlassen? Unternehmen müssten andere Maßnahmen ergreifen und „geeignete Garantien“ (nach Artikel 46 DSGVO) nachweisen oder die Einwilligung der Betroffenen einholen (nach Artikel 49 der DSGVO). Als „Geeignete Garantien“ angesehen werden z.B.:
- Standarddatenschutzklauseln
- genehmigte Verhaltensregeln
- genehmigter Zertifizierungsmechanismus
- verbindliche unternehmensinterne Regelungen
Da Großbritannien jedoch bereits vor dem Austritt damit begonnen hatte die rechtlichen Bestimmungen der DSGVO weitestgehend ins nationale Recht aufzunehmen, scheint ein rechtzeitiger Erlass des Angemessenheitsbeschluss nicht länger unwahrscheinlich. Die EU erkennt die Aufnahme der DSGVO-Regelungen ins nationale britische Recht prinzipiell als ausreichend an und will somit für einen hinreichenden Schutz bei dem grenzüberschreitenden Datentransfer sorgen. Sollte Großbritannien jedoch von der Umsetzung der Regelungen im nationalen Recht abweichen, erhält das Land automatisch den Status eines Drittlandes.