Bisher schien sich der Ausstieg Großbritanniens aus der EU zumindest im Datenschutz nicht übermäßig bemerkbar zu machen. Eigentlich ging man doch bisher davon aus, das Großbritannien, die ja zum Mai diesen Jahres noch EU-Mitgliedstaat sind und entsprechend auch die DSGVO umsetzen müssen, anschließend wohl aufgrund dessen via Angemessenheitsbeschluss zu einem sicheren Drittland erklärt werden würden. Jetzt werden die Karten aber nochmal neu gemischt.
GB WIRD DRITTLAND!
Die Europäische Kommission verkündete in einer Mitteilung vom 09.01.2018, dass das Vereinigte Königreich ab dem 30.03.2019 (00:00 Uhr CET) – vorbehaltlich eines anderslautenden Datums in einem Austrittsabkommen – als „Drittland“ im Sinne der Datenschutz-Grundverordnung (DSGVO) einzustufen ist. Durch den „Brexit“ wird das Primär- und Sekundärrecht der Europäischen Union zu diesem Datum nicht mehr anwendbar sein. Großbritannien und Nordirland sind somit datenschutzrechtlich so zu behandeln wie z. B. die USA, Russland oder China.
KEINE AUTOMATISCHE ANGEMESSENHEIT
Damit gilt entgegen entsprechender Hoffnungen kein Grundsatz der Anerkennung des Datenschutzniveaus für Großbritannien. Die Datenschutzgrundverordnung gilt im Kern also nur bis zum Austritt aus der EU – ab dann gilt Großbritannien als Drittstaat.
Die Mitteilung hat fatale Auswirkungen für den Datenaustausch mit Großbritannien. Mangels Angemessenheitsbeschluss der Kommission sind die Instrumente des Art. 46 DSGVO anzuwenden. Verantwortliche und Autragsverarbeiter müssen somit auf die EU-Standardvertragsklauseln oder alternativ auf genehmigte Verhaltensregeln (Binding Corporate Rules) und Zertifizierungsmechanismen als Übermittlungsgrundlage zurückgreifen.
ES BLEIBT NOCH HOFFNUNG
In der Mitteilung heißt es aber auch: „Vorbehaltlich etwaiger Übergangsregelungen, die möglicherweise im Austrittsabkommen enthalten sein können, gelten zum Zeitpunkt des Widerrufs die EU-Vorschriften für die Übermittlung personenbezogener Daten in Drittländer.“
Es könnte also durchaus noch spezielle Regelungen im Austrittsabkommen geben und auch die Möglichkeit eines späteren Angemessenheitsbeschlusses wird durch die Mitteilung nicht völlig ausgeschlossen. Unternehmen sollten sich aber der Tatsache bewusst sein, dass ab dem 30.3.2019 der Transfer personenbezogener Daten, ohne diese rechtlich abzusichern, schlagartig rechtswidrig sein könnte. Die vollständige Mitteilung der Kommission kann HIER heruntergeladen werden.