Die britische Datenschutzaufsichtsbehörde Information Commissioner’s Office (ICO) hat ihre Leitlinien zur internationalen Übermittlung personenbezogener Daten aktualisiert und weiterentwickelt. Ziel der Überarbeitung ist es, die Anforderungen der britischen Datenschutz-Grundverordnung (UK GDPR) klarer darzustellen und Verantwortlichen eine Orientierung bei der rechtssicheren Gestaltung internationaler Datentransfers zu geben. Die Leitlinien richten sich insbesondere an Datenschutzbeauftragte sowie an Personen mit besonderen datenschutzrechtlichen Verantwortlichkeiten.
Änderungen der Leitlinien
Die aktualisierten Leitlinien befassen sich umfassend mit den Voraussetzungen internationaler Datenübermittlungen. Sie erläutern dabei insbesondere die einschlägigen Anforderungen, Rollen und Verantwortlichkeiten sowie die gesetzlich vorgesehenen Ausnahmen von den Transferregelungen. Nach Angaben des ICO soll die Überarbeitung zur Reduzierung der Komplexität beitragen und insgesamt für mehr Klarheit bei der Anwendung der Regelungen sorgen.
Die Aktualisierung ist Teil eines laufenden Projekts zur Weiterentwicklung der Leitlinien zu internationalen Datenübermittlungen.
Drei-Schritte-Test zur beschränkten Übermittlung personenbezogener Daten
Die überarbeiteten Leitlinien sehen unter anderem einen klar strukturierten Drei-Schritte-Test vor, anhand dessen Organisationen prüfen können, ob eine sogenannte beschränkte Übermittlung personenbezogener Daten vorliegt. Ergänzend wurden zusätzliche Inhalte in die Leitlinien aufgenommen, um typische Fragestellungen aus der Praxis aufzugreifen. Diese stehen insbesondere im Zusammenhang mit komplexeren Übermittlungsszenarien.
Gesetzliche Ausnahmen von den Übermittlungsanforderungen
Ein weiterer Bestandteil der Leitlinien zur internationalen Übermittlung personenbezogener Daten betrifft die gesetzlichen Ausnahmen von den Übermittlungsanforderungen (sogenannte Derogations). Diese kommen unter anderem in Betracht, wenn eine Übermittlung in einer Notfallsituation erforderlich ist, etwa zum Schutz lebenswichtiger Interessen. Erfasst sind Fälle, in denen das Leben oder die körperliche oder geistige Gesundheit einer Person ernsthaft und dringend gefährdet ist und die betroffene Person nicht in der Lage ist, ihre Einwilligung zu erteilen.
Das ICO stellt klar, dass die Leitlinien nicht sämtliche Aspekte der datenschutzrechtlichen Compliance abdecken und im Zusammenhang mit weiteren einschlägigen Leitlinien zu lesen sind.
In diesem Zusammenhang verweist das ICO für die Verarbeitungen personenbezogener Daten zu Zwecken der Strafverfolgung nach Teil 3 des Data Protection Act auf gesonderte Leitlinien zu internationalen Übermittlungen, die speziell für diesen Regelungsbereich gelten.
Bedeutung für das europäische Datenschutzrecht
Seit dem Brexit gilt das Vereinigte Königreich als Drittland im Sinne der Datenschutz-Grundverordnung (DSGVO). Datenübermittlungen in das Vereinigte Königreich unterliegen den Vorgaben für internationale Transfers. Zudem sind viele Unternehmen sowohl an die EU-DSGVO als auch an die britische Datenschutzverordnung UK GDPR gebunden. Die ICO-Leitlinien zeigen, wie die britische Aufsichtsbehörde die Regelungen zu internationalen Datenübermittlungen auslegt. Damit bieten sie eine relevante Orientierung für Unternehmen mit grenzüberschreitenden Datenflüssen.
Fazit
Mit der Aktualisierung ihrer Leitlinien zur internationalen Übermittlung personenbezogener Daten präzisiert die britische Datenschutzaufsichtsbehörde ICO die Anforderungen der UK GDPR und stellt diese strukturierter dar. Die Leitlinien verdeutlichen, unter welchen Voraussetzungen internationale Datenübermittlungen zulässig sind, welche Rolle geeignete Garantien spielen und in welchen eng begrenzten Ausnahmefällen gesetzliche Ausnahmen in Betracht kommen können.
Für Unternehmen bedeutet dies, dass internationale Datenübermittlungen weiterhin einer sorgfältigen rechtlichen Prüfung bedürfen. Die von der ICO eingeführte strukturierte Prüfung sowie die ergänzenden Erläuterungen und Beispiele können dabei als Orientierungshilfe dienen.
Bereit, die Verantwortung an einen externen Datenschutzbeauftragten zu übergeben?
Kontaktieren Sie uns noch heute, um zu erfahren, wie wir Ihr Unternehmen in Fragen des Datenschutzes und der Datenschutz-Compliance unterstützen können.
