Datenschutzrechtliche BrExit-Bewertung bleibt bestehen

Verschiebung des Austritts ändert Rechtslage nicht

[datensicherheit.de, 06.05.2019] Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI RLP) geht in einer aktuellen Stellungnahme auf den sogenannten BrExit ein: Das Austrittsdatum des Vereinigten Königreichs Großbritannien und Nordirland aus der Europäischen Union (EU) wurde verschoben – die datenschutzrechtliche Bewertung aber bleibe.

Austrittsabkommen würde Regelungen zum Datenschutz treffen

Gemäß dem Antrag der britischen Regierung laut Art. 50 Abs. 1 des Vertrags über die Europäische Union (EU) soll das Vereinigte Königreich Großbritannien und Nordirland aus der EU austreten – der „BrExit“. Der ursprüngliche Austrittstermin am 29. März 2019 wurde inzwischen verschoben. Auf ihrem „Sondergipfel“ am 10. April 2019 haben die EU-Staaten einem Aufschub bis spätestens 31. Oktober 2019 zugestimmt.
Ein früherer Austritt sei möglich, wenn das Vereinigte Königreich das mit der Europäischen Kommission ausgehandelte Austrittsabkommen vor diesem Termin unterzeichnet. In diesem Falle gelten dann laut LfDI RLP „die darin getroffenen Regelungen zum Datenschutz“.

No-Deal-BrExit: Vereinigtes Königreich wäre DSGVO-Drittland

Nach wie vor nicht ausgeschlossen ist, dass es auch zu einem ungeregelten, also einem „No-Deal-BrExit“, kommen kann. In diesem Falle gelte das Vereinigte Königreich nach Austritt aus der EU als „Drittland“ im Sinne der Datenschutz-Grundverordnung (DSGVO): Damit müssten verantwortliche Stellen in der EU, also auch die mit Sitz in Rheinland-Pfalz, die Regelungen für Datenübermittlungen in Drittländer berücksichtigen sowie ihre Dokumente entsprechend überarbeiten.
Betroffene öffentliche und nicht-öffentliche Stellen sollten daher „spätestens jetzt tätig werden und Maßnahmen in die Wege leiten“, die einen datenschutzkonformen Datentransfer in das Vereinigte Königreich auch nach dem BrExit ermöglichen.

DSK-Beschluss: Austrittsdatum wird korrigiert zum 31. Oktober 2019

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat laut LfDI RLP „Informationen zu Datenübermittlungen aus Deutschland in das Vereinigte Königreich Großbritannien und Nordirland ab dem 30. März 2019“ in einem Beschluss dargestellt.
Für das im Beschluss der DSK noch genannte Austrittsdatum 30. März 2019 sei nunmehr der 31. Oktober 2019 anzusetzen.

Weitere Informationen zum Thema:

Der Landesbeauftragte für den DATENSCHUTZ und die INFORMATIONSFREIHEIT Rheinland-Pfalz
Brexit

DSK DATENSCHUTZKONFERENZ, 08.03.2019
Beschluss der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder / Informationen der Konferenz der unabhängigen Datenschutzaufsichtsbehörden zu Datenübermittlungen aus Deutschland in das Vereinigte Königreich Großbritannien und Nordirland ab dem 30. März 2019

Amtsblatt der Europäischen Union, 19.02.2019
ABKOMMEN über den Austritt des Vereinigten Königreichs Großbritannien und Nordirland aus der Europäischen Union und der Europäischen Atomgemeinschaft

datensicherheit.de, 15.03.2019
Datenschutz: Auf BrExit vorbereitet sein

datensicherheit.de, 12.02.2019
BrExit: Europäische Datenschutzbeauftragte diskutierten Folgen

datensicherheit.de, 13.08.2018
Brexit: Über den Umgang mit britischen .eu Domain-Namen