Home / Insight / Brexit / TMC inkl. Datenschutz

TMC inkl. Datenschutz

ThemaÜbergangsphaseNach Übergangsphase (ab 1. Januar 2021)
Datenschutz

Während der Übergangsphase bleiben die derzeit geltenden Datenschutzgesetze (insbesondere die EU Datenschutz-Grundverordnung – DSGVO) in Kraft.

UK gilt bis zum Ablauf der Übergangsphase insbesondere (noch) nicht als sog. Drittstaat, so dass für die Übermittlung personenbezogener Daten an Empfänger in UK (noch) nicht die ergänzenden Feststellungen / Maßnahmen zur Sicherstellung eines angemessenen Datenschutzniveaus erforderlich sind.

Als Maßnahmen kommen in Betracht:

- die allgemeine Feststellung eines angemessenen Datenschutzniveaus aufgrund einer Angemessenheitsentscheidung der EU-Kommission (derzeit für zwölf Länder und für zertifizierte US-Empfänger unter dem EU-US Privacy Shield),

- verbindliche Unternehmensregeln für Datentransfers innerhalb von Konzernen („Binding Corporate Rules“) mit Genehmigung der Aufsichtsbehörden,

- Abschluss von Vereinbarungen mit Empfängern auf Grundlage der EU-Standardvertragsklauseln (gerichtliche Überprüfung absehbar).

EU und UK planen, im Zusammenhang mit dem geplanten Freihandelsabkommen in der Übergangsphase auch eine Angemessenheitsentscheidung der EU-Kommission herbeizuführen.

Gelingt dies (etwa aus Zeitgründen) nicht und werden auch keine anderweitigen Sonderregelungen vereinbart, gilt UK nach dem Ende der Übergangsphase datenschutzrechtlich als „unsicherer Drittstaat“.

In diesem Fall müssen Verantwortliche mit Sitz in der EU für Datenübermittlungen nach UK im Einzelfall ein angemessenes Datenschutzniveau sicherstellen, etwa durch vertragliche Vereinbarungen mit dem jeweiligen UK-Empfänger auf Grundlage der EU-Standardvertragsklauseln.

Weiterhin müssen Verantwortliche mit Sitz in der EU die Einordnung von UK als Drittstaat auch in datenschutzrechtlich relevanten Dokumenten (Verzeichnis der Verarbeitungstätigkeiten, Datenschutzinformationen für betroffene Personen) und Prozessen (etwa für den Umgang mit Betroffenenrechten oder Verletzungen des Schutzes personenbezogener Daten) anpassen.

Aus dem UK-Recht können sich ergänzende Anforderungen für die Übermittlung personenbezogener Daten an Empfänger in der EU ergeben.