Brexit
Das Vereinigte Königreich Großbritannien und Nordirland (das Vereinigte Königreich) ist am 31. Januar 2020 aus der Europäischen Union (EU) ausgetreten (sog. „Brexit“).
Mit dem Abkommen über den Austritt des Vereinigten Königreichs Großbritannien und Nordirland aus der Europäischen Union und der Europäischen Atomgemeinschaft vom 31. Januar 2020 (EU-Amtsblatt 2020/L 29/7 ff.) wurden u.a. Regelungen zur Anwendung des Datenschutzrechts getroffen. Während eines Übergangszeitraums bis zum 31. Dezember 2020 galt das „Unionsrecht über den Schutz personenbezogener Daten“ im Vereinigten Königreich für die Verarbeitung der personenbezogenen Daten betroffener Personen außerhalb des Vereinigten Königreichs weiter. Das Vereinigte Königreich galt also nicht als Drittland im Sinne von Kapitel V DS-GVO. Die einschlägigen Vorschriften mussten von Verantwortlichen oder Auftragsverarbeitern in der EU, die personenbezogene Daten in das Vereinigte Königreich übermitteln, daher bisher nicht berücksichtigt werden.
Die Verlängerung des Übergangszeitraums wäre einmalig um ein oder zwei Jahre möglich gewesen. Der Beschluss darüber hätte vor dem 1. Juli 2020 gefasst werden müssen, was jedoch nicht geschah. Angemessenheitsbeschlüsse hat die EU-Kommission bisher ebenfalls nicht erlassen.
Rechtslage nach dem Ende des Übergangszeitraums am 31.12.2020
Im Rahmen eines Handels- und Zusammenarbeitsabkommens sahen das Vereinigte Königreich und die EU vor dem Ende dieser Übergangsfrist eine neue Übergangsregelung für Datenübermittlungen vor, die den befürchteten gravierenden Rechtsunsicherheiten vorbeugen sollte. Danach sollten Übermittlungen personenbezogener Daten von der EU in das Vereinigte Königreich für eine weitere Übergangsperiode nicht als Übermittlungen in ein Drittland angesehen werden. Diese Periode endete, da die EU-Kommission das Vereinigte Königreich betreffende Angemessenheitsentscheidungen nach Art. 45 Abs. 3 DS-GVO und Art. 36 Abs. 3 JI-Richtlinie bisher nicht getroffen hat, Mitte 2022.
Die Empfehlungen der Datenschutzaufsichtsbehörden vom 12. Februar 2019 und vom 30. März 2019 gelten weiterhin. Sie sind in dem Licht zu lesen, dass der Austritt inzwischen vollzogen wurde und dass das Vereinigte Königreich nach dem Übergangszeitraum nun als Drittland zu behandeln ist.
Welche Verantwortlichen sind betroffen?
Betroffen sind alle öffentlichen und nicht-öffentlichen Stellen, die personenbezogene Daten in das Vereinigte Königreich übermitteln, also nicht nur Behörden und Konzerne, sondern auch kleine und mittelständische Unternehmen, Vereine, Universitäten usw. Personenbezogene Daten sind zum Beispiel Name, Anschrift, Geburtsdatum, Religionszugehörigkeit, Bankdaten und zwar sowohl von Kundinnen und Kunden, Beschäftigten, Vertragspartnern als auch von Vereinsmitgliedern, Studierenden usw. Auch die Inanspruchnahme von IT-Dienstleistungen durch britische Unternehmen (z.B. Microsoft Europe mit diversen Cloud-Lösungen) oder die Durchführung einer Auftragsverarbeitung durch ein europäisches Unternehmen für einen Verantwortlichen im Vereinigten Königreich stellen eine Datenübermittlung dar, die den Anwendungsbereich des Kapitel V Datenschutz-Grundverordnung eröffnet.
Weshalb müssen die Verantwortlichen tätig werden?
