Home / Insight / Brexit / TMC inkl. Datenschutz

TMC inkl. Datenschutz

ThemaÜbergangsphaseNach Übergangsphase (ab 1. Januar 2021)
Datenschutz

Während der Übergangsphase bleiben die derzeit geltenden Datenschutzgesetze (insbesondere die EU Datenschutz-Grundverordnung – DSGVO) in Kraft.

UK gilt bis zum Ablauf der Übergangsphase insbesondere (noch) nicht als sog. Drittstaat, so dass für die Übermittlung personenbezogener Daten an Empfänger in UK (noch) nicht die ergänzenden Feststellungen / Maßnahmen zur Sicherstellung eines angemessenen Datenschutzniveaus erforderlich sind.

Als Maßnahmen kommen in Betracht:

Die allgemeine Feststellung eines angemessenen Datenschutzniveaus aufgrund eines Angemessenheitsbeschlusses der EU-Kommission (derzeit für zwölf Länder und für zertifizierte US-Empfänger unter dem EU-US Privacy Shield).

Verbindliche Unternehmensregeln für Datentransfers innerhalb von Konzernen („Binding Corporate Rules“) mit Genehmigung der Aufsichtsbehörden.

Abschluss von Vereinbarungen mit Empfängern auf Grundlage der EU-Standardvertragsklauseln (gerichtliche Überprüfung absehbar).

Das Handels- und Kooperationsabkommen zwischen der EU und UK sieht für den Datenschutz eine weitere Übergangsphase von vier Monaten vor. Die Frist kann sich um zwei Monate verlängern, sofern kein Widerspruch der EU oder aus UK erfolgt. Während dieser Zeit zählen Datentransfers nach UK nicht als Drittlandübermittlungen. Die Übergangsphase endet, sofern ein Angemessenheitsbeschluss durch die EU-Kommission getroffen wird. 

Sofern UK nach Ablauf der weiteren Übergangsphase als unsicherer Drittstaat gilt, müssen Verantwortliche mit Sitz in der EU für Datenübermittlungen nach UK im Einzelfall ein angemessenes Datenschutzniveau sicherstellen, etwa durch vertragliche Vereinbarungen mit dem jeweiligen UK-Empfänger auf Grundlage der EU-Standardvertragsklauseln.

Weiterhin müssen Verantwortliche mit Sitz in der EU die Einordnung von UK als Drittstaat auch in datenschutzrechtlich relevanten Dokumenten (Verzeichnis der Verarbeitungstätigkeiten, Datenschutzinformationen für betroffene Personen) und Prozessen (etwa für den Umgang mit Betroffenenrechten oder Verletzungen des Schutzes personenbezogener Daten) anpassen.

Aus dem UK-Recht können sich ergänzende Anforderungen für die Übermittlung personenbezogener Daten an Empfänger in der EU ergeben.