Blog

Brexit: Wie funktioniert der Datentransfer zwischen EU und Großbritannien?

Der Brexit bedeutet in Sachen Datenschutzregelungen einen Ausstieg in Stufen. Er war und ist daher gekennzeichnet von Übergangsregelungen.

Welche Regelungen wurden bisher getroffen?

Großbritannien wurde bis Ende 2020 weiterhin wie ein EU-Mitglied behandelt mit der Folge, dass der grenzüberschreitende Datenverkehr auf Basis der DSGVO abgewickelt werden konnte.

What will happen this year?

Die EU und das Vereinigte Königreich haben sich für einen weiteren Übergangszeitraum auf die Grundregeln der künftigen Zusammenarbeit im Rahmen eines Handels- und Zusammenarbeitsabkommens (sog. Trade and Cooperation Agreement, kurz “TCA”) geeinigt.

Der TCA sieht vor, dass der aktuelle Datentransfer sich nach den Vorgaben des Data Protection Act 2018, also dem nationalen Datenschutzrecht in UK sowie einer neuen, angepassten DSGVO richten, der “UK GDPR”. Diese entsprecht weitgehend der innereuropäisch geltenden Version der DSGVO. Datenübertragungen in das Vereinigte Königreich sind im Übergangszeitraum daher weiterhin so möglich, als wäre das Land noch in der EU.

Können sich Versender kommerzieller E-Mails aktuell bequem zurücklehnen?

Die Geltung der Übergangsregelung des TCA ist an eine Reihe von Voraussetzungen geknüpft. Das Vereinigte Königreich darf seine Datenschutzgesetze nicht ändern und keine Handlungen ausüben, die das aktuell bestehende Datenschutzniveau effektiv ändern. Sollte Großbritannien hiergegen verstoßen, wären ab diesem Zeitpunkt Datenübermittlungen aus der EU in das Vereinigte Königreich sofort als grenzüberschreitende Übermittlungen in ein unsicheres Drittland im Sinne der Art. 44 ff. DSGVO anzusehen. Aufgrund dieser Regelung besteht für EU Datenexporteure also weiterhin Rechtsunsicherheit, da die Übergangsbestimmung jederzeit und ohne Vorankündigung für Datenübermittler und -verarbeiter enden könnte.

Wann enden die Übergangsregelungen und was kommt danach?

Ziel der EU ist es, bis spätestens Ende Juni diesen Jahres einen sogenannten Angemessenheitsbeschluss vorzulegen, der besagt, dass das Datenschutzniveau in Großbritannien vergleichbar ist mit dem in der EU. Derzeit wird über den Beschluss verhandelt, einen ersten Entwurf der Kommission gibt es bereits. Bald schon soll der Europäische Datenschutzausschuss EDSA eine Stellungnahme abgeben.

Was passiert, wenn der Angemessenheitsbeschluss nicht zustande kommt?

In diesem Fall könnten Versender auf die sog. Standarddatenschutzklauseln (“Standard Contractual Clauses – SCCs”), die von der EU-Kommission zur Verfügung gestellt werden, zurückgreifen. Problem ist allerdings hierbei, dass die SCCs nach dem Urteil des EUGH zum EU/US-Privacy Shield neu überarbeitet werden. Siehe hierzu auch unsere Blogartikel: Ausblick auf 2021 – was wird uns im kommenden Jahr beschäftigen? Teil 2: Neuer EU-US-Datenübertragungspakt? und Was tun nach dem Fall des EU-US-Privacy-Shield?

Fazit:

Der Entwurf eines Angemessenheitsbeschlusses durch die EU-Kommission kann Versender kommerzieller E-Mails vorsichtig optimistisch stimmen. Dennoch muss die weitere Entwicklung genau beobachtet werden, so dass im Falle eines Scheiterns flexibel auf Standardvertragsklauseln zurückgegriffen werden kann. Daher sollte ein Plan B zur Umsetzung hierfür bei den Versendern bereits in der Schublade liegen.


Weitere Artikel

    Kontaktieren Sie uns