Brexit und Datenschutz – die datenschutzrechtlichen Folgen des Brexit-Deals


Ihre Kontakte

Mit dem Ablauf der Brexit-Übergangsperiode Ende 2020 und dem gerade noch rechtzeitig abgeschlossenen Abkommen stellt sich die Frage, was der «geregelte» Brexit für den Datenschutz bedeutet. Dank der Regelung im Brexit-Deal verändert sich während einer weiteren Übergangsfrist bis mindestens Ende April 2021 für Datentransfers zwischen der EU und dem UK grundsätzlich nichts, gilt das UK bis dahin datenschutzrechtlich weiterhin nicht als Drittstaat. Aus Schweizer Sicht ist ferner weiterhin von einer Angemessenheit des englischen Datenschutzniveaus auszugehen und die Rechtslage bleibt bis auf Weiteres ebenfalls unverändert. Zu beachten ist jedoch, dass die Pflicht zur Bestellung eines Vertreters im Vereinigten Königreich direkte Auswirkungen auf Schweizer Unternehmen haben kann.

Brexit und die Auswirkungen auf den Datenschutz

Das Vereinigte Königreich ist seit dem 31. Dezember 2020, d.h. nach Ablauf der Übergangsperiode im Austritts-Abkommen, offiziell nicht mehr Teil der EU und gilt damit als Drittstaat. Aus datenschutzrechtlicher Sicht ist der Austritt namentlich deshalb bedeutsam, weil die einschlägigen Erlasse der EU und der Schweiz besondere Vorschriften für die Übermittlung von Personendaten ins Ausland bzw. Drittstaaten vorsehen. Beide Rechtsordnungen erlauben Datenübermittlungen in andere Länder bzw. Drittstaaten ohne angemessenes Datenschutzniveau nur, wenn zusätzliche Massnahmen ergriffen werden, wie z.B. der Abschluss sogenannter Standardvertragsklauseln (vgl. dazu aktuell insb. MLL-News 23.12.2020) oder bestimmte, eng umschriebene Ausnahme-Fälle vorliegen (vgl. dazu z.B. MLL-News vom 21. Juli 2018). Deshalb ist zentral, in welchen Ländern von einem angemessenen Datenschutzniveau ausgegangen wird (vgl. hierzu bereits MLL News vom 23. April 2020).

Während in der Schweiz vom Eidg. Datenschutzbeauftragten (EDÖB) im geltenden Recht eine entsprechende Staatenliste geführt wird (vgl. hierzu sowie zur künftigen Rechtslage unten), wird unter der EU-DSGVO hierüber grundsätzlich durch einen formellen Angemessenheitsbeschluss der EU-Kommission entschieden. Da ein solcher Beschluss bis anhin für das Vereinigte Königreich nicht bestand, blieb lange offen, wie die beiden Seiten damit umgehen. Kurz vor Ablauf der Übergangfrist konnten sich die EU und das Vereinigte Königreich bekanntlich doch noch auf einen geregelten Brexit einigen und schlossen ein Handels- und Kooperationsabkommen ab. Darin wird nun auch festgelegt, inwiefern die Rechtsordnung des Vereinigten Königreichs als angemessen gelten soll.

Datenschutzrecht des Vereinigten Königreichs

In diesem Zusammenhang ist zentral, dass das Vereinigte Königreich bereits beschlossen hatte, die materiellen Vorschriften der DSVGO weiterhin anzuwenden, allerdings nicht mehr als europäische Verordnung, sondern als UK GDPR (vgl. hierzu den European Union (Withdrawal) Act 2018). Daneben gilt auch der Data Protection Act 2018 weiterhin. Diese beiden Regelungen bilden somit (weiterhin) den Kern des Datenschutzrecht des Vereinigten Königreichs, wobei diese nach dem Brexit noch durch Regelungen in den Data Protection Amendments angepasst wurden.

