Seit dem 1. Januar 2021 ist der Brexit vollzogen, das United Kingdom ist kein Teil der EU mehr. Zudem ist seit Ende Juni die Übergangsphase vorbei. Falls Sie sich datenschutzrechtlich auf diese Änderung noch nicht eingestellt haben und sich über die Neuerungen bezüglich des Datentransfers informieren möchten, empfehlen wir Ihnen den folgenden Beitrag.
Was gilt es bei einem Drittland, wie nunmehr Großbritannien, beim Datentransfer zu beachten?
Aus der Sicht der DSGVO sind alle Länder außerhalb der EU und des Europäischen Wirtschaftsraums „Drittländer“. Das bedeutet, dass personenbezogene Daten nicht ohne Weiteres in diese Länder transferiert werden dürfen. Für das UK sind somit zusätzliche Überlegungen notwendig.
Welche Auswirkungen hat der Brexit auf EU und UK?
Die bisherige Gleichstellung des Datenschutzniveaus auf Basis der Übergangsregelung im Abkommen zwischen der EU und UK endete am 30. Juni 2021. Die EU-Kommission hat gerade noch rechtzeitig einen sogenannten „Angemessenheitsbeschluss” in Kraft gesetzt, um Großbritannien ein angemessenes Datenschutzniveau zu bescheinigen. Grundsätzlich muss bis auf weiteres beim Einsatz von Datenverarbeitern aus Großbritannien nichts anderes beachtet werden als bei IT-Dienstleistern mit Sitz in der EU. Denn UK gilt seit 1. Juli 2021 als sicheres Drittland in Bezug auf die Verarbeitung personenbezogener Daten. Der erlassene Angemessenheitsbeschluss ist die nächsten vier Jahre gültig.
Wer ist von den Neuerungen zum Datentransfer zwischen EU und UK betroffen?
Die Neuerungen sind für Sie relevant, wenn Sie personenbezogene Daten nach UK übermitteln oder dort ansässigen Unternehmen Zugriff auf Ihre Daten gewähren.
Dies kommt vor allem in folgenden Fällen vor:
- Sie betreiben eine Niederlassung in UK
- IT-Dienstleister aus UK werden zur Ausführung von IZ-Leistungen eingesetzt.
- Nutzung von Tools aus Großbritannien (beispielsweise Onlinemarketing-Tools).
Betroffen davon können Ihre Kunden, Nutzer Ihrer Onlinedienste oder Besucher Ihrer Webseite sowie Mitarbeitende sein.
Was müssen Sie konkret tun?
Großbritannien reiht sich mit dem Angemessenheitsbeschluss in die bereits anschauliche Liste an sicheren Drittstaaten ein. Sie müssen im Namen des Unternehmens dennoch
- Auftragsverarbeitungsvereinbarungen nach Art 28 DSGVO mit UK Auftragsverarbeitern abschließen oder aktualisieren,
- in Großbritannien einen Vertreter bestellen: Wenn Sie Waren oder Dienstleistungen an natürliche Personen im UK verkaufen,
- Ihre DSGVO-Dokumentation aktualisieren, wie etwa
- das Verarbeitungsverzeichnis und
- bestehende Datenschutz-Folgeabschätzungen überprüfen.
Generell bringt der Beschluss eine große Erleichterung für alle datengetriebenen Geschäftsmodelle und den Einsatz von IT-Lösungen von britischen Anbietern.
Unser Fazit
Für die nächsten vier Jahre sollte die Datenübermittlung nach UK unproblematisch möglich sein. Doch: Wir behalten die Lage für Sie im Auge, Änderungen sind jederzeit möglich. Im schlimmsten Fall könnte der Angemessenheitsbeschluss von heute auf morgen gekippt werden, beispielsweise wenn UK die USA zu einem sicheren Drittland erklären würden.
Bei weiteren Fragen oder Unklarheiten kontaktieren Sie uns jederzeit!