Was bedeutet der Brexit für den Datenschutz?

Mit Ablauf des 31. Januar 2020 ist das Vereinigte Königreich aus der EU ausgetreten. Dies gilt auch für den Datenschutz. Denn mit dem Austritt des Vereinigten Königreichs aus der EU wurde das Land vom EU-Mitglied zum „Drittstaat“. Und für Drittstaaten gelten laut Datenschutz-Grundverordnung (DSGVO) besondere datenschutzrechtliche Vorkehrungen.

Allerdings schloss sich an den Brexit datenschutzrechtlich zunächst eine elfmonatige Übergangsphase bis zum 31. Dezember 2020 an, in der das Vereinigte Königreich und die EU ihre künftige Zusammenarbeit in Sachen Datenschutz aushandelten. Die DSGVO fand in dieser Übergangsphase weiterhin Anwendung.

Was der Drittstaat-Status bedeutet

Gilt ein Land als Drittstaat, bedeutet dies für Unternehmen, dass sie auf besondere Instrumente der DSGVO zurückgreifen müssen, um personenbezogene Daten rechtmäßig an einen Empfänger in diesem Drittstaat zu übermitteln. Es sind vor allem die Bestimmungen der Art. 44 ff. DSGVO zu beachten:

Vorliegen geeigneter Garantien, z. B. EU-Standarddatenschutzklauseln,
Datenübermittlung innerhalb eines Konzerns bei Vorliegen von Binding Corporate Rules oder
Ausnahmen für bestimmte Fälle, wie die ausdrückliche Einwilligung der betroffenen Person oder die Übermittlung zur Erfüllung eines Vertrages mit der betroffenen Person.

Werden die Anforderungen der Art. 44 ff. DSGVO nicht erfüllt, droht Unternehmen ein Bußgeld von bis zu 4 % des weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres.

Einstufung als „sicheres Drittland“

Erfreulich ist, dass die EU-Kommission das Vereinige Königreich im Juni 2021 als sicheres Drittland eingestuft hat. Dies bedeutet, dass das Vereinigte Königreich aus Sicht der EU ein angemessenes Schutzniveau für personenbezogene Daten bietet. Die Datenübermittlung bedarf somit keiner besonderen Genehmigung und kann ungehindert erfolgen. Alle vier Jahre wird die Europäische Kommission selbständig überprüfen, ob die Angemessenheit des Datenschutzniveaus im Vereinigten Königreich weiterhin gewährleistet wird und der Angemessenheitsbeschluss entsprechend verlängert werden kann. Auch wenn die Datenübermittlung erst einmal gesichert ist, gilt es, etwaige Entwicklungen im Blick zu behalten.

Barbara Scheben

Partner, Head of Forensic, Head of Data Protection

Kontaktieren Sie mich

Barbara Scheben

Partner, Head of Forensic, Head of Data Protection

Kontaktieren Sie mich

Was der EU AI Act für Unternehmen bedeutet

Das Metaverse bietet dem Einzelhandel enormes Absatzpotenzial

Change Management aus der Mitte

Fünf Trends in der Cloud-Nutzung

Die Zeit für eine nachhaltige Corporate Governance ist gekommen

S/4HANA: Mit der Einführung mutig vorangehen und die Resilienz erhöhen

Derisking statt Decoupling – ein neuer Ansatz gegenüber China?

So sollte die Logistikbranche auf das Lieferkettengesetz reagieren

Themen-Hubs

Financial Services Hub

Customer Insights Hub

Capital-Markets-Insights Hub

Financial Services Hub

Customer Insights Hub

Capital-Markets-Insights Hub

Was bedeutet der Brexit für den Datenschutz?

Was Unternehmen beachten müssen, die EU-Daten ins Vereinigte Königreich transferieren.

Barbara Scheben

Barbara Scheben

Einigung auf CSDDD: Nachhaltigere Lieferketten oder nur mehr Aufwand?

Influencer-Marketing: Worauf Unternehmen steuerlich achten sollten

Jahresbericht: So können Sie die Qualität steigern