Viele Unternehmer sind beim Thema DSGVO und Brexit verunsichert. Wie sind Geschäfte mit UK nun datenschutzrechtlich einzuordnen? Sind die Maßstäbe der DSGVO überhaupt noch anzuwenden? Handelt es sich um Datentransfer in ein unsicheres Drittland? Mit diesen Fragen hat sich jetzt endlich auch die Europäische Kommission befasst. Und ist zu einem eindeutigen Ergebnis gekommen: Per Angemessenheitsbeschluss im Sinne von Art. 45 Abs. 3 DSGVO wurde den Briten die Konformität mit der DSGVO bescheinigt. Soll heißen: All jene, die hier Geschäfte betreiben, können zunächst aufatmen.
UK als sicheres Drittland
Die Europäische Kommission hat nach der Prüfung des Verhältnisses zwischen DSGVO und Brexit bestätigt, dass es sich beim Vereinigten Königreich um ein so genanntes sicheres Drittland handelt. Dies bedeutet im Klartext, dass die datenschutzrechtlichen Vorgaben in Großbritannien den Anforderungen der DSGVO standhalten. Das nationale Gesetz – die UK-GDPR – hält den strengen europäischen Standards stand. Der Abschluss von Standardvertragsklauseln und die Einholung von Garantien im Sinne des Art. 46 DSGVO ist für Geschäfte mit dem nunmehr außereuropäischen Partner daher nicht erforderlich. Begründung des Angemessenheitsbeschlusses ist insbesondere, dass UK die wesentlichen Grundgedanken der DSGVO in das nationale Gesetz übernommen hat. So werden hier insbesondere auch die Rechtsgrundlagen für die Datenverarbeitung und die Rechte der Betroffenen hinreichend geregelt. Der Angemessenheitsbeschluss gilt für eine Laufzeit von vier Jahren, ist dann erneut durch die Europäische Kommission zu fassen.
Bestehende Risiken trotz Angemessenheitsbeschluss?
Der Angemessenheitsbeschluss der Europäischen Kommission bleibt indes nicht unkritisiert. Wesentliche Bedenken ergeben sich insbesondere aus folgenden Gründen: Es bestehen keine hinreichenden Regelungen für den Datentransfer aus dem Vereinigten Königreich hinaus. Anders als bei der DSGVO besteht keine Bindung gegenüber Drittstaaten. Außerdem – so auch im Angemessenheitsbeschluss offenbart – gibt es Ausnahmeregelungen für die Zwecke der Einwanderungskontrolle. Für diesen Bereich findet der Angemessenheitsbeschluss keine Anwendung. Die Rechte Britischer Geheimdienste spielen eine weitere Rolle. Es bleibt also mit Spannung abzuwarten, ob sich ähnlich wie im Falle von SCHREMS II Betroffene oder Datenschützer gegen den Angemessenheitsbeschluss wehren werden.
Anwendbarkeit der DSGVO
Europäische Unternehmer, die Handel mit dem vereinigten Königreich treiben, sind auf jeden Fall weiterhin an die Regeln der DSGVO gebunden. Grundlage hierfür bleibt das sogenannte Marktortprinzip. Dieses regelt, dass entscheidend für die Anwendung der DSGVO ist, ob Kunde oder Unternehmer in der Europäischen Union beheimatet sind. Trifft dies für mindestens einen Teil zu, so gilt automatisch die DSGVO. Es spielt also hierfür keine Rolle, dass UK nicht mehr länger Teil der EU ist.
DSGVO und Brexit: Der Hintergrund
Nach der Volksabstimmung innerhalb des Vereinigten Königreiches über den Verbleib oder den Austritt aus der Europäischen Union im Jahre 2016 schied UK am 01. Januar 2021 nach jahrelangen Verhandlungen über die Austrittsbedingungen endgültig aus dem EU-Binnenmarkt und der Zollunion aus. Die EU-weit geltende DSGVO verlor damit originär in Großbritannien ihre Geltung. Aufgrund des Marktortprinzips hat sie indes immer noch gravierende Bedeutung für den grenzüberschreitenden Waren- und Güterverkehr. Beim aktuellen Stand der Gesetzeslage müssen sich Betroffene aufgrund der umfangreichen Übertragung der europäischen Datenschutzgrundsätze in das britische Recht wenig Sorgen um die Wahrung ihrer Rechte machen.