Der reibungslose Transfer von Arbeitnehmerdaten von und in das Vereinigte Königreich wird auch in Zukunft unumgänglich sein. Das Brexit-Abkommen sah zunächst ab dem 1.1.2021 noch einen Übergangszeitraum vor. Danach galt das Vereinigte Königreich für 4 Monate nicht als (unsicheres) Drittland im Sinne der DSGVO. Diese Frist verlängerte sich automatisch um 2 weitere Monate. Nach Ablauf der Übergangsfrist am 30.6.2021 ist ein Datentransfer grundsätzlich nicht mehr zu den bisherigen, erleichterten Bedingungen möglich. Dies bedeutet, dass EU-Unternehmen, die personenbezogene Daten an Empfänger im Vereinigten Königreich übermitteln, neben den für innereuropäische Datentransfers geltenden Rechtmäßigkeitsanforderungen zusätzlichen Restriktionen im Sinne der Art. 44 ff. DSGVO unterliegen. Damit bedarf ein Datentransfer neben dem Erlaubnisgrund gemäß Art. 6 Abs. 1 DSGVO einer zusätzlichen Legitimation.
Konkret bedeutet dies: beim Einsatz von Mitarbeitern eines britischen Unternehmens innerhalb der EU ist die DSGVO gemäß Art 3 Abs. 1 und 2 weiter anwendbar. Dabei spielt es keine Rolle, ob sich eine Niederlassung des Unternehmens in der EU befindet oder wo genau die Datenverarbeitung stattfindet. Bei Datensachverhalten, in die auch das Vereinigte Königreich involviert ist, muss in Verträgen ein besonderes Augenmerk auf die Vereinbarung eines ausreichenden Datenschutzes gerichtet werden. Zu beachten sind die besonderen Anforderungen der Art. 44 ff. DSGVO dann, wenn das Unternehmen (selbstständige oder unselbstständige) Niederlassungen im Vereinigten Königreich hat, wenn ein Unternehmen Auftragsverarbeiter nach Art. 28 DSGVO einsetzt, die ihre Niederlassung im Vereinigten Königreich haben oder dort zumindest personenbezogene Daten verarbeiten oder wenn ein Dienstleister oder Auftragsverarbeiter wiederum Subdienstleister nach Art. 28 Abs. 2 DSGVO im Vereinigten Königreich einsetzt. Ist dies der Fall, müssen die besonderen Voraussetzungen der Art. 44 ff. DSGVO als zusätzliche Maßnahmen zur Sicherstellung des Datenschutzniveaus erfüllt werden.
Datenschutzprobleme bis 2025 gelöst
Als praktikable und einheitliche Lösung hat die EU-Kommission am 28.6.2021 ein angemessenes Datenschutzniveau aufgrund eines Angemessenheitsbeschlusses nach Art. 45 DSGVO für das Vereinigte Königreich festgestellt. Der Beschluss ist befristet bis zum 27.6.2025. Aufgrund des Angemessenheitsbeschlusses gilt das Vereinigte Königreich während dieses Zeitraums nicht als unsicherer Drittstaat für Datenübermittlungen.
Mit dem Angemessenheitsbeschluss ist zunächst sichergestellt, dass Datentransfers von der ansonsten regelmäßig durchzuführenden 2-stufigen Rechtmäßigkeitsprüfung in ein Drittland befreit werden. Faktisch ist damit die datenschutzrechtliche Situation wieder so, wie sie zur Zeit der EU-Mitgliedschaft des Vereinigten Königreichs war.
Das ist nur ein Ausschnitt aus dem Produkt Haufe Personal Office Platin. Sie wollen mehr?
Jetzt kostenlos 4 Wochen testen
Anmelden und Beitrag in meinem Produkt lesen