Durch den Brexit wird das Vereinigte Königreich zu einem Drittland, in das personenbezogene Daten aus der EU nur exportiert werden dürfen, wenn dort ein vergleichbares Datenschutzniveau vorliegt. Die EU-Kommission hat dies nun trotz der Bedenken des EDSA und des EU-Parlaments mit einem sogenannten Angemessenheitsbeschluss bestätigt. Welchen Bestand der Angemessenheitsbeschluss vor Gericht hätte, bleibt jedoch fraglich.
Update, 31. August 2021: Wie von uns erwartet, treten die ersten Probleme zum Angemessenheitsbeschluss für das Vereinigte Königreich auf. Am 26. August 2021 veröffentlichte die britische Regierung eine Pressemitteilung, in welcher sie wesentliche gesetzliche Änderungen im Datenschutz ankündige. So sollen die bislang ins nationale Recht übernommenen Regelungen der DSGVO durch eigene Vorschriften abgelöst werden. Grundlegende Änderungen sollen dabei hinsichtlich der Notwendigkeit von Cookie-Bannern und zum internationalen Datentransfer kommen. Der konkrete Entwurf wird im Laufe des Septembers erwartet. Der Gesetzesentwurf wird nach dessen Veröffentlichung von der EU-Kommission geprüft und die Vereinbarkeit mit dem europäischen Datenschutzgesetz unter die Lupe genommen. Ist eine Vereinbarkeit nicht gegeben, ist die Aussetzung oder die Beendigung des Angemessenheitsbeschlusses zu erwarten. Dadurch würden Datentransfers nach UK wieder deutlich erschwert.
Nach wie vor gilt also unser Rat, sich der eigenen Datenflüsse nach UK bewusst zu machen, um gegebenenfalls auf andere Garantien zum Drittlandstransfer, wie Standardvertragsklauseln, umsteigen zu können und sich zu diesem Thema aktuell zu halten.
Das Verfahren der EU-Kommission und Einwände
Die Europäische Kommission teilte am 19. Februar 2021 mit, das Verfahren zur Annahme ihrer Angemessenheitsfeststellung für das Vereinigte Königreich eingeleitet zu haben. Zusätzlich unterrichtete die Kommission über die nächsten Schritte und veröffentlichte den Entwurf des Angemessenheitsbeschlusses.
Zur Annahme des Angemessenheitsbeschlusses ist eine Stellungnahme des Europäischen Datenschutzausschusses (EDSA) sowie die Zustimmung der Mitgliedstaaten einzuholen.
Im April äußerte sich der EDSA zum Entwurf der Kommission. Im Allgemeinen wurde der Entwurf begrüßt, an wenigen Stellen wurden jedoch Nachbesserungen verlangt.
Am 20. Mai 2021 forderte das Europäische Parlament mit knapper Mehrheit der Abgeordneten die Kommission ebenso auf, Nachbesserungen vorzunehmen und deckte sich dabei größtenteils mit den Aussagen des EDSA. Vor allem Datentransfers in weitere Drittländer aufgrund eigener Abkommen sowie die Massenüberwachung seien noch genauer zu klären. Grundsätzlich sei der datenschutzrechtliche Rahmen im Vereinigten Königreich zwar sehr ähnlich zu dem europäischen. Allerdings sind Ausnahmeregelungen insbesondere die nationale Sicherheit und Einwanderung betreffend im britischen Recht vorgesehen. Mit Austritt aus der EU gelten diese Ausnahmeregelungen nunmehr auch für EU-Bürger. Die Ländervertreter forderten die nationalen Datenschutzbehörden darüber hinaus auf, Datentransfers in das Vereinigte Königreich auszusetzen, sollten die geforderten Nachbesserungen nicht erfolgen.
Trotz der Bedenken des EDSA und der Ablehnung durch das EU-Parlament nahm die EU-Kommission am 28. Juni 2021 den Angemessenheitsbeschluss zum Vereinigten Königreich an. In einer Pressemitteilung erklärte die Kommission, dass das Vereinte Königreich zwar kein Mitgliedstaat der EU mehr ist, aber die rechtlichen Bestimmungen zum Schutz personenbezogener Daten weiterhin vorhanden seien. Bezüglich der Bedenken des EU-Parlaments argumentierte die Kommission, dass umfangreiche Garantien vorgesehen sind, falls sich auf Seiten des Königreichs die Gegebenheiten ändern, damit die Grundrechte der EU-Bürger weiterhin geschützt werden. Diese Garantien sollen ein schnelles Eingreifen durch die EU-Kommission ermöglichen.
