Mit dem neuen britischen Premier Johnson wird ein ungeregelter Austritt Großbritanniens aus der EU zum 31.10.2019 immer wahrscheinlicher. Somit wäre datenschutzrechtlich Großbritannien ab 01.11.2019 eine Drittland außerhalb der EU.
Sofern Sie Geschäftsbeziehungen zu Firmen in Großbritannien unterhalten müssen Sie bei der Übermittlung personenbezogener Daten ab diesem Datum einiges beachten.
In unser heutigen vernetzten und globalisierten Welt, sollten Sie prüfen, ob Sie unter Umständen Software- oder IT-Dienstleitungen von Anbietern in Großbritannien in Anspruch nehmen. Ebenso können Finanzdienstleister ihren Sitz beispielweise in London haben.
 
Wenn Sie personenbezogene Daten an Firmen und Dienstleister in Großbritannien nach einem ungeregelten Brexits übermitteln, benötigen Sie dazu eine gesonderte Rechtsgrundlage.
 
Die Datenschutzgrundverordnung (DSGVO) sieht für die Daten-Übermittlung in ein Drittland außerhalb der EU eine zweifache Prüfung der Rechtgrundlage vor:

1. besteht grundsätzlich eine Rechtsgrundlage gemäß Art. 6 Abs. 1 oder Art. 9 Abs.2 DSGVO für die Übermittlung (diese Rechtgrundlage benötigen Sie bereits heute),

2. besteht eine Rechtsgrundlage gemäß Art. 44 - 50 DSGVO zur Übermittlung in ein Drittland außerhalb der EU.
 
Die beiden wichtigsten Regelungen für einen Drittlands-Transfer personenbezogener Daten sind in Art. 45 und 46 DSGVO formuliert.
Hierzu gehört der Angemessenheitsbeschluss der EU-Kommission gemäß Art 45 DSGVO, ein Beschluss der Kommission, dass in dem betreffenden Land ein angemessenes Schutzniveau vorhanden ist.
Das Verfahren, welches zu einem Angemessenheitsbeschluss der EU-Kommission führt, ist langwierig und kann nicht bis zum 31.10.2019 abgeschlossen sein. Damit fällt dies Rechtgrundlage bei einem ungeregelten Brexit aus.
 
Geeignete Garantien des Datenempfängers gemäß Art. 46 DSGVO können die Legitimation für einen Datentransfer in ein Drittland sein. Dies sind u.a. die von der EU-Kommission genehmigten Standardvertragsklauseln.
Diese Standardvertragsklauseln sind zwischen dem Daten-Übermittler und Daten-Empfänger abzuschließen. Die EU-Kommission hat diese Standardvertragsklauseln veröffentlicht. Zu beachten ist bei der Verwendung, dass es eine Standardvertragsklausel für die Beziehung zwischen zwei Verantwortlichen und eine für das Auftragsverarbeitungsverhältnis gibt. Die Standardvertragsklauseln dürfen nicht verändert werden. Sie sind nur in der veröffentlichten Form gültig und bieten nur so die erforderliche Rechtsgrundlage für die Daten-Übermittlung.
 
Zusätzlich definiert Art. 49 DSGVO Rechtsgrundlagen für Ausnahmen in bestimmten Fällen, wenn weder ein Angemessenheitsbeschluss gemäß Art.45 DSGVO noch geeigneter Garantien gemäß Art. 46 DSGVO bestehen.

Hierzu gehören unter anderem folgende Rechtsgrundlagen:

- die betroffene Person hat in die vorgeschlagene Datenübermittlung ausdrücklich eingewilligt, nachdem sie über die für sie bestehenden möglichen Risiken derartiger Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien unterrichtet wurde,

- die Übermittlung ist für die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen oder zur Durchführung von vorvertraglichen Maßnahmen auf Antrag der betroffenen Person erforderlich,

- die Übermittlung ist zum Abschluss oder zur Erfüllung eines im Interesse der betroffenen Person von dem Verantwortlichen mit einer anderen natürlichen oder juristischen Person geschlossenen Vertrags erforderlich,

- die Übermittlung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich.
 
Da die Festlegung bzw. Begründung der Rechtgrundlage im Einzelfall komplex sein kann und oft mit Rechtsunsicherheiten behaftet ist, wenden Sie sich bitte an Ihren Datenschutzbeauftragten.