Der Gebrauch von Cookies erlaubt uns Ihre Erfahrungen auf dieser Website zu optimieren. Wir verwenden Cookies zu Statistikzwecken und zur Qualitätssicherung. Durch Fortfahren auf unserer Website stimmen Sie dieser Verwendung zu. Erfahren Sie mehr.

Datentransfer

Was ist bei der Übermittlung von Daten in das Vereinigte Königreich im Fall eines ungeregelten Brexit zu beachten?

Sofern das Vereinigte Königreich ohne Austrittsabkommen die EU verlässt, unterliegt die Übermittlung personenbezogener Daten in das Vereinigte Königreich dem EU-Regelwerk über internationale Datenübermittlung. Besonders relevant sind hierfür die Bestimmungen in Kapitel V der Datenschutzgrundverordnung (DSGVO, VO 2016/679), welche ein umfangreiches Instrumentarium für Datenübermittlungen an Drittländer sowohl durch private Einrichtungen als auch durch Behörden bieten.

Für die Zulässigkeit der Datenübermittlung in das Vereinigte Königreich muss demnach entweder

  • ein "Angemessenheitsbeschluss" vorliegen (Art. 45 DSGVO),
  • der für die Datenverarbeitung Verantwortliche "geeignete Garantien" vorsehen und die betroffene Person durchsetzbare und wirksame Rechtsbehelfe zur Verfügung haben (Art. 46 DSGVO)
  • oder eine Ausnahme nach Art. 49 DSGVO bestehen.

Solange kein "Angemessenheitsbeschluss" erlassen ist, der die freie Übermittlung personenbezogener Daten aus der EU erlaubt, ohne dass der Datenexporteur weitere Garantien bieten oder Voraussetzungen erfüllen muss, erlauben die EU-Datenschutzvorschriften eine Übermittlung nur, wenn der Verantwortliche oder Auftragsverarbeiter "geeignete Garantien" bietet. Die Europäische Kommission wird für das Vereinigte Königreich nach dem Austritt aus der EU eine solche "Angemessenheitsentscheidung" anstreben. Ob und wie schnell nach dem Austritt diese gefasst werden kann ist momentan ungewiss. Auf eine rechtzeitige Implementierung "geeigneter Garantien" für die Zulässigkeit der Datenübermittlung darf daher nicht verzichtet werden. Zu den "geeigneten Garantien" zählen unter anderem von der Europäischen Kommission genehmigte Standarddatenschutzklauseln oder verbindlich unternehmensinterne Datenschutzvorschriften.

Weiterführende Informationen