Good Bye UK - was nun?

Dr. Waltraut Kotschy 12.01.2021

DSGVO Help

Die Auswirkungen des BREXIT auf den Datenexport nach UK

Das Handelsabkommen zwischen der EU und dem Vereinigten Königreich enthält in seinem Abschnitt III Bestimmungen über den „Digitalen Handel“ und gesteht beiden Vertragspartnern das Recht zu, für ihr Territorium u.a. Regelungen über Datenschutz zu treffen (Artikel Nr. 3 „Regelungsrecht“). Daraus ergibt sich, dass UK in Zukunft auch Datenschutzregelungen treffen kann, die von der DSGVO inhaltlich abweichen. Die Entwicklung der Rechtslage in UK wird daher zu beobachten sein.

„Datenverkehr und Datenschutz“

Im Kapitel 2 des Abschnitts III, mit dem Titel „Datenverkehr und Datenschutz“, enthält Artikel Nr. 6 (grenzüberschreitender Datenverkehr) Bestimmungen,

  • die eine Verpflichtung zur Ermöglichung des grenzüberschreitenden Datenverkehrs für den Handel in einer digitalen Wirtschaft beinhalten und

  • die es den Vertragspartnern verbieten, Verpflichtungen vorzusehen betreffend den Ort der Datenspeicherung oder -verarbeitung.

„Schutz von personenbezogenen Daten und Privatsphäre“

Artikel Nr. 7 regelt „Schutz von personenbezogenen Daten und Privatsphäre“. Diese Rechte werden anerkannt und ein hoher Standard wird als fördernd für eine digitale Wirtschaft bezeichnet.

Die Vertragspartner dürfen für diesen Bereich, einschließlich grenzüberschreitenden Datenverkehr, unbeschränkt Regelungen treffen, das Recht des Vertragsstaates muss aber generell anwendbare Instrumente für den grenzüberschreitenden Datenverkehr zur Verfügung stellen.

In einer der Zusatzvereinbarungen sagt die EU zu, dass sie die Möglichkeit der Erlassung einer Adäquanzentscheidung hinsichtlich der UK-Rechtsordnung im Hinblick auf DSGVO und Polizei-Richtlinie prüfen wird („work closely to that end“…).

UK soll eine solche Adäquanzentscheidung bereits getroffen haben.

Die Konsequenzen

Daraus folgt, dass derzeit der Datenexport nach UK, soweit er nicht auf der Grundlage von Art 49 Abs 1 DSGVO durchgeführt werden kann, nicht mehr automatisch zulässig ist. Auf Art 49 Abs 1 DSGVO kann man sich nach herrschender Spruchpraxis nur für gelegentlichen, nicht regelmäßig wiederkehrenden Datenexport stützen. Man wird daher eine Rechtsgrundlage nach Art 46, vor allem Standardvertragsklauseln, brauchen.

Für den österreichischen Datenexporteur ergibt sich daraus die Verpflichtung,

  • genau zu analysieren, ob und welche Datentransfers nach UK vorgenommen werden,

  • auf welcher Rechtsgrundlage im Sinne der Kapitels V der DSGVO diese Transfers beruhen, und

  • dementsprechend aktiv zu werden: Falls Art 49 nicht anwendbar ist, müssen, solange eine Adäquanzentscheidung der EU-Kommission nicht ergangen ist, dringend Standardvertragsklauseln abgeschlossen werden, da sonst ein rechtswidriger Datenexport stattfindet.

  • Darüber hinaus könnten „verbindliche interne Datenschutzvorschriften“ („binding corporate rules“) eine Rechtsgrundlage bilden, wenn sowohl der Exporteur als auch der Importeur zum selben Konzern gehören, der genehmigte interne Datenvorschriften besitzt. Es ist davon auszugehen, dass frühere Genehmigungen auch in der nunmehrigen Situation ihre Gültigkeit behalten, da sich aus Sicht der EU an den Voraussetzungen für eine Genehmigung von BCRs ja nichts geändert hat.


Copyright: Photo by Franz Wender on Unsplash