Übergangs-Regelung im Handels- und Kooperationsabkommen zwischen der EU und dem UK

Im Handels- und Kooperationsabkommen zwischen der EU und dem Vereinigten Königreich wurde vereinbart, dass weiterhin das hohe Datenschutzniveau eingehalten werden soll. Allerdings wurde nicht geregelt, ob das Datenschutzniveau des Vereinigten Königreichs gemäss der DSGVO als angemessen einzustufen ist. Mit anderen Worten besteht nach wie vor kein Angemessenheitsbeschluss. Jedoch haben sich die Parteien auf eine Übergangsfrist von vier Monaten geeinigt, welche sich automatisch auf sechs Monate verlängert, sollte keine der Parteien widersprechen. Demnach wird das Vereinigte Königreich durch die Übergangsfrist mindestens bis Ende April beziehungsweise Juni 2021 nicht als Drittstaat behandelt.

Sofern die EU bis dann keinen Angemessenheitsbeschluss fällen sollte, würde das Vereinigte Königreich spätestens ab dem 1. Juli 2021 als Drittstaat behandelt werden. Unter diesen Umständen wären dann Datenübermittlungen an Empfänger im Vereinigten Königreich nur noch unter Einhaltung besonderer Voraussetzungen erlaubt. Unternehmen müssten in diesem Fall zusätzliche Vorkehrungen ergreifen, wie sie bereits für den Fall des „No-Deal-Brexit“ erläutert wurden (vgl. MLL-News vom 25. März 2019).

Entwurf des Angemessenheitsbeschlusses zum UK-Datenschutzrecht

Davon ist jedoch aktuell nicht auszugehen, ist doch die Europäische Kommission kürzlich zum Schluss gelangt, dass im Vereinigten Königreich ein Schutzniveau gewährleistet wird, das dem durch die DSGVO gewährleisteten Schutzniveau im Wesentlichen gleichwertig ist. Ein Angemessenheitsbeschluss liegt daher nun in Entwurfsform vor. Zur Verabschiedung bedarf es sodann einer Stellungnahme des Europäischen Datenschutzausschusses (EDSA) und der Zustimmung eines aus Vertretern der EU-Mitgliedstaaten bestehenden Komitologieausschusses.

Vertreter im Vereinigten Königreich gemäss Art. 27 UK GDRP

Eine weitere wichtige datenschutzrechtliche Folge des Brexits ist für zahlreiche Unternehmen die Pflicht zur Bestellung eines Vertreters im Vereinigten Königreich. Diese Pflicht geht auf Artikel 27 EU-DSGVO zurück, welche nun auch unverändert in das nationale Recht des Vereinigten Königreichs bzw. die UK-DSGVO übernommen wurde. Verantwortliche und Auftragsverarbeiter, welche Waren oder Dienstleitungen an Personen im Vereinigten Königreich anbieten oder aber das Verhalten von Personen im Vereinigten Königreich beobachten, müssen deshalb einen Vertreter im Vereinigten Königreich bestimmen. Dies ist unabhängig davon, ob bereits ein Vertreter in der EU bestimmt wurde. Somit sind unter Umständen bereits heute zwei Vertreter zu bestellen.

Ausgenommen von der Pflicht sind nur die öffentliche Hand oder Fälle, in denen nur gelegentlich und keine besonders schützenswerten Daten verarbeitet werden sowie zu keinem hohen Risiko für die Datenschutzrechte der Betroffenen führen (vgl. zur Bestellung von Vertretener im Vereinigten Königreich: ICO betr. Vertreter). Die Übergangfrist von vier bis sechs Monaten hat keinen Einfluss auf die Regelung bezüglich der Bestellung von Vertretern, bezieht sich diese doch einzig auf die Angemessenheit des englischen Datenschutzrechts.

Bis auf Weiteres keine Folgen für Datentransfers aus der Schweiz in das UK

Wie bereits angesprochen, führt der EDÖB für die Schweiz aktuell eine Staatenliste und hält darin fest, welche Länder über ein angemessenes Datenschutzniveau verfügen. Für Datentransfers in solche Länder, gelten neben den allgemeinen Anforderungen für sämtliche Datenbearbeitungen und Datenbekanntgaben, keine zusätzlichen Anforderungen. In der aktuellsten Fassung der Staatenliste (8. September 2020) ist das Vereinigte Königreich als Land mit angemessenem Datenschutzniveau aufgeführt. Somit ergeben sich aus dem Brexit für Datentransfers aus der Schweiz in das Vereinigte Königreich keine Folgen und sind keine zusätzlichen Massnahmen zu ergreifen.