Regelungen des Angemessenheitsbeschlusses für das Vereinigte Königreich
Der Angemessenheitsbeschluss enthält folgende Elemente:
- Trotz Austritt aus der EU, hat sich das Datenschutzsystem des Vereinigten Königreichs bisher nicht geändert. Es gelten nach wie vor dieselben Regeln, wie zu Zeiten der EU-Mitgliedschaft.
- Bezüglich des Zugriffs auf personenbezogene Daten durch Behörden im Vereinigten Königreich (insbesondere aus Gründen der nationalen Sicherheit, sieht das System des Vereinigten Königreichs starke Garantien vor:
- Datenerhebung durch Nachrichtendienste unterliegen wohl der vorherigen Genehmigung durch ein unabhängiges Rechtsorgan. Maßnahmen müssen notwendig und im Hinblick auf das verfolgte Ziel verhältnismäßig sein.
- Sofern sich Betroffene, Unternehmen, Organisationen etc. unrechtmäßige Überwachungsmaßnahmen ausgesetzt sehen, kann Klage beim Investigatory Powers Tribunal gereicht werden.
- Das Vereinigte Königreich unterliegt zudem weiterhin der Rechtsprechung des Europäischen Gerichtshofs für Menschenrechte, der Europäischen Menschenrechtskonvention und dem Übereinkommen des Europarats zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten. Letzteres ist das einzige verbindliche internationale Übereinkommen auf dem Gebiet des Datenschutzes. Diese völkerrechtlichen Verpflichtungen stellen einen welsentlichen Bestandteil des im Angemessenheitsbeschluss bewerteten Rechtsrahmens dar.
- Der Angemessenheitsbeschluss für das Vereinigte Königreich ist zudem der erste Beschluss, der eine Verfallsklausel enthält. Hierdurch ist die Geltungsdauer strikt begrenzt. Der Beschluss läuft vier Jahre nach seinem Inkrafttreten aus. Eine Erneuerung ist nur möglich, sofern das Vereinigte Königreich weiterhin ein angemessenes Datenschutzniveau sicherstellt. Aber auch während dieser vier Jahre kann die EU-Kommission jederzeit eingreifen, sofern das derzeit bestehende Datenschutzniveau im Königreich von dem jetzigen abweicht. Sollte nach den vier Jahren die Kommission zu dem Entschluss kommen, dass der Angemessenheitsbeschluss erneuert werden soll, muss der Annahmeprozess erneut eingeleitet werden.
- Die kritisierte Datenübermittlung für die vom Vereinigten Königreich praktizierte Einwanderungskontrolle ist vom sachlichen Geltungsbereich des im Rahmen der DSGVO angenommenen Angemessenheitsbeschluss ausgenommen. Begründet wird dies damit, dass eine kürzlich ergangene Entscheidung vom Berufungsgericht von England und Wales über die Gültigkeit und die Auslegung bestimmter Einschränkungen des Datenschutzrechts in diesem Bereich getroffen wurde. Dieser Entscheidung wurde im Angemessenheitsbeschluss Rechnung getragen. Erst wenn die Situation nach dem Recht des Königreichs geklärt ist, wird auch die EU-Kommission die Notwendigkeit dieses Anschlusses neu prüfen.
Datenschutzrechtliche Einschätzung
Die Entwicklung ist zwar zu begrüßen, aber Unternehmen mit Datentransfers in das Vereinigte Königreich sollten sich nach wie vor nicht in sicherem Hafen wiegen. Vor allem aufgrund der „Schrems II“-Entscheidung des EuGHs vom Juli 2020 muss vor einer verfrühten Euphorie gewarnt werden.
Zudem urteilte der EuGH erst im Oktober 2020, dass die umfassenden Datenverarbeitungsbefugnisse britischer Geheimdienste unzulässig sind (Urteil vom 06.10.2020, C-623/17).
Auch wenn der geplante Angemessenheitsbeschluss für das Vereinigte Königreich angenommen wurde, könnte dieser noch nachträglich vom EuGH gekippt werden. Der Beschluss kommt in letzter Minute. Wir erinnern uns, dass die Übergangsfrist am 30. Juni 2021 ausläuft. Aufgrund des Beschlusses wird der Datenfluss jedoch nicht beeinträchtigt und der freie Datenverkehr mit dem Vereinigten Königreich ist zunächst ohne Einschränkungen möglich.
Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!