Es ist vollbracht, die EU und das vereinigte Königreich haben sich auf ein Abkommen zum Austritt der UK geeinigt.
Auf über 1.300 Seiten werden Spielregeln zum Schutz von Investitionen, Wettbewerb, Staatshilfen, Steuertransparenz, Transport, Energie und Klimaschutz, darüber hinaus Fischereirechte, Datenschutz und die Kooperation der Sozialversicherungen festgelegt[1].
Zu viel, um alles zu lesen… Bei meiner Recherche habe ich daher nur die Absätze gelesen und berücksichtigt, die sich mit dem Thema „Privacy“ – also dem Datenschutz – befassen.
Interessant ist in dieser Hinsicht der Artikel „FINPROV.10A“: „Übergangsbestimmung für die Übermittlung personenbezogener Daten an das Vereinigte Königreich“
Demnach gilt: „Für die Dauer des festgelegten Zeitraums gilt die Übermittlung personenbezogener Daten aus der Union an das Vereinigte Königreich nicht als Übermittlung an ein Drittland im Sinne des Unionsrechts…“
Eingeschränkt wird dieser „Freibrief“ beispielsweise in dem Fall, wenn die UK eigene, nicht mehr auf Grundlage der DSGVO beruhende, Datenschutzregelungen erlässt. (Absatz 5)
Aber auch zeitlich gilt diese Regelung nicht unbegrenzt. Der Artikel spezifiziert den „festgelegten Zeitraum“ im Absatz 4 wie folgt: „Der „festgelegte Zeitraum“ beginnt am Tag des Inkrafttretens dieses Abkommens und endet vorbehaltlich des Absatzes 5 … an dem Tag vier Monate nach Beginn des festgelegten Zeitraums, der um zwei weitere Monate verlängert wird, es sei denn, eine der Vertragsparteien erhebt Einwände …“
Gleichzeitig wird die Hintertür eines Angemessenheitsbeschlusses offengelassen, der einerseits die hier besprochene Regelung automatisch beendet, jedoch als Angemessenheitsbeschluss erstmals eine dauerhafte Lösung für den Datentransfer in die UK bereitstellen würde.
Mit einem Angemessenheitsbeschluss ist aber in naher Zukunft wahrscheinlich nicht zu rechnen, denn der britische Premierminister Boris Johnson hat bereits deutlich gemacht, dass die zukünftigen UK-Datenschutzregelungen nicht auf DSGVO-Basis entstehen werden[2]. Die EU wird damit erst dann eine Angemessenheit attestieren können, wenn die britische Regierung ihrerseits eigene Datenschutzregeln erlassen hat.
Kurz: Das BREXIT-Abkommen verschafft allen Unternehmen etwas Luft und sichert vorerst den Datentransfer in die UK – einer Dauerlösung ist jedoch (noch) nicht zu erkennen. Sofern hier keine Bewegung erkennbar wird, sollten die Unternehmen eine andere Rechtsgrundlage zur Datenübermittlung heranziehen.
Sofern Ihr Unternehmen personenbezogene Daten in die UK übermittelt, sprechen Sie mit uns über mögliche alternative Rechtsgrundlagen und wie diese in Ihrem Unternehmen umgesetzt werden können.
[1] https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=uriserv%3AOJ.L_.2020.444.01.0014.01.ENG
[2] https://t3n.de/news/dsgvo-grossbritannien-nutzt-fuer-1250027/