Es ist indessen zu beachten, dass nach dem Inkrafttreten der Totalrevision des Schweizerischen Datenschutzrechts ebenfalls ein formeller Angemessenheitsbeschluss des Bundesrats erforderlich sein wird (vgl. Art. 16 Abs. 1 nDSG). Die weitere Entwicklung sollte deshalb auch aus diesem Grund im Auge behalten werden.

Weitere Informationen:


Artikel teilen



meistgelesen


Highlights

MLL Legal

MLL Legal ist eine der führenden Anwaltskanzleien in der Schweiz mit Büros in Zürich, Genf, Zug, Lausanne, London und Madrid. Wir beraten unsere Klienten in allen Bereichen des Wirtschaftsrechts und zeichnen uns insbesondere durch unsere erstklassige Branchenexpertise in technisch-innovativen Spezialgebieten, aber auch in regulierten Branchen aus.

MLL Legal

 

Newsletter

MLL-News 03/22 mit Beiträgen zum Digital Markets Act, Digital Services Act, PBV-Revision, Abmahnungen zu Google Fonts, Inbox-Adverting und vieles mehr.

Zugang MLL-News 03/22

Jetzt anmelden!

Unsere Geschichte

MLL Legal ist eine führende Schweizer Anwaltskanzlei, deren Geschichte bis ins Jahr 1885 zurückreicht. Die Kanzlei ist sowohl organisch als auch durch strategische Fusionen gewachsen, von denen die Jüngste am 1. Juli 2021 zwischen Meyerlustenberger Lachenal und FRORIEP vollzogen wurde.

Durch diesen Zusammenschluss hat sich MLL Legal zu einer der grössten Wirtschaftskanzleien der Schweiz mit über 150 Anwältinnen und Anwälten in vier Büros in der Schweiz entwickelt. Auch zwei Büros im Ausland, in London und Madrid, bieten Anlaufstellen vor Ort für Klientinnen und Klienten, die Beratung im Schweizer Wirtschaftsrecht suchen.

Die Kanzlei verfügt heutzutage über ein starkes internationales Profil und ein langjährig aufgebautes globales Netzwerk. MLL Legal vereint anerkannte Führungsqualitäten und Fachwissen in allen Bereichen des Schweizer und internationalen Wirtschaftsrechts.

Über uns

Publikationen

Hier geht’s zu unseren neuesten Publikationen

COVID-19

Lesen Sie alle unsere rechtlichen Updates zu den Auswirkungen von COVID-19 für Unternehmen.

COVID-19 Information

Offene Stellen

Sind Sie auf der Suche nach einer neuen Herausforderung?

Unsere talentierten und ambitionierten Teams sind von einer gemeinsamen Vision motiviert, erfolgreich zu sein. Wir schätzen eine offene und unkomplizierte Kommunikation über alle Ebenen der Organisation hinweg in einem unterstützenden Arbeitsumfeld.

Offene Stellen

Real Estate Legal Update

Hier gehts zum Real Estate Legal Update 01/24. Unser Real Estate Team hat wiederum Artikel in verschiedenen Gebieten verfasst, so dass hoffentlich für alle etwas Interessantes dabei ist. Wir wünschen viel Spass bei der Lektüre.

Registrieren Sie sich hier, um unser 2 x jährlich erscheinendes Real Estate Legal Update zu erhalten.

Unser Team

Unsere über 150 Anwältinnen und Anwälte unterstützen Sie dabei, den regulatorischen und technologischen Anforderungen im modernen globalen Wirtschaftsleben erfolgreich zu begegnen und ihre wirtschaftlichen Chancen zu nutzen.

Unser Team

Revision DSG

Auf unserer Themenseite rund um die Revision des Schweizerischen Datenschutzgesetzes finden Sie regelmässig aktualisierte und umfassende Informationen und Hilfsmittel. Es ist uns ein Anliegen, Sie bei der Implementierung der neuen Vorgaben zu unterstützen.

Revision DSG Themenseite

MLL Legal on Social Media

Folgen Sie uns auf LinkedIn.