Der Brexit hat in den verschiedensten Bereichen und geschäftlichen Beziehungen weitreichende Folgen. Aus Sicht der DSGVO sind sämtliche Staaten außerhalb der EU sowie des Europäischen Wirtschaftsraums als Drittstaaten zu bezeichnen. Personenbezogene Daten dürfen dadurch nicht wie gewohnt übermittelt werden (Art. 46 Abs. 1 DSGVO). Neben der allgemeinen Rechtmäßigkeit der Datenverarbeitung wird bei der Übermittlung in ein Drittland ein Übermittlungstatbestand gefordert. Aufgrund des Handels- und Kooperationsabkommens zwischen der EU und dem Vereinigten Königreich fällt der Transfer personenbezogener Daten zwischen Organisationen beider Länder zunächst nicht unter die Regelungen für Drittstaaten. Es gilt eine Überbrückungszeit, welche vier Monate beträgt und um weitere zwei Monate verlängert werden kann, sofern weder die EU noch das Vereinigte Königreich widersprechen. Die Bedingung für diese Überbrückungszeit liegt darin, dass die Regelungen der DSGVO weiterhin eingehalten werden.
Seit dem Ende letzten Jahres gelten für britische Verantwortliche nicht mehr die Regelungen der DSGVO, sondern vielmehr die der Data Protection Act 2018 sowie die UK-GPDR. Der Großteil aller Regelungen wurde jedoch aus der DSGVO übernommen.
Folgen in der Datenschutzorganisation
Im Hinblick auf die Datenschutzorganisation hat der Brexit ebenfalls entscheidende Konsequenzen. Insbesondere in den Bereichen der Informationspflichten, Datenschutzerklärungen sowie der Archivierung können unterschiedliche Regelungen und Anordnungen aufeinandertreffen. Bei geschäftlichen Beziehungen ist daher auf Anpassungen der Informationspflichten sowie Datenschutzerklärungen zu achten.
Sollte die EU-Kommission einen Angemessenheitsbeschluss gem. Art. 45 DSGVO fassen, können reibungslose Datenübermittlungen auch weiterhin gewährleistet bleiben. Aufgrund der Überbrückungszeit hat die EU-Kommission längstens bis zum 30.06.2021 Zeit, diesen Beschluss zu fassen, bevor für eine grenzüberschreitende Datenverarbeitung auf andere Rechtfertigungstatbestände wie etwa Standardvertragsklauseln zurückgegriffen werden müsste. Der Angemessenheitsbeschluss verlangt insbesondere, dass ein angemessenes Schutzniveau bestehen bleibt. Hierbei werden gem. Art. 45 Abs. 2 DSGVO insbesondere die Rechtsstaatlichkeit, die Existenz und Funktionsweise von unabhängigen Aufsichtsbehörden sowie das Eingehen internationaler Verpflichtungen betrachtet. Die Entwicklung des Vereinigten Königreichs sowie der internationalen Organisationen werden fortlaufend im Hinblick auf den Datenschutz beobachtet. In diesem Zusammenhang werden insbesondere die vom EuGH zum US-Privacy-Shield aufgestellten Grundsätze zu berücksichtigen sein.
Sie benötigen Unterstützung bei der Umsetzung? Wir stehen Ihnen gerne mit Rat und Tat zur Seite. Weitere Informationen und Kontaktmöglichkeiten finden Sie unter https://kajo-datenschutz.de
