Bis Ende April (ggf. sogar bis Ende Juni 2021) gelten Datentransfers aus der EU in das Vereinigte Königreich (noch) nicht als “Drittlandstransfers” und benötigen daher keine gesonderte, datenschutzrechtliche Rechtfertigung. Unabhängig davon müssen Unternehmen jedoch ggf. kurzfristig EU- oder UK-Vertreter bestellen.
Hintergrund und aktuelle Entwicklung
Am 31. Dezember 2020 endete die sog. Brexit-Übergangsphase, nachdem das Vereinigte Königreich bereits zum 31. Januar 2020 aus der EU ausgetreten war. Aufgrund der laufenden Verhandlungen war daher bis Ende Dezember 2020 noch unklar, welche datenschutzrechtlichen Regelungen für den Datenschutz bzw. den Datentransfer aus dem und in das Vereinigte Königreich gelten würden.
Es stand zu befürchten, dass das Vereinigte Königreich als “Drittland” im Sinne der Art. 44 ff. Datenschutzgrundverordnung (DSGVO) gelten würde. Dies hätte den Datentransfer von personenbezogenen Daten deutlich erschwert und einige Rechtsunsicherheit verursacht.
Am 30. Dezember 2020 schlossen die EU und das Vereinigte Königreich ein sog. “Handels- und Kooperationsabkommen” (Englisch: “EU-UK Trade and Cooperation Agreement”). Der über 1.200 Seiten lange Text des Vertrages ist hier verfügbar.
Privilegierung von Datentransfers für bis zu sechs Monate
Das Handels- und Kooperationsabkommen enthält auch Übergangsreglung für EU-UK Datentransfers, so heißt es dort (in Artikel “FINPROV.10A”, Seite 468):
[…] die Übermittlung personenbezogener Daten aus der Union an das Vereinigte Königreich [gilt] nicht als Übermittlung an ein Drittland im Sinne des Unionsrechts […]
Damit genießen Datentransfers in das Vereinigte Königreich vorerst eine Privilegierung: Obwohl das Land aus der EU ausgetreten ist und damit datenschutzrechtlich eigentlich als Drittland gelten müsste, wird diese Rechtsfolge durch eine Art “negative Fiktion” vorerst verhindert.
Aus Sicht eines datenschutzrechtlichen Verantwortlichen in der EU, der Daten ins Vereinigte Königreich überträgt, ändert sich daher – bis auf weiteres – nichts. Insbesondere muss der Verantwortliche keinen Angemessenheitsbeschluss der EU-Kommission abwarten oder sonst eine der Garantien der Art. 45 ff. DSGVO (z.B. Standardvertragsklauseln) bemühen, um die Datentransfers aus der EU in das Vereinigte Königreich zu legitimieren.
Die Privilegierung ist dabei auf vier Monate (d.h.bis Ende April 2021) begrenzt, wobei eine automatische Verlängerung um weitere zwei Monate (d.h. bis Ende Juni 2021) vorgesehen ist – es sei denn, entweder die EU oder das Vereinigte Königreich widersprechen vorher der Verlängerung.
Daneben ist die Privilegierung noch von einigen Bedingungen abhängig: So darf das Vereinigte Königreich etwa seine datenschutzrechtlichen Vorschriften nicht wesentlich ändern (außer, um sie an Entwicklungen der DSGVO anzupassen). Ansonsten verliert die Privilegierung sofort ihre Wirksamkeit.
Unternehmen müssen dennoch EU- bzw. UK-Vertreter bestellen
Auch wenn EU-UK Datentransfers privilegiert bleiben, gibt es durch den Brexit eine neue Pflicht für Unternehmen, ggf. datenschutzrechtliche Vertreter in der jeweiligen Region zu bestellen.
Hierzu berichteten wir bereits ausführlich auf dem PLANIT//LEGAL Blog:
Fazit
Mit dieser Übergangsregelung haben sich EU und Vereinigtes Königreich etwas Aufschub für die Ausgestaltung der Zukunft von Datentransfers zwischen EU und UK erkauft.
Den datenschutzrechtlichen Unsicherheiten des Brexit ist mit dieser Übergangslösung daher nur vorerst begegnet worden. Das Augenmerk muss nun auf dem Angemessenheitsbeschluss der EU-Kommission und der weiteren Ausgestaltung des Datenschutzrechts im Vereinigten Königreich liegen.