Aufgrund einiger aktueller Anfragen erneut ein Blog zum Thema Brexit und DSGVO. Gesondert und abseits dieses Blogs sei gleich darauf hingewiesen, dass die aktuelle Regierung Großbritanniens Änderungen der (noch) geltenden Datenschutz Regelungen in Aussicht gestellt, die das Königreich noch nutzt (UK GDPR). Man wolle sich einen Wettbewerbsvorsprung verschaffen. Ob Brüssel in diesen neuen Regelungen adäquate Regelungen sehen wird muss man abwarten.
Die Leitlinie der EU und insbesondere der deutschen Aufsichtsbehörden bei einem Datenaustausch mit Ländern der EU / nicht privilegierten Drittländern ist immer die Frage, ob in den betroffenen Ländern faktisch (und nicht nur auf dem Papier) ein angemessenes Datenschutzniveu gewährleistet werden könne.
So auch hier:
- Datenaustausch aus der EU mit dem Vereinigten Königreich
Am 28.06.2021 erlies die EU Kommission zwei Adäquanzbeschlüsse. Dabei handelt es sich um sog. Angemessenheitsbeschlüsse. Der eine Beschluss bezieht sich auf die Angemessenheit des Datenschutzniveaus unter Geltung der UK GDPR und der andere auf die LAW Enforcement Directive, also die Richtlinie zum Datenschutz bei der Strafverfolgung.
Die Beschlüsse wurden auf einen Zeitraum von vier Jahren begrenzt (bis zum 27.06.2025). Trotz der Begrenzung ist es der Kommission jederzeit möglich einzuschreiten, sollte das Datenschutzrecht des Vereinigten Königreichs kein angemessenes Datenschutzniveau mehr gewährleisten.
Somit ist ein Datenaustausch der EU mit dem Vereinigten Königreich bis zum 27.6.2025 möglich. Einzige Prämisse ist, dass ein mit der GDPR vergleichbares Schutzniveau gewährleistet wird.
Sollte es von Änderungen der Johnson Regierung zu signifikanten Änderungen kommen, wird man abzuwarten haben, wie die Behörden diese Änderungen bewerten.
- Datenaustausch des Vereinigen Königreichs mit anderen Drittländern
Was geschieht nun, wenn man mit einem Unternehmen einen Vertrag abschließt, dass seinen Sitz in den United Kingdoms hat und seinerseits Daten ins außereuropäische Ausland verlagert. Beispiel von Deutschland nach England von dort in die USA?
Mit dem Austritt hat das britische Information Commissioner’s Office eigenständige Vertragsklauseln erlassen. Nach dem International Data Transfer Agreement (IDTA) und dem International Data Transfer Addendum ist ein Datenaustausch zwischen dem Vereinigten Königreich und anderen Drittländern möglich. Werden personenbezogene Daten von EU Bürgern vom Vereinigten Königreich an andere Drittländer übermittelt muss auch dort ein vergleichbares Schutzniveau im Drittland sichergestellt werden.
Das IDTA ist nichts anderes als die in der EU verwendeten Standardvertragsklauseln.
- International Data Transfer Agreement (IDTA)
Ein wesentlicher Unterschied des IDTA ist, dass den Parteien mehr Spielraum beim Vertragsabschluss gewährleistet wird. Dies wird durch einen weiteren Anwendungsbereich, der Möglichkeit des Abschlusses eines separaten, kommerziellen Vertrages und der Implementierung der Bestimmungen des Vertrages in das IDTA ermöglicht. Auch kann ein Schiedsgericht, anstelle des ordentlichen Rechtsweges vereinbart werden.
- International Data Transfer Addendum
Das International Data Transfer Addendum kommt neben den EU Standardklauseln in Betracht, wenn ein Unternehmen personenbezogene Daten vom Vereinigten Königreich in Drittländer transferieren möchte.
Aufgrund dieser Regelungen ist ein Unternehmen nicht verpflichtet neben den EU Standardklauseln zusätzlich das IDTA anzuwenden.
Allerdings wäre der Aufwand geringer, wenn die personenbezogenen Daten direkt aus der EU in das Drittland transferiert werden würden.
- Geltungsdauer
Wichtig ist zudem wann bzw. bis wann die Verträge für den Datentransfer mit Drittländern abgeschlossen wurden oder werden.
Für bestehende Verträge und solche die bis zum 21.09.2022 abgeschlossen werden und die noch die alten Standardklauseln der EU enthalten, können zunächst weitergeführt werden. Bis zum 31.03.2024 muss jedoch eine Anpassung vorgenommen werden. Die alten EU-Standardklauseln müssen wahlweise durch das IDTA oder die neuen EU-Standardklauseln in Verbindung mit dem International Data Transfer Addendum ersetzt werden.
Kommt es zum Vertragsabschluss zwischen dem 31.03.2022 und dem 21.09.2022 können entweder die alten EU-Standardklauseln, die IDTA oder die neuen EU-Standardklauseln in Verbindung mit dem International Data Transfer Addendum verwendet werden.
Ab dem 21.09.2022 müssen bei neuen Verträgen die IDTA oder die neuen EU-Standardklauseln in Verbindung mit dem International Data Transfer Addendum verwendet werden.
Fazit
Unternehmen die auf einen Datentransfer in das Vereinigte Königreich oder von dort in andere Drittländer angewiesen sind, ist anzuraten die Rechtentwicklung zu beobachten und ggf. zu reagieren. Mehr kann man im Moment nicht tun.