Angemessenheitsbeschluss für Vereinigtes Königreich

Bereits im Februar dieses Jahres wurde durch die EU-Kommission ein Verfahren zur Annahme von zwei Angemessenheitsbeschlüssen für das Vereinigte Königreich eingeleitet. Diese wurden nun zum 28. Juni 2021 unverändert angenommen. Inzwischen steht es bereits aber wieder auf dem Spiel, denn auf der Insel werden Überlegungen zu einem eigenen Datenschutzrecht laut. Datenschutzexperten in der Europäischen Union horchen auf, denn der zuständige Minister hat eine ganz eigene Vorstellung vom Nutzen eines eigenen Gesetzes.

Was sagt ein Angemessenheitsbeschluss aus?

Die Angemessenheitsbeschlüsse legen den rechtlichen Grundstein für eine künftige Datenübermittlung zwischen der EU und dem Vereinigten Königreich mit einer Geltungsdauer von vier Jahren. Sie zertifizieren dem Vereinigten Königreich ein angemessenes Datenschutzniveau, dass der DSGVO gleichwertig ist. So wird verhindert, dass das Vereinigte Königreich mit Ablauf der Übergangsfrist im Sinne der DSGVO als unsicheres Drittland klassifiziert werden würde.

Datenschutzrechtliche Bedenken durch andere EU-Organe

Bedenken an der Annahme der Entwürfe äußerten andere an dem Annahmeverfahren beteiligte EU-Organe. So auch das EU-Parlament, das mit knapper Mehrheit gegen die Annahme der Entwürfe stimmte. Dies hatte jedoch keine großen Auswirkungen, da dem EU-Parlament lediglich ein Kontrollrecht im Rahmen des Annahmeverfahrens zukommt. Dieses Kontrollrecht räumt dem EU-Parlament ein, ein Veto gegen einen geplanten Durchführungsrechtsakt einzulegen und in diesem Zuge die EU-Kommission darauf hinzuweisen, dass der Entwurf die Durchführungsbefugnisse überschreitet. Ist dies der Fall, sind die Entwürfe des Durchführungsaktes durch die EU-Kommission anhand der angetragenen Bedenken rechtlich neu zu bewerten sowie anschließend das EU-Parlament und der EU-Rat über die Wertung zu informieren.

Im vorliegenden Fall kritisierte das EU-Parlament, dass die Beschlussfassung die Ausführungen der EuGH-Urteile Schrems I und II nicht berücksichtige. Die angesprochenen Urteile beziehen sich auf den Datentransfer zwischen den Vereinigten Staaten und der EU. Der EuGH erklärte in ihnen die beiden Angemessenheitsbeschlüsse für die Datenübermittlung in die USA für unzulässig, unteranderem weil die Eingriffsbefugnisse der ansässigen Behörden zu weitreichend seien und möglicherweise keine Rechtsbehelfe gewährleistet werden können.

Eine ähnliche Kritik wurde seitens des EU-Parlaments hinsichtlich der Angemessenheitsbeschlüsse für das Vereinigte Königreich geäußert. Vorrangig geht es um die Befugnisse britischer Sicherheitsbehörden zur Massenüberwachung auf Grundlage des sog. Investigatory Powers Act (IPA). Auf Grundlage dessen haben die Sicherheitsbehörden die Möglichkeit, weitreichenden Zugriff auf elektronische Kommunikationsdaten zu erlangen und diese vorrätig zu speichern. Hiervon sind auch Daten von EU-Bürgen betroffen.

Auch der Europäische Datenschutzausschuss (EDSA) kritisierte dies. Ebenso europäische Datenschützer, die zudem anmerkten, dass es zu einem unkontrollierten weltweiten Datentransfer auf Grundlage von internationalen Ankommen kommen könne. Denn eine Regelung gleich der Art. 44 ff. DSGVO hinsichtlich der Datenübermittlung in Drittländer existiert im britischen Recht bislang noch nicht.

Trotz der Kritik wurden die Angemessenheitsbeschlüsse seitens der EU-Kommission nun unverändert angenommen.

Was bedeutet dies für die Praxis?

Die angenommenen Angemessenheitsbeschlüsse bilden eine rechtskonforme Grundlage, um einen sicheren Datentransfer zwischen der EU und dem Vereinigten Königreich zu gewährleisten. Ein Ausweichen auf die in Art. 46 DSGVO niedergelegten Garantien für eine Datenübermittlung in ein unsicheres Drittland ist folglich nicht notwendig.

Dies ist insbesondere für die Verantwortlichen erleichternd. Denn die derzeitige Situation der Datenübermittlung in die USA zeigt, wie schwierig es ist, einen Datentransfer in ein unsicheres Drittland rechtskonform abzusichern.

Inwiefern diese Entscheidung bestandhält, kann derzeit noch nicht beantwortet werden. Erstmals hat die EU-Kommission die Gültigkeit der Angemessenheitsbeschlüsse auf eine Dauer von vier Jahren begrenzt. Damit wird der EU-Kommission ein umfassendes Kontrollrecht eingeräumt. Und auch der EuGH hat in der Vergangenheit bereits mit seiner Entscheidung die Grundlage für DSGVO-konformen Datentransfer in die Vereinigten Staaten für ungültig erklärt. Es ist folglich auch möglich, dass ein etwaiges Überprüfungsverfahren der Beschlüsse durch den EuGH eingeleitet werden könnte.

Angemessenheitsbeschluss in Gefahr

Der Angemessenheitsbeschluss steht aber schon wieder auf dem Spiel. Denn in Großbritannien will man sich nach dem Austritt aus der Europäischen Union auch in Datenschutzfragen von den EU-Regeln abwenden. Das teilte der britische Minister Oliver Dowden, zuständig unter anderem für Digitales, mit:

„Nun, da wir die EU verlassen haben, bin ich entschlossen, die Gelegenheit zu ergreifen und eine weltweit führende Datenpolitik zu entwickeln, die eine Brexit-Dividende für Privatpersonen und Unternehmen in ganz Großbritannien bringt“.

Die Mitteilung des Ministeriums macht deutlich, wie das Thema in London gesehen wird: Daten als wirtschaftliches Potenzial. Ihre Nutzung soll Arbeitsplätze schaffen und wirtschaftlichen Nutzen bringen und dafür möglichst uneingeschränkt sein. Der Der Beschluss war aber nur möglich, weil Großbritannien in den Verhandlungen zugesagt hatte, die EU-Regeln auch weiterhin einzuhalten. Nun wies ein Sprecher der EU-Kommission laut Süddeutscher Zeitung darauf hin, dass die Behörde die Angemessenheitsbeschlüsse jederzeit aussetzen, beenden oder anpassen könne. „Bei begründeter Dringlichkeit kann dies sofort geschehen“, sagte er.

Aktuell ist eine Datenübermittlung in das Vereinigte Königreich durch den Beschluss der EU-Kommission aber unproblematisch. Um einen sicheren Datentransfer zu gewährleisten, sollte jedoch weiterhin stets überprüft werden, ob allgemeine datenschutzrechtliche Voraussetzungen, wie technische und organisatorische Maßnahmen, vorhanden sind und ein wirksamer Auftragsverarbeitungsvertrag vorliegt.

Sollten Sie Rückfragen zur Thematik haben, sind wir Ihnen jederzeit gern behilflich.