BREXIT: Großbritannien und Nordirland werden Drittland im Sinne des Datenschutzrechts
Liebe Leserin,
lieber Leser,
im Vorfeld zu der am 25.05.2018 in Kraft tretenden Datenschutz-Grundverordnung (DS-GVO) hat die Europäische Kommission in einer Mitteilung vom 09.01.2018 verkündet, dass das Vereinigte Königreich und Nordirland ab dem 30.03.2019 (00:00 Uhr CET) – vorbehaltlich eines anderslautenden Datums in einem Austrittsabkommen – als sog. „Drittland“ im Sinne der DS-GVO einzustufen sind.
Mit der wenig überraschenden Erkenntnis, dass Großbritannien und Nordirland nach dem Ausscheiden aus der EU auch datenschutzrechtlich genauso zu behandeln sind wie die USA, Russland oder China, hat die Europäische Kommission den bereits aufgrund der DS-GVO bestehenden datenschutzrechtlichen Anpassungsbedarf sogar noch erweitert. Keine zu Konzerngesellschaften, Geschäftspartnern, Kunden, o.ä. in Großbritannien bzw. Nordirland bestehende wirtschaftliche Beziehung kommt ohne die Übermittlung personenbezogener Daten aus.
Aufgrund eines fehlenden Angemessenheitsbeschlusses gem. Art. 45 Abs. 3 DS-GVO über das Datenschutzniveau in Großbritannien und Nordirland ist die Übermittlung personenbezogener Daten gem. Art. 46, 49 DS-GVO nur bei Vorliegen geeigneter Garantien oder besonderer Ausnahmen zulässig.
Dies hat in letzter Konsequenz zur Folge, dass sämtliche rechtlichen Verhältnisse zu Konzerngesellschaften, Geschäftspartnern, Kunden o.ä. in Großbritannien bzw. Nordirland aus datenschutzrechtlicher Sicht überprüft werden müssen, da ein Verstoß gem. Art. 83 Abs. 5 lit. c) DS-GVO mit einer Geldbuße in Höhe von bis zu 20.000.000,00 EUR oder im Fall eines Unternehmens mit einer Geldbuße in Höhe von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres geahndet werden kann.
Als geeignete Garantien kommt die Verwendung von Standarddatenschutzklauseln, genehmigten Verhaltensregeln (sog. „approved codes of conduct“) gem. Art. 40 DS-GVO, verbindlichen internen Datenschutzvorschriften (sog. „binding corporate rules“) gem. Art. 47 DS-GVO oder einem genehmigten Zertifizierungsmechanismus gem. Art. 42 DS-GVO in Betracht. Ebenso könnte die Übermittlung im Einzelfall aufgrund der besonderen Ausnahmen des Art. 49 DS-GVO zulässig sein. Welche Maßnahmen geeignet und auch umsetzbar sind, die Übermittlung personenbezogener Daten von und nach Großbritannien bzw. Nordirland in datenschutzkonformer Weise darzustellen, bestimmt sich am jeweiligen Einzelfall.
Unsere Experten im Datenschutzrecht beraten Sie umfassend zu den verschiedenen Möglichkeiten, Ihre Geschäftsbeziehungen nach Großbritannien und Nordirland auch nach dem 30.03.2019 datenschutzkonform zu unterhalten.
Kommen Sie daher bei Fragen gerne auf uns zu.