Der Brexit und seine Auswirkungen auf den Datenschutz

Nach mehr als vier Jahren scheinbar endloser Verhandlungen seit der Entscheidung des britischen Referendums von 2016, die Europäische Union zu verlassen, schlossen die Parteien zum letztmöglichen Zeitpunkt am 24. Dezember 2020 ein Handels- und Kooperationsabkommen (im Folgenden als „TCA“ bezeichnet) ab. Das TCA legt Regelungen zu verschiedenen Bereichen fest, einschließlich der Verarbeitung von personenbezogenen Daten.

Die Folgen für Datenübertragungen

Nach dem seit dem 1. Januar 2021 geltenden TCA wurde eine Übergangsphase bis zum 30. Juni 2021 vereinbart, während der jegliche Übertragung von personenbezogenen Daten vom EWG in das UK nicht als Datenübertragung in ein Drittland angesehen wird. Dies ermöglicht eine Übertragung von personenbezogenen Daten in das Vereinigte Königreich unter Beachtung der DSGVO aber ohne weitere Beschränkungen. Ohne diese Vereinbarung würde das UK als Drittland gelten. Sobald die Übergangsphase endet und die Europäischen Kommission keinen Angemessenheitsbeschluss fasst, müssen andere Maßnahmen nach den Art. 44 ff. DSGVO ergriffen werden, um Datentransfers von der EU in das UK als Drittland zu legitimieren.

Anwendbares Recht

Als Europäisches Recht gilt die DSGVO seit dem 1. Januar 2021 nicht mehr im Vereinigten Königreich. Soweit der Anwendungsbereich der DSGVO eröffnet ist, also insbesondere in Bezug auf Verantwortliche oder Auftragsverarbeiter mit Sitz in UK, die Personen im EWG Waren oder Dienstleistungen anbieten oder deren Verhalten beobachten, bleibt sie weiterhin gültig.

Das Vereinigte Königreich hat zudem eine britische Variante der DSGVO zum 01.01.2021 in Kraft gesetzt, das sog. „UK-GDPR“, welches im Wesentlichen die Regelungen der DSGVO übernommen hat. Ferner gilt auch der „UK Data Protection Act 2018“ (DPA 2018) im Vereinigten Königreich und auch für Verantwortliche und Auftragsverarbeiter, die wiederum Briten Waren oder Dienstleistungen anbieten oder deren Verhalten beobachten.

Zuständige Behörde für grenzüberschreitende Angelegenheiten

Um bei grenzüberschreitenden Streitigkeiten zwischen der EU und dem UK nach dem 01. Januar 2021 in den Genuss der “One-stop Shop-Regelung” innerhalb der EU zu kommen, ist es für in dem UK ansässige Verantwortliche und Auftragsverarbeiter erforderlich, auch eine Niederlassung in einem Mitgliedsstaat der EU zu haben.

EU-Vertreter

Ab dem 1. Januar 2021 ist es für Verantwortliche und Auftragsverarbeiter, die ihren Sitz im Vereinigten Königreich haben und auf welche die DSGVO nach Art. 3 Abs. 2 Anwendung findet, erforderlich, einen Vertreter nach Art. 27 DSGVO zu bestimmen.

Angemessenheitsbeschluss

Auch das UK unterliegt dem Angemessenheitserfordernis der DSGVO, wonach Datenübertragungen in ein Drittland voraussetzen, dass dort ein angemessenes Datenschutzniveau vorliegt. Angemessenheit ist gegeben, wenn die Maßnahmen zum Schutz der Daten und die daraus resultierenden Rechte der Betroffenen, denen in der EU entsprechen. Sie sollten überlegen, welche alternativen Sicherungsmaßnahmen nach den Art. 44 ff. DSGVO für Sie in Betracht kommen, sollte die Europäische Kommission keinen Angemessenheitsbeschluss erlassen.



Autor: Tommaso Olivieri