Die EU-Kommission hat am 09.01.2018 mitgeteilt, dass Großbritannien mit Austritt am 30.03.2019 als Drittland i.S.d. DS-GVO zu behandeln wäre. Auch wenn Großbritannien schon Schritte zur Umsetzung der DS-GVO unternommen hat, wird das jetzige EU-Mitglied mit dem Austritt nicht automatisch den Status eines sicheren Drittlands zuerkannt bekommen. Grund dafür ist zum einen, dass mit dem Brexit das europäische Primär- und Sekundärrecht in Großbritannien – und damit auch die DS-GVO – nicht mehr gelten werden. Darüber hinaus wird es nicht ohne weiteres einen Angemessenheitsbeschluss der Europäischen Kommission i.S.d. Art. 45 DS-GVO über das Datenschutzniveau in Großbritannien geben. Ein solcher ist aber erforderlich, um einen Datentransfer in ein Drittland ohne zusätzliche rechtliche Schritte vornehmen zu dürfen.

Welche Konsequenzen gibt es für Unternehmen?

Soweit Unternehmen personenbezogene Daten in Großbritannien nach dem Stichtag des Austritts übermitteln, müssen mangels eines Angemessenheitsbeschlusses der Europäischen Kommission die gleichen rechtlichen Schritte unternommen werden wie beim Datentransfer in die USA oder nach China. In diesem Zusammenhang werden insbesondere die EU-Standardvertragsklauseln (ab dem 25.05.2018 Standarddatenschutzklauseln genannt) und Binding Corporate Rules (BCR) eine wichtige Rolle spielen. Die Europäische Kommission erwähnt in ihrer Stellungnahme auch weitere Mechanismen wie genehmigte Zertifizierungsmechanismen oder genehmigte Verhaltensregeln, die als Grundlage für Datentransfers nach Großbritannien dienen können.

Praxistipp:

Unternehmen, die Daten an Stellen in Großbritannien übermitteln, müssen die Brexit-Verhandlungen aufmerksam beobachten und überprüfen, welche Instrumente der DS-GVO für sie hinsichtlich der rechtlichen Grundlage für den Datentransfer in Frage kommen. Auch wenn es bis zum Austritt Großbritanniens aus der EU noch mehr als ein Jahr dauert, verlangen bestimmte Maßnahmen – wie z.B. die Implementierung von BCR – eine nicht zu unterschätzende Vorlaufszeit.