Europa und Großbritannien können aufatmen, denn der Brexit ist zumindest vorerst geregelt. Dennoch sollten aus datenschutzrechtlicher Sicht noch keine Erleichterungen ausgesprochen werden. Der häufig als „Soft-Brexit“ bezeichnete Austritt enthält wie zuvor im Jahre 2020 viele Übergangsregelungen und vorübergehende Brücken. Wie es in Zukunft weitergehen soll und worauf Sie als Unternehmen achten sollten, zeigen wir Ihnen im folgenden Artikel.
Was ist passiert?
Das Vereinigte Königreich ist seit dem 01.01.2021 kein Mitglied der EU mehr. Bis zu diesem Zeitpunkt galt dort noch die Datenschutzgrundverordnung (DSGVO) direkt und unmittelbar. 2018 entschied das Vereinigte Königreich, die Europäische Union im Rahmen des Brexits zu verlassen. Jahrelang verhandelten und diskutierten beide Parteien – zu einem Konsens kam man jedoch nicht. Erst kurz vor Schluss einigten sich Großbritannien und die EU auf ein Handelsabkommen, das „EU-UK Trade and Corporation Agreement“. Dieses Abkommen hat die Übergangszeit für die Datenübermittlungen zwischen Großbritannien und der EU auf vier weitere Monate verlängert. Das Vereinigte Königreich ist also vorübergehend nicht als „Drittland“ anzusehen. Ziel der Übergangszeit bis Mai 2021 ist, einen Angemessenheitsbeschluss zu erstellen.
Folgen für die Unternehmen
Zunächst müssen Unternehmen keine Vorkehrungen treffen. Es ist abzuwarten, ob Großbritannien und die EU sich bis Mai 2021 auf einen Angemessenheitsbeschluss einigen können. Sollte dies erfolgreich sein, können Dienstleister und Auftraggeber wie zuvor auch nach dem Brexit ohne weitere Zusatzmaßnahmen tätig sein. Natürlich informieren wir Sie jeweils über den neusten Stand.
Was Sie tun können
Aktuell empfehlen wir Unternehmen trotz des vollzogenen Brexits, die Füße bis Mai 2021 stillzuhalten und abzuwarten. Je nachdem, welchen Konsens die EU und das britische Königreich finden, wäre an die folgenden Maßnahmen zu denken:
Aktualisierung der eigenen Verarbeitungsverzeichnisse hinsichtlich Datenübermittlungen in das Vereinigte Königreich
Bewertung der technischen und organisatorischen Maßnahmen (TOMs) auf ein zureichendes Minimum an Sicherheit
Überprüfung abgeschlossener Verträge (z. B. Auftragsverarbeitungsverträge oder Joint Controllership Agreements)
Ggf. Abschluss von Standarddatenschutzklauseln, verbindlichen unternehmensinternen Regelungen oder Binding Corporate Rules
Zertifizierung der Dienstleister
Wie wir Ihnen helfen können
Gerne unterstützen wir Sie bei der Aktualisierung der Verarbeitungsverzeichnisse und den Überprüfungen Ihrer AV-Verträge mit Dienstleistern hinsichtlich der Datenschutzbestimmungen auf Datenübermittlungen ins Vereinigte Königreich. Schritt für Schritt erklären wir Ihnen, wo kritische Fallstricke im Kontext von Datenübermittlungen nach dem Brexit lauern und sichern Ihre Verträge gegen Non-Compliance ab.
Sie haben weitere Fragen zum Brexit, Datenübermittlungen nach Großbritannien, internationalem Datenschutz, DSGVO oder sehen Handlungsbedarf in einem anderen der genannten Felder? Dann kontaktieren Sie uns mit Ihrem Anliegen unkompliziert per Mail oder wenden sich telefonisch an uns.
Ihr entplexit Datenschutz Team
E-Mail: datenschutz@entplexit.com
Telefon 06196 973 44 00