Sie sind ein ausländisches Unternehmen, das in Deutschland investieren möchte?

Zu Invest

Recht kompakt | Vereinigtes Königreich | Datenschutzrecht

Vereinigtes Königreich: Datenschutz

Mit dem Austritt des Vereinigten Königreichs aus der Europäischen Union und dem Ende der Übergangsphase ergeben sich neue Regeln für den Schutz personenbezogener Daten.

26.10.2022

Von Nadine Bauer | Bonn

Dieser Inhalt gehört zu

Die nationale Rechtsgrundlage ist das britische Datenschutzgesetz (Data Protection Act 2018). 

Datentransfer aus der EU in das Vereinigte Königreich

Mit dem Ende der Übergangsphase wurde das Vereinigte Königreich auch in datenschutzrechtlicher Hinsicht zum vollständigen Drittstaat. Verantwortliche und Auftragsverarbeiter müssen die Übermittlung personenbezogener Daten daher mit den besonderen Maßnahmen nach Kapitel V der Datenschutzgrundverordnung (DSGVO) absichern. Zu diesen Maßnahmen zählen neben einem Angemessenheitsbeschluss der Europäischen Kommission insbesondere auch die Standarddatenschutzklauseln nach Art. 46 Abs. 2 lit. c DSGVO, verbindliche interne Datenschutzvorschriften gemäß Art. 47 DSGVO sowie die Ausnahmen des Art. 49 DSGVO.

Angemessenheitsbeschluss, Art. 45 DSGVO

Nachdem zunächst eine Übergangsregelung für den Transfer personenbezogener Daten Anwendung fand, existieren seit Juni 2021 zwei Angemessenheitsbeschlüsse (adequacy decisions) zum Vereinigten Königreich: ein Angemessenheitsbeschluss im Rahmen der DSGVO (Verordnung (EU) 2016/679), ein weiterer in Bezug auf die Richtlinie zum Datenschutz bei der Strafverfolgung (Richtlinie (EU) 2016/680). Somit gilt das Vereinigte Königreich nun gemäß Art. 45 DSGVO als sicheres Drittland.

Folglich ist das britische Datenschutzniveau als dem europäischen gleichwertig anzusehen und die Übermittlung personenbezogener Daten in das Vereinigte Königreich bedarf keiner zusätzlichen Genehmigung.

Die Dauer der Angemessenheitsbeschlüsse ist jedoch zeitlich begrenzt: Vier Jahre nach Inkrafttreten laufen beide Beschlüsse aus. Sie können allerdings erneuert werden, wenn das Vereinigte Königreich weiterhin ein angemessenes Schutzniveau in Bezug auf personenbezogene Daten bietet.

Standarddatenschutzklauseln, Art. 46 DSGVO

Sollten die Angemessenheitsbeschlüsse allerdings nicht erneuert werden oder werden diese vor Ablauf der Verfallsklausel für ungültig erklärt, so darf eine Übermittlung in ein Drittland nur erfolgen, wenn geeignete Garantien zum Schutz der personenbezogenen Daten vorgesehen sind. Hierzu zählen vor allem die Standarddatenschutzklauseln der Europäischen Kommission. Diese Standarddatenschutzklauseln (standard contractual clauses - SCC) sind vorformulierte Vertragsklauseln, die als Grundlage für Datenübermittlungen in Drittländer genutzt werden können. Hierfür ist erforderlich, dass sie im Wesentlichen unverändert in die entsprechenden Verträge integriert werden.

Verbindliche interne Datenschutzvorschriften, Art. 47 DSGVO

Eine weitere geeignete Garantie im Sinne des Art. 46 DSGVO stellen verbindliche interne Datenschutzvorschriften dar. Die sogenannten binding corporate rules (BCR) legen Regelungen für den Umgang mit personenbezogenen Daten innerhalb einer Unternehmensgruppe fest. Sie sind damit für alle betreffenden Mitglieder der Unternehmensgruppe rechtlich bindend. Die internen Vorschriften unterliegen allerdings einem Genehmigungserfordernis: Bevor Datentransfers auf solche Bestimmungen gestützt werden dürfen, muss die zuständige Mitgliedstaatliche Aufsichtsbehörde die Regelungen genehmigen.

Ausnahmen, Art. 49 DSGVO

In bestimmten Fällen lässt die DSGVO Datenübermittlungen in Drittstaaten ausnahmsweise zu - beispielsweise, wenn eine Einzelperson ausdrücklich in die vorgeschlagene Übermittlung eingewilligt hat oder wenn die Datenübermittlung aus wichtigen Gründen des öffentlichen Interesses notwendig ist. Entsprechend der Leitlinien zu den Ausnahmen nach Artikel 49 DSGVO des Europäischen Datenschutzausschusses (EDSA) dürfen die dort abschließend aufgezählten Ausnahmen jedoch nicht für regelmäßige Datentransfers verwendet werden, die eine Vielzahl von Personen betreffen.

Datentransfer aus dem Vereinigten Königreich in die EU

Die britische Regierung hat erklärt, dass die Übermittlung personenbezogener Daten aus dem Vereinigten Königreich in die EU weiterhin frei erfolgen kann. Gleiches gilt für die Staaten des Europäischen Wirtschaftsraumes. Zusätzliche Schutzvorkehrungen müssen daher (zunächst) nicht getroffen werden, die britische Seite behält sich diesbezüglich aber regelmäßige Überprüfungen vor.

Weitergehende Informationen hält die Webseite des britischen Information Commissioner’s Office bereit.

Dieser Inhalt gehört zu

Ausländisches Wirtschaftsrecht
nach oben

Alle Rechte vorbehalten. Nachdruck – auch teilweise – nur mit vorheriger ausdrücklicher Genehmigung. Trotz größtmöglicher Sorgfalt keine Haftung für den Inhalt.

© 2024 Germany Trade & Invest

Gefördert vom Bundesministerium für Wirtschaft und Klimaschutz aufgrund eines Beschlusses des Deutschen Bundestages.

Feedback

Anmeldung

Bitte melden Sie sich auf dieser Seite mit Ihren Zugangsdaten an. Sollten Sie noch kein Benutzerkonto haben, so gelangen Sie über den Button "Neuen Account erstellen" zur kostenlosen Registrierung.

Passwort vergessen?