Im Februar 2021 veröffentlichte die EU-Kommission den Entwurf eines Angemessenheitsbeschlusses für das Vereinigte Königreich. Demnach dürften Unternehmen und Behörden zunächst vier Jahre lang weiter personenbezogene Daten aus der EU nach Großbritannien übermitteln. Der Europäische Datenschutzausschuss (EDSA) bezog nun dazu Stellung. Die EU-Datenschützer wollen die Freigabe von Datentransfers nach Großbritannien zwar nicht verhindern, machen aber sehr deutlich klar, welche Herausforderungen beim Datentransfer mit Großbritannien vorliegen.
Update 28. Juni 2021: Heute wurde bekannt, dass die EU-Kommission den Angemessenheitsbeschluss für Datentransfers nach Großbritannien trotz der Kritik des EDSA und des Europäischen Parlaments verabschiedet hat.
Übereinstimmungen des EDSA mit der EU-Kommission
Der EDSA kommt in seiner Stellungnahme zu dem Schluss, dass es Übereinstimmungen zwischen der EU-Datenschutz-Grundverordnung (DSGVO) und dem britischen Datenschutz Grundverordnung (UK GDPR) gibt. Hierzu zählen zentrale Bestimmungen, wie Definitionen, Rechtsgrundsätze, Verarbeitung besonderer personenbezogener Daten, Direktmarketing, automatisierte Entscheidungsfindung und Profiling. Diese Position kommt nicht überraschend, wenn man bedenkt, dass das britische Datenschutzgesetz weitgehend auf dem EU-Datenschutzrecht basiert.
Darüber hinaus stellt der EDSA fest, dass die nationalen Regelungen im UK Data Protection Act von 2018 spezielle Regeln enthält, welche die Regelungen der UK GDPR ergänzen. Zudem werden der britischen Datenschutzbehörde (ICO) weitgehende Befugnisse erteilt und Pflichten auferlegt. Somit kommt der EDSA zu dem Schluss, dass die britischen Datenschutzgesetze weitgehend auf dem EU-Datenschutzrahmen basieren.
Der EDSA begrüßt insbesondere, dass Großbritannien ein Sondergericht (Investigatory Powers Tribunal, „IPT“) eingerichtet hat. Somit können Herausforderungen rund um den Rechtsschutz Betroffener besser angegangen werden.
Bedenken des EDSA bzgl. des Vereinigten Königreichs
Obwohl der EDSA viele Aspekte des britischen Datenschutzniveaus als im Wesentlichen gleichwertig mit den EU-Anforderungen identifiziert, kommen die Datenschützer zu dem Schluss, dass weiterhin Herausforderungen bestehen. Nach Ansicht der Datenschützer müssen diese von der europäischen Kommission weiter bewertet und überwacht werden. Diese sind insbesondere:
- eine eigene und unabhängige Datenschutzpolitik des Vereinigten Königreichs,
- Ausnahmeregelungen für Immigranten und daraus folgend Einschränkungen der Betroffenenrechte,
- Schranken für den Transfer personenbezogener Daten aus dem EWR aufgrund internationaler Abkommen zwischen Großbritannien und anderen Drittstaaten.
Zudem sieht der EDSA kritisch, dass die Sicherheitsbehörden im Vereinigten Königreich aufgrund des Investigatory Powers Act (IPA) von 2016 über weitreichende Befugnisse verfügen. Geheimdienste dürfen demnach massive Eingriffe in technische Geräte vornehmen. In diesem Zusammenhang empfiehlt der EDSA eine „unabhängige Bewertung und Aufsicht über die Verwendung automatisierter Verarbeitungswerkzeuge“ für die erhobenen Datenmengen. Der Ausschuss verlangt zudem, dass Schutzvorkehrungen nach britischem Recht getroffen werden, wenn es um die Offenlegung personenbezogener Daten in andere Drittländer geht. Dies sei insbesondere mit Blick auf Ausnahmen vom Datenschutz für die nationale Sicherheit unerlässlich.
Wie geht es weiter mit dem Angemessenheitsbeschluss?
Die Europäische Kommission muss nun die Zustimmung der Mitgliedstaaten für den Angemessenheitsbeschluss für Großbritannien einholen. Erst dann kann die Kommission eine endgültige Entscheidung über den Angemessenheitsbeschluss treffen.
Darüber hinaus wird die Stellungnahme des EDSA auch dem LIBE-Ausschuss (Ausschuss für bürgerliche Freiheiten, Justiz und Inneres) des Europäischen Parlaments vorgelegt. Das Europäische Parlament hatte im Februar 2021 eine eigene (jedoch nicht bindende) Stellungnahme abgegeben, in der es zu dem Schluss kam, dass dem Vereinigten Königreich keine Angemessenheitsentscheidung gewährt werden sollte.
Auch wenn die Stellungnahme des EDSA und des LIBE-Ausschusses ein wichtiger Teil des Konsultationsprozesses sind, obliegt es letztlich der EU-Kommission, die endgültige Entscheidung über den Angemessenheitsbeschluss für Großbritannien zu treffen. Die europäische Kommission hat bereits angedeutet, dass sie erwartet, dass die EU-Mitgliedsstaaten ihre Zustimmung erteilen. Es kann somit erwartet werden, dass eine endgültige Entscheidung bezüglich des Angemessenheitsbeschlusses noch vor dem Ende der Übergangsphase Ende Juni 2021 getroffen wird.
Die Angemessenheitsentscheidung wäre nach ihrer Verabschiedung dann für einen Zeitraum von vier Jahren gültig. Nach diesen vier Jahren ist eine erneute Überprüfung erforderlich.
Aufgrund der Bedenken in der Stellungnahme des EDSA kann erwartet werden, dass die Angemessenheitsentscheidung für Großbritannien regelmäßiger Überprüfung und Überwachung durch die Europäische Kommission unterzogen wird. Dies ist derzeit bei keiner anderen Länderbewertung der Fall. Großbritannien wird vor allem im Fokus bleiben, weil es bereits angefangen hat, eigene Angemessenheitsentscheidungen für Drittstaaten zu treffen und somit eine eigene unabhängige Datenschutzpolitik entwickelt.
Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!