Mit Ablauf des 31. Januar 2020 ist das Vereinigte Königreich aus der EU ausgetreten. Dies gilt auch für den Datenschutz. Denn mit dem Austritt des Vereinigten Königreichs aus der EU wurde das Land vom EU-Mitglied zum „Drittstaat“. Und für Drittstaaten gelten laut Datenschutz-Grundverordnung (DSGVO) besondere datenschutzrechtliche Vorkehrungen.
Allerdings schloss sich an den Brexit datenschutzrechtlich zunächst eine elfmonatige Übergangsphase bis zum 31. Dezember 2020 an, in der das Vereinigte Königreich und die EU ihre künftige Zusammenarbeit in Sachen Datenschutz aushandelten. Die DSGVO fand in dieser Übergangsphase weiterhin Anwendung.
Was der Drittstaat-Status bedeutet
Gilt ein Land als Drittstaat, bedeutet dies für Unternehmen, dass sie auf besondere Instrumente der DSGVO zurückgreifen müssen, um personenbezogene Daten rechtmäßig an einen Empfänger in diesem Drittstaat zu übermitteln. Es sind vor allem die Bestimmungen der Art. 44 ff. DSGVO zu beachten:
- Vorliegen geeigneter Garantien, z. B. EU-Standarddatenschutzklauseln,
- Datenübermittlung innerhalb eines Konzerns bei Vorliegen von Binding Corporate Rules oder
- Ausnahmen für bestimmte Fälle, wie die ausdrückliche Einwilligung der betroffenen Person oder die Übermittlung zur Erfüllung eines Vertrages mit der betroffenen Person.
Werden die Anforderungen der Art. 44 ff. DSGVO nicht erfüllt, droht Unternehmen ein Bußgeld von bis zu 4 % des weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres.
Einstufung als „sicheres Drittland“
Erfreulich ist, dass die EU-Kommission das Vereinige Königreich im Juni 2021 als sicheres Drittland eingestuft hat. Dies bedeutet, dass das Vereinigte Königreich aus Sicht der EU ein angemessenes Schutzniveau für personenbezogene Daten bietet. Die Datenübermittlung bedarf somit keiner besonderen Genehmigung und kann ungehindert erfolgen. Alle vier Jahre wird die Europäische Kommission selbständig überprüfen, ob die Angemessenheit des Datenschutzniveaus im Vereinigten Königreich weiterhin gewährleistet wird und der Angemessenheitsbeschluss entsprechend verlängert werden kann. Auch wenn die Datenübermittlung erst einmal gesichert ist, gilt es, etwaige Entwicklungen im Blick zu behalten.