Jeden Tag werden personenbezogene Daten übermittelt. Der Sender dieser Daten kann
sowohl im In- als auch im Ausland sitzen. Spannend wird die Sache, wenn der Empfänger
der Daten bspw. in den USA, Russland, China oder Südafrika sitzt. In den einzelnen Ländern gelten unterschiedliche Rechtsauffassungen bezüglich des Datenschutzes im Umgang mit personenbezogenen Daten sowie sensiblen personenbezogenen Daten. Genau dies hat jetzt wieder den europäischen Gerichtshof beschäftigt. Hier wurde mit dem sogenannten Schrems-II-Urteil entschieden, dass die Datenübermittlung von der Europäischen Union in den Rechtsraum der USA nicht mehr aufgrund des Privacy-Shield-Abkommens gedeckt ist.

Datenübertragungen in die USA aber auch in anderen Ländern außerhalb der EU, bspw. China oder Südafrika sind besonders kritisch zu betrachten, da diese Länder ein niedrigeres Datenschutzniveau als die EU haben. Das Privacy-Shield-Abkommen ist primär deswegen gescheitert, weil nicht vermieden werden konnte, dass die Nachrichtendienste der Amerikaner, hier unter anderem die NSA, auf die Daten europäischer Nutzer zugreifen.

Da Großbritannien und Irland im Rahmen des BREXIT aus der EU ausgetreten sind, bezieht sich diese Problemstellung auch auf die datenschutzrechtlichen Beziehungen mit diesen beiden Staaten. Mit dem Brexit ist aus UK ein „Drittland“ geworden. EU-Unternehmen, die personenbezogene Daten an Empfänger in Drittstaaten übermitteln wollen, benötigen laut DSGVO Art. 44 ff. eine zusätzliche Legitimation, damit die Daten die EU verlassen dürfen.

Übergangsphase läuft zum 30.06.2021 aus

Im Rahmen des BREXIT einigte man sich auf eine Übergangsphase

, welche ursprünglich bis zum 30.04.2021 beschränkt war. Diese Übergangsphase wurde um weitere zwei Monate verlängert. Ab dem 01.07.2021 sollte ein Angemessenheitsbeschluss eine gesetzliche Option für die unkomplizierte und legale Datenübertragung in die Drittländer England, Schottland, Wales und Irland bilden. Dieser Angemessenheitsbeschluss sollte zur Folge haben, dass Datenexporteure von der ansonsten regelmäßig durchzuführenden Prüfung der Rechtmäßigkeit einzelner Datentransfers in ein Drittland befreit werden. Die datenschutzrechtliche Situation würde somit in etwa dem Entsprechen, als sei das UK noch
Teil der EU.

Am 20.05.2021 hatte das EU-Parlament jedoch mit knapper Mehrheit seine Zustimmung zum Angemessenheitsbeschluss mit UK abgelehnt. Die Ablehnung war mit 353 Stimmen zu 334 Stimmen bei 7 Enthaltungen zwar knapp, führt aber dazu, dass Datenübertragungen von der EU in UK einer Einzelfallprüfung bedürfen und bei der Auftragsverarbeitung Standarddatenschutzklauseln mit entsprechenden Anhängen zu Geltung kommen müssen. Wichtig ist dabei zu wissen

, dass die von der EU vordefinierten Datenschutzklauseln nicht geändert werden können. Lediglich die Konkretisierungen im Anhang können individualisiert werden.

Wir empfehlen Ihnen daher, Ihre Datenverarbeitungsverfahren dahingehend zu prüfen, ob Daten in UK verarbeitet werden und auf welcher rechtlichen Grundlage dies geschieht. Sollten Sie Fragen diesbezüglich haben, wenden Sie sich gerne an die Experten von Datenschutz Nordost in Rostock, Neubrandenburg oder Güstrow.