Viele in der EU ansässige Unternehmen stellen sich aktuell die Frage, welche Konsequenzen ein „harter“ Brexit auf Datenübertragungen in das Vereinigte Königreich haben. Ab dem 01. Januar 2021 ist das Vereinigte Königreich datenschutzrechtlich als sog. Drittland anzusehen. Seit dem sog. Schrems II-Urteil des EuGH vom 16.07.2020 (Az: C-311/18) sind bei Datenübertragungen in Drittländer neben dem Abschluss der EU-Standardvertragsklauseln zusätzliche Maßnahmen insbesondere dann erforderlich, wenn im betreffenden Drittland direkte geheimdienstliche / staatliche Zugriffsbefugnisse auf personenbezogene Daten existieren.
Unternehmen innerhalb der EU, die Daten in das Vereinigte Königreich beispielweise zum Wecke der Auftragsverarbeitung übertragen, müssten also in einem ersten Schritt in Erfahrung bringen, inwieweit dort solche behördlichen Zugriffsbefugnisse existieren. Insoweit wird es nach dem Schrems II-Urteil des EuGH vermehrt praktiziert, entsprechende Fragebögen an die betroffenen Unternehmen im Drittland zu versenden. Auch der Europäische Datenschutzausschuss begrüßt die Verwendung derartiger Fragebögen.
Sollte die Befragung mittels Fragebogen zu dem Ergebnis kommen, dass behördliche Zugriffsbefugnisse bestehen, so könnten in einem zweiten Schritt zusätzliche Schutzmaßnahmen erforderlich werden, die mit den betroffenen Unternehmen abzustimmen wären. Wie diese zusätzlichen Maßnahmen jeweils aussehen könnten, dazu hat der Europäische Datenschutzausschuss entsprechende Empfehlungen abgegeben, welche in einem gesonderten Artikel behandelt werden. Es kommen insbesondere beispielsweise geeignete Verschlüsselungstechniken in Betracht.
Falls sich im Rahmen der Befragung herausstellt, dass keine direkten behördlichen Zugriffsbefugnisse bestehen, so sind zunächst keine zusätzlichen Schutzmaßnahmen erforderlich. In diesem Fall wäre die Rechtslage regelmäßig auf relevante Änderungen zu überwachen.
Zumindest derzeit sollten die Antworten auf den Fragebogen nicht überraschend sein, nachdem aktuell im Vereinigten Königreich auch die DSGVO gilt und bereits aus wirtschaftlichen Überlegungen seitens des Vereinigten Königreichs nicht davon auszugehen ist, dass am Tag 1 nach dem 31.12.2020 das Datenschutzrecht geändert wird.
Weiterer interessanter Artikel zum Thema: Entwurf neuer EU-Standardvertragsklauseln