Alle Fakten zum Datenschutz beim Brexit

Das Vereinigte Königreich Großbritannien und Nordirland ist am 31. Januar 2020 aus der Europäischen Union (EU) ausgetreten. Derzeit ist noch nicht abzusehen, wie sich nach dem Brexit das Verhältnis von Großbritannien zur Union gestalten wird. Für viele Firmen in der EU stellt sich daher die Frage, unter welchen Bedingungen zukünftig überhaupt noch personenbezogene Daten an britische Unternehmen übertragen werden dürfen.

Rechtslage während der Brexit-Übergangsfrist

Am 24. Januar 2020 hat die EU das Austrittsabkommen mit Großbritannien unterzeichnet. Es handelt sich dabei um ein Austrittsgesetz, das das britische Beitrittsgesetz zur Europäischen Gemeinschaft von 1972 aufhebt. Wichtigster Punkt dieses Abkommens ist eine Übergangsfrist bis Ende 2020, in der sich nach dem Austritt Großbritanniens aus der EU praktisch fast nichts ändert. Die Übergangsphase soll dazu dienen, das zukünftige Verhältnis zwischen den Partnern zu regeln.

Während der Übergangsphase bis zum 31. Dezember 2020 wird Großbritannien weiterhin wie ein EU-Mitgliedstaat behandelt. Die EU-Datenschutz-Grundverordnung (DSGVO) findet demnach weiterhin Anwendung.

Rechtslage nach der Brexit-Übergangsfrist

Was nach dem Übergangszeitraum sein wird, bleibt abzuwarten. Das Austrittsabkommen sieht in Art. 71 vor, dass die DSGVO in Großbritannien so lange Anwendung findet, bis die EU Großbritannien als Drittland mit angemessenem Schutzniveau nach Art. 45 DSGVO einstuft.

Bis Ende der Übergangsfrist erscheint die Zeit für solch einen Angemessenheitsbeschluss jedoch zu kurz. Eine Einschätzung der EU-Kommission kann erst dann erfolgen, wenn bekannt wird, welche eigenen Datenschutzgesetze Großbritannien sich selbst geben wird. Die britische Regierung hat mehrmals bestätigt, dass die Bestimmungen der DSGVO in nationales Recht implementiert werden sollen, um ein hohes Datenschutzniveau und die Angleichung an die EU-Standards nach dem Brexit aufrechtzuerhalten.

Allerdings ist es fraglich, ob die EU-Kommission einen solchen Beschluss fassen wird. Die Kommission legt bei ihrer Beurteilung nicht nur die angewandten Datenschutzrechte zugrunde, sondern prüft auch die nationale Sicherheitspolitik des Landes und die entsprechende Gesetzgebung und Praxis sowie die elementaren Menschenrechte beim Umgang mit personenbezogenen Daten.

Unter anderem hat Großbritannien 2016 den Investigatory Powers Act verabschiedet, eines der härtesten Überwachungsgesetze einer Demokratie. Geheimdienste haben somit weitreichende Überwachungsmöglichkeiten und das Gesetz ermöglicht die Vorratsdatenspeicherung. Dies könnte die EU zweifeln lassen, dass in Großbritannien ein angemessener Datenschutz gewährleistet ist. Aus ähnlichen Gründen wurde bereits das Safe-Harbor-Abkommen mit den USA vom Europäischen Gerichtshof (EuGH) gekippt.

Demnach ist es wahrscheinlich, dass Großbritannien nach der Übergangsphase zu einem sogenannten Drittland wird, in das nicht ohne Weiteres personenbezogene Daten übertragen werden dürfen.

Wie können Unternehmen sich auf die Zeit nach der Übergangsfrist vorbereiten?

Sofern es nach der Brexit-Übergangsfrist kein Angemessenheitsbeschluss oder ein Abkommen zwischen der EU und Großbritannien bzgl. des Datenschutzes gibt, müssen Unternehmen, die personenbezogene Daten nach Großbritannien übermitteln wollen, ihre Datenübermittlungen mit den besonderen Maßnahmen nach Kapitel V DSGVO absichern.

Lesen Sie unsere Anleitung für Datentransfers ins Post-Brexit-Großbritannien, um sich bestmöglich auf die Zeit nach der Übergangsfrist vorzubereiten.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Kommentar schreiben

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Netiquette: Wir tolerieren keine grob unsachlichen Beiträge oder Werbung in eigener Sache und werden entsprechende Einträge nicht veröffentlichen sondern löschen. Informationen zu der Verarbeitung Ihrer personenbezogenen Daten finden Sie in unserer Datenschutzerklärung.