Die Aufsichtsbehörden haben ergänzende Befugnisse im Falle der Nichteinhaltung von Vorgaben für Datenübermittlungen in Drittländer. Sie können die Datenübermittlung gemäß Art. 58 Abs. 2 lit. j DS-GVO aussetzen und haben gemäß Art. 83 Abs. 5 lit. c DS-GVO eine zusätzliche Möglichkeit, eine Geldbuße zu verhängen, wenn es zu Verstößen gegen die Vorgaben für Datenübermittlungen in Drittländer kommt. Da das Datenschutzniveau im Vereinigten Königreich sehr hoch ist, ist es nicht sehr wahrscheinlich, dass von diesen Maßnahmen Gebrauch gemacht werden muss. Es ist aber dennoch möglich und damit für den Einzelfall nicht ausgeschlossen.
Was ist zu tun?
Insbesondere folgende Vorschriften sind für die Datenübermittlung in Drittländer zu berücksichtigen:
- Im Informationsblatt zur Datenverarbeitung und in der Datenschutzerklärung einer Website ist gemäß Art. 13 Abs. 1 lit. f bzw. Art. 14 Abs. 1 lit. f DS-GVO über die Datenübermittlung in ein Drittland zu informieren.
- Wenn eine betroffene Person von ihrem Auskunftsrecht Gebrauch macht, ist sie gemäß Art. 15 Abs. 1 lit. c, Abs. 2 DS-GVO auch über die Datenübermittlung in Drittländer zu beauskunften.
- Im Verzeichnis von Verarbeitungstätigkeiten sind Datenübermittlungen in Drittländer gemäß Art. 30 Abs. 1 lit. d und lit. e DS-GVO bzw. Art. 30 Abs. 2 lit. c DS-GVO als solche zu bezeichnen und die weiteren in diesem Zusammenhang geforderten Angaben zu machen.
- Ggf. sind Datenschutz-Folgenabschätzungen erstmals durchzuführen oder bereits erfolgte zu überprüfen, soweit es um die Datenübermittlung in das Vereinigte Königreich als Drittland geht (Art. 35 DS-GVO).
- Soweit die EU-Kommission keinen Angemessenheitsbeschluss erlassen hat, sind geeignete Garantien zum Schutz personenbezogener Daten bei der Übermittlung in ein Drittland zu schaffen, wenn nicht Ausnahmetatbestände greifen. Kurz gesagt ist Kapitel V DS-GVO (Art. 44 ff. DS-GVO) anzuwenden.
Was bedeutet Kapitel V?
Für eine rechtskonforme Datenübermittlung in ein Drittland müssen neben allen übrigen Anforderungen der DS-GVO in ihren vorderen Kapiteln (sog. 1. Stufe) zusätzlich die Anforderungen nach Kapitel V an die Übermittlung personenbezogener Daten in Drittländer beachtet werden (sog. 2. Stufe). Dies gilt auch bei einer Weiterübermittlung der personenbezogenen Daten durch die empfangende Stelle im Drittland (Art. 44 S. 1 2. HS DS-GVO; siehe auch Erwägungsgrund 101). Die Verantwortlichen müssen also geeignete Garantien im Sinne der Art. 46 ff. DS-GVO schaffen, um Datenübermittlungen datenschutzkonform fortführen zu können.
Gibt es Ausnahmen?
Ausnahmsweise darf die Datenübermittlung in ein Drittland auch ohne Vorliegen geeigneter Garantien zum Schutz der Daten erfolgen, wenn die Voraussetzungen für einen der folgenden Ausnahmetatbestände des Art. 49 DS-GVO erfüllt sind:
- wirksame Einwilligung der betroffenen Person;
- Erforderlichkeit zur Vertragserfüllung;
- wichtige Gründe des öffentlichen Interesses;
- Verfolgung von Rechtsansprüchen;
- Schutz lebenswichtiger Interessen;
- Wahrung zwingender berechtigter Interessen.
Weitere Informationen
- Allgemeine Informationen zur Datenübermittlung in Drittländer
- Informationen der britischen Datenschutz-aufsichtsbehörde zum Datentransfer vom Vereinigten Königreich in einen Mitgliedstaat der EU
- Informationen der EU-Kommission zum Thema Brexit allgemein
- Beschluss der DSK zu Datenübermittlungen aus Deutschland in das Vereinigte Königreich Großbritannien und Nordirland ab dem 30. März 2019
- Information note on BCRs for Groups of undertakings /enterprises which have ICO as BCR Lead SA
- Pressemitteilung der DSK vom 28.12.2020
- Entwurf von Angemessenheits-beschlüssen zum Vereinigten Königreich vom 19.02.2021