Skip to content
Angemessenheitsbeschluss

Datenübermittlung ins Vereinigte Königreich nach dem Brexit

Großbritannien ist seit dem 01.01.2021 ein Drittland im Sinne der Datenschutz-Grundverordnung (DS-GVO). Ein Datentransfer dorthin ist damit nur noch nach den strikten Vorgaben der Art. 44 ff. DS-GVO zulässig. Bisher lässt ein sogenannter Angemessenheitsbeschluss der EU-Kommission, der einen unkomplizierten Datenaustausch erlauben würde, auf sich warten.

Die zweistufige Prüfung bei der Datenübermittlung

Um einen Datentransfer nach dem Brexit rechtmäßig zu gestalten, muss stets eine zweistufige Prüfung erfolgen:

  1. Rechtmäßigkeit der Verarbeitung: Die Verarbeitung und Weitergabe der Daten an sich muss zulässig sein (z. B. durch eine Rechtsgrundlage nach Art. 6 DS-GVO).

  2. Rechtfertigung des Drittlandtransfers: Der eigentliche Transfer ins EU-Ausland muss gerechtfertigt sein. Hierfür ist im Idealfall ein Angemessenheitsbeschluss der EU vorgesehen.

Warum der Angemessenheitsbeschluss auf sich warten lässt

Zwar hat das Vereinigte Königreich das europäische Datenschutzniveau weitgehend in nationales Recht überführt (UK-GDPR), doch mehrere rechtliche und politische Entwicklungen erschweren einen positiven Beschluss der EU-Kommission massiv:

  • Das US-UK-Datenschutzabkommen: Ein Abkommen aus dem Jahr 2020 erleichtert US- und britischen Behörden den gegenseitigen Zugriff auf elektronische Beweismittel. Der Europäische Datenschutzausschuss (EDPB) kritisiert hier vor allem die fehlende richterliche Kontrolle bei Datenauskünften.

  • Wegfall des Privacy Shields: Der Europäische Gerichtshof (EuGH) hat das Privacy Shield für die USA für ungültig erklärt, da US-Behörden zu weitreichende Zugriffsrechte hatten. Da Großbritannien (etwa durch den Investigatory Powers Act und die Five Eyes Alliance) seinen Behörden ähnlich weitreichende Überwachung ermöglicht, schmälert dies die Chancen auf ein britisches Äquivalent.

  • EuGH-Urteil „Privacy International“: Im Oktober 2020 urteilte der EuGH (Az. C-623/17), dass die britische anlasslose Vorratsdatenspeicherung gegen EU-Grundrechte verstößt. Dieses Urteil ist für die Kommission bei ihrer Prüfung von entscheidender Bedeutung.

Lösungen: Instrumente für den Datentransfer

Solange kein Angemessenheitsbeschluss vorliegt, müssen Unternehmen den zweiten Schritt der Prüfung durch sogenannte „geeignete Garantien“ gemäß Art. 46 DS-GVO absichern. Die wichtigsten Instrumente im Überblick:

  • Standarddatenschutzklauseln (SCCs): Die EU-Kommission stellt unveränderbare Standardvertragsklauseln zur Verfügung, die Unternehmen in ihre Verträge aufnehmen können, um den Datentransfer zu legitimieren.

  • Binding Corporate Rules (BCRs): Multinationale Konzerne können verbindliche, behördlich genehmigte interne Richtlinien (Binding Corporate Rules) nutzen, um den Datenfluss innerhalb der Unternehmensgruppe abzusichern.

  • Verhaltensregeln und Zertifizierungen: Transfers können auch auf Grundlage branchenspezifischer Verhaltensregeln (Art. 40 DS-GVO) legitimiert werden, sofern diese rechtsverbindlich und genehmigt sind.

  • Ausnahmeregelungen (Art. 49 DS-GVO): Greifen weder Garantien noch Beschlüsse, können enge Ausnahmen helfen. Dies gilt etwa bei einer ausdrücklichen Einwilligung des Nutzers oder zur reinen Vertragserfüllung – jedoch nur für gelegentliche, nicht wiederkehrende Übermittlungen.

Fazit

Da ein zeitnaher Angemessenheitsbeschluss aufgrund der EuGH-Rechtsprechung unsicher ist, müssen Unternehmen beim Datentransfer ins Vereinigte Königreich weiterhin aktiv auf Instrumente wie Standardvertragsklauseln setzen, um rechtliche Risiken zu vermeiden.

Wir unterstützen Sie gerne bei der Bewältigung der mit dem Brexit einhergehenden datenschutzrechtlichen Herausforderungen.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!
KONTAKT AUFNEHMEN