Das englische Datenschutzrecht nach dem Brexit

Das Vereinigte Königreich ist am 31. Januar 2020 aus der EU ausgetreten. Dadurch ist das Land in formeller Hinsicht seit dem 31. Dezember 2020 nicht mehr an die Gesetze der EU gebunden. Somit auch nicht mehr an die DSGVO.

Das Vereinigte Königreich hat in Section 3 des European Union (Withdrawal) Act 2018 jedoch bekannt gegeben, dass sie materiell die zum Zeitpunkt des Austritts geltenden Gesetzestexte der EU beibehaltet. Damit wurde auch der Text der DSGVO übernommen und als UK GDPR mit entsprechenden Anpassungen als rechtskräftig erklärt. Diese Anpassungen werden mit sogenannten Amendments getätigt, welche durch die Data Protection, Privacy and Electronic Communications (Amendments etc) (EU Exit) Regulations 2019 ausgesprochen wurden. Dadurch müssen die Artikel der UK GDPR, welche materiell übereinstimmend sind mit denjenigen der DSGVO, mit den entsprechenden Amendments gelesen werden, um als angepasste Fassung verstanden werden zu können.

Damit bei der Übermittlung der personenbezogenen Daten, beim stetigen Datenfluss zwischen der EU und dem Vereinigten Königreich, aber weiterhin ein hohes Schutzniveau gewährleistet werden kann, wird die Übermittlung seit 1. Januar 2021 provisorisch durch das sogenannte Handels- und Kooperationsabkommen (TCA) geregelt. Dies sieht eine Übergangsregelung vor, welche die Kontinuität des Datenflusses sicherstellt, ohne dass Unternehmen und Behörden ein Übermittlungsinstrument gemäss der DSGVO einrichten müssen. Diese Lösung gilt für einen Zeitraum von maximal sechs Monaten und ist an die Verpflichtung des Vereinigten Königreichs geknüpft, die derzeitigen Regelungen bezüglich des Datenschutzes nicht zu verändern.       
In der darauffolgenden Zeit muss die Lage neu beurteilt werden. Die EU kann durch einen oder mehrere sogenannte Angemessenheitsbeschlüsse erklären, dass die Sicherheit beim Datenfluss gewährleistet und dieser somit auch erlaubt ist. Ergeht kein solcher Beschluss, wird das Vereinigte Königreich zum Drittstaat ohne Angemessenheitsbeschluss und der Datenfluss wäre nicht mehr erlaubt, solange nicht entsprechende Garantien zur Sicherheit der Daten zwischen den Parteien vereinbart sind.

Ein entsprechendes Verfahren zur Annahme von zwei Angemessenheitsbeschlüssen für die Übermittlung personenbezogener Daten in das Vereinigte Königreich wurde bereits am 19. Februar 2021 von der europäischen Kommission eingeleitet. Zur endgültigen Annahme müssen eine Stellungnahme des Europäischen Datenschutzausschusses (EDSA) und die Zustimmung von einem Ausschuss, der sich aus Vertretern der EU-Mitgliedstaaten zusammensetzt, eingeholt werden. Sobald dieser Prozess erfolgreich und mit der Zustimmung abgeschlossen ist, wird die Kommission die beiden Angemessenheitsbeschlüsse erlassen.

Wir haben die UK GDPR zusammen mit den einschlägigen Anpassungen in unsere Gesetzessammlung aufgenommen. Damit kannst Du die UK GDPR zusammen mit den Amendments lesen und Dich im UK-Datenschutzrecht auf den neusten Stand bringen.