Neuer Brexit-Beschluss: Die Europäische Union und Großbritannien einigten sich kürzlich darauf, den Brexit bis mindestens den 12. April zu verschieben. Wie es datenschutzrechtlich weitergeht, ist weiterin unklar. Hier eine Kurzfassung der möglichen Entwicklungen.
A) Zunächst gibt es drei Szenarien:
1. Es kommt ein ‚hard Brexit‘ ohne jegliche Regelung. In diesem Fall geht es weiter bei B).
2. Es gibt einen Deal oder eine Entscheidung der EU-Kommission, die das britische Datenschutzniveau als angemessen anerkennt. Dann bleibt alles beim Alten und es ist nichts(!) weiter zu tun.
B) Im Fall eines ‚hard Brexit‘ ist Folgendes zu tun:
1. Controller-to-Processor-Verhältnisse (AVV/DPA)
a) Ein Controller mit Sitz in der EU hat einen Processor im UK: Hier müssen zusätzlich zur bestehenden AVV die EU-Standardvertragsklauseln abgeschlossen werden.
b) Ein Controller mit Sitz im UK hat einen Processor in der EU: Hier muss (voraussichtlich) nichts getan werden, weil die britische ICO schon angekündigt hat, das EU-Datenschutzniveau anzuerkennen.
2. Controller-to-Controller-Verhältnisse (C2C)
a) Ein Controller mit Sitz in der EU übertragt an einen Controller im UK: Hier müssen die EU-Standardvertragsklauselnabgeschlossen werden.
b) Ein Controller mit Sitz im UK überträgt an einen Controller in der EU: Hier muss (voraussichtlich) nichts getan werden, weil die britische ICO schon angekündigt hat, das EU-Datenschutzniveau anzuerkennen.
3. Joint-Controller-Verhältnisse (JCA)
a) Ein Controller mit Sitz in der EU übertragt an einen joint Controller im UK: Hier müssen zusätzlich zum bestehenden Joint-Controller-Agreement die EU-Standardvertragsklauseln abgeschlossen werden.
b) Ein Controller mit Sitz im UK überträgt an einen joint Controller in der EU: Hier muss (voraussichtlich) nichts getan werden, weil die britische ICO schon angekündigt hat, das EU-Datenschutzniveau anzuerkennen.