Datenschutz

Datenübermittlungen ins Vereinigte Königreich

Seit Ablauf der Übergangsphase zum 31. Dezember 2020 ist das Vereinigte Königreich (VK) nicht mehr Teil des europäischen Binnenmarktes und der Zollunion.
Das VK gilt seitdem als sogenanntes Drittland im Sinne der DatenschutzGrundverordnung (DSGVO), d.h. ohne ein Abkommen zwischen der Europäischen Union (EU) und Großbritannien, und ohne einen Angemessenheitsbeschluss der Europäischen Kommission im Hinblick auf ein der EU angemessenes Datenschutzniveau, wird das VK datenschutzrechtlich so behandelt, wie jeder andere Drittstaat (z.B. die USA) auch. Eine Übermittlung personenbezogener Daten ins VK wäre grundsätzlich nicht ohne zusätzliche Datenschutzgarantien (z.B. den Abschluss von EU-Standardvertragsklauseln) zulässig, damit ein der EU gleichwertiges Datenschutzniveau hergestellt werden kann.
Bisher war bis zum 30. Juni 2021 eine Übergangsregelung für Datenübermittlungen zwischen der EU und dem VK vorgesehen ohne dass weitere Datenschutzgarantien, wie Standardvertragsklauseln, getroffen werden müssten.
Am 28. Juni 2021 sind zwei Angemessenheitsbeschlüsse der Europäischen Kommission zum Datentransfer ins VK in Kraft getreten: einer im Rahmen der DSGVO und einer im Rahmen der Richtlinie zum Datenschutz bei der Strafverfolgung.
In einer Pressemitteilung teilte die EU-Kommission mit, dass im VK die rechtlichen Bestimmungen zum Schutz personenbezogener Daten weiterhin vorhanden seien. Dort gelte für sie ein Schutzniveau, das dem Schutznivea des EU-Rechts. der Sache nach gleichwertig sei. Personenbezogene Daten können demnach ungehindert aus der Europäischen Union in das Vereinigte Königreich übermittelt werden.
Die Geltungsdauer der Angemessenheitsbeschlüsse ist auf vier Jahre begrenzt.
Wie bisher ist bei Datenübermitttlingen ins VK allerdings weiterhin zu berücksichtigen:
  • Die Datenübermittlung ins VK als Nicht-EU-Land sowie die vorhandenen Garantien, oder die Ausnahmen auf die man sich bezieht (Angemessenheitsbeschluss der EU-Kommission), sind im internen Verzeichnis der Verarbeitungstätigkeiten zu dokumentieren.
  • In der Datenschutzerklärung ist über die Datenübermittlung nach VK und über die vorhandenen Garantien oder Ausnahmen (Angemessenheitsbeschluss der EU-Kommission) zu informieren.
  • Wenn eine betroffene Person ein Auskunftsersuchen stellt, ist sie auch über die Datenübermittlung ins Drittland zu unterrichten.
Zum grundsätzlichen Verständnis bei Datenübermittlungen in Drittstaaten noch einmal folgende Zusammenfassung:
Unter die Übermittlung fällt nicht nur das Senden von Daten an den Empfänger, sondern auch die Möglichkeit des Zugriffs (z.B. das Auslesen einer Datenbank).Neben einer – wie bisher auch notwendigen – Rechtsgrundlage für die Übermittlung personenbezogener Daten (z.B. die Anbahnung oder Durchführung von Vertragsverhältnissen oder eine Einwilligung gemäß Artikel 6 Absatz 1 Buchstabe a beziehungsweise b DSGVO), bedarf es zur Herstellung eines angemessenen Datenschutzniveaus im Drittland bestimmter datenschutzrechtlicher Garantien.
Solche Garantien sind insbesondere:
  1. Der Abschluss von EU-Standardvertragsklauseln. Dabei handelt es sich um Standardverträge zum Datenschutz, die unverändert zu übernehmen sind. Diese sind von der durch die Europäische Kommission an die Anforderungen der DSGVO angepasst und am 4. Juni 2021 veröffentlicht worden. Dabei gibt es verschiedene Varianten des Datentransfers, die sich in einem Dokument befinden, und in vier verschiedene Module gegliedert sind, welche die Datenübermittlung zwischen unterchiedlichen Beteiligten regeln (z.B. die Übermittlung von personenbezogene Daten zwischen Unternehmer und dem Auftragsverarbeiter und umgekehrt, die Übermittlung zwischen zwei Verantwortlichen, oder zwischen zwei Auftragsverarbeitern).
  2. Unternehmensinterne verbindliche Datenschutzvorschriften (sogenannte “Corporate Binding Rules”, das heißt konzernweite Regelungen für eine unternehmensinterne Datenübermittlung in Drittländer; die Einführung solcher Standards ist allerdings ein langfristiger und kostenintensiver Prozess).
  3. Individuell zwischen den Parteien ausgehandelte Datenschutzklauseln, die allerdings der Zustimmung der zuständigen Aufsichtsbehörde bedürfen.
Da die Corporate Binding Rules und individuelle Datenschutzverträge zeit- und kostenaufwendig sind, ist es in der Regel gerade für kleinere und mittlere Unternehmen praktikabler auf die EU-Standardvertragsklauseln zurückzugreifen.
Ausnahmsweise ist eine Datenübermittlung auch ohne Garantien zulässig, wenn der Betroffene in den Datentransfer in das Drittland eingewilligt hat und über das fehlende angemessene Datenschutzniveau informiert wurde. Eine Übermittlung ist auch möglich, soweit die Daten für vorvertragliche Maßnahmen oder zur Vertragsabwicklung erforderlich sind. In Betracht kommen insbesondere alltägliche Fälle in denen der Betroffene die vorvertraglichen oder vertraglichen Maßnahmen veranlasst hat. Beispielsweise die Reservierung von Hotels und internationaler Beförderungsleistungen, die Abwicklung internationaler Überweisungen durch die Bank, oder der Versand bestellter Ware zur Vertragserfüllung.