Brexit: Auswirkungen auf die Datenschutzpraxis

Was ein Drittland ist, definiert die Datenschutz-Grundverordnung (DSGVO) selbst nicht. Aus Art. 3 DSGVO lässt sich zumindest entnehmen, dass jedes Land, das nicht Mitglied der EU ist, als Drittland gilt. Das UK ist damit seit 01.01.2021 als Drittland im Sinne der DSGVO zu behandeln.

Offensichtliche Konsequenzen des Brexit

Für Datenverarbeiter mit Niederlassung im UK gilt die DSGVO nicht mehr (Art. 3 Abs. 1 DSGVO – Niederlassungsprinzip). Verarbeiten sie aber entsprechend der Maßgabe von Art. 3 Abs. 2 DSGVO personenbezogene Daten von betroffenen Personen, die sich in der Union befinden, müssen sie insoweit die DSGVO beachten (Art. 3 Abs. 2 DSGVO – Marktortprinzip).

Ein Transfer personenbezogener Daten aus der EU in das UK muss insbesondere das zusätzliche Verbot mit Erlaubnisvorbehalt nach Art. 44 DSGVO beachten. Und er muss sich nach Art. 45 bis 49 DSGVO rechtfertigen lassen. Das gilt ebenso für eine Weiterübermittlung aus dem UK in andere Drittländer.

Für die Verarbeitung personenbezogener Daten von betroffenen Personen im UK durch Unternehmen mit Sitz in der EU ist das Datenschutzrecht des UK zu beachten. Der maßgebliche Data Protection Act (DPA) 2018 sieht ebenso wie die DSGVO neben dem Niederlassungsprinzip das Marktortprinzip vor. Mit anderen Worten: Anders als bisher genügt allein die Beachtung der Vorgaben der DSGVO nicht.

Derzeit ist noch eine weitgehende Übereinstimmung des DPA 2018 mit der DSGVO anzunehmen. Das kann sich aber zügig ändern, wenn die Auslegung des UK-Datenschutzrechts nicht mehr der Vereinheitlichung du…