TMC inkl. Datenschutz

Rechtsbereich

Rechtsaspekt

Konsequenz

Datenschutz

Übermittlung personenbezogener Daten an Empfänger aus Drittstaaten erfordern ergänzende Feststellungen / Maßnahmen zur Sicherstellung eines angemessenen Datenschutzniveaus.

Sofern zwischen EU und UK keine Sonderregelungen vereinbart werden, gilt UK nach dem Brexit datenschutzrechtlich zunächst als „unsicherer Drittstaat“.

Sofern keine derart übergreifenden Initiativen angestoßen werden, muss für Datenübermittlungen nach UK im Einzelfall ein angemessenes Datenschutzniveau sichergestellt werden, ggf. durch vertragliche Vereinbarungen mit dem jeweiligen Empfänger.

Diese Maßgabe gilt sowohl aufgrund der derzeit geltenden EU-Datenschutzrichtlinie (und der entsprechenden nationalen Gesetze) als auch aufgrund der ab 25. Mai 2018 anwendbaren EU-Datenschutz-Grundverordnung.

In diesem Fall könnte UK

  • die EU-Datenschutzregelungen (ggf. auch die EU-Datenschutz-Grundverordnung) einseitig anerkennen;
  • eine „Angemessenheitsentscheidung“ der EU-Kommission initiieren.

Als Maßnahmen kommen in Betracht:

  • Die allgemeine Feststellung eines angemessenen Datenschutzniveaus aufgrund einer Angemessen-heitsentscheidung der EU-Kommission (derzeit für elf Länder und für zertifizierte US-Empfänger unter dem EU-US Privacy Shield).
  • Verbindliche Unternehmensregeln für Datentransfers innerhalb von Konzernen („Binding Corporate Rules“) mit Genehmigung der Aufsichtsbehörden.
  • Abschluss von Vereinbarungen mit Empfängern auf Grundlage der EU-Standardvertragsklauseln (gerichtliche Überprüfung absehbar).

Es ist davon auszugehen, dass sich UK der Bedeutung internationaler Datenübermittlungen und der möglichen Konsequenzen des Brexit auch in datenschutzrechtlicher Hinsicht bewusst ist. Insbesondere die Datenschutzbehörde ICO wird die Austrittsverhandlungen mit ihrer Expertise begleiten.