Angemessenheitsbeschluss für das Vereinigte Königreich?

Mit dem Austritt aus der Europäischen Union (EU) hat Großbritannien auch den Wirkungsbereich der DSGVO verlassen. Nach monatelangen Verhandlungen ist das Vereinigte Königreich Großbritannien und Nordirland seit dem 31.1.2020 kein Mitglied der EU mehr. Zumindest konnte ein ungeregelter Austritt in letzter Minute abgewehrt werden. Doch was für Auswirkungen hat in datenschutzrechtlicher Hinsicht das Verlassen des Vereinigten Königreichs aus der EU?

Datenübertragung bis zum 30. Juni 2021

Das geschlossene Handels- und Kooperationsabkommen zwischen der EU und dem Vereinigtem Königreich (sog. Partnerschaftsvertrag) trat am 01. Januar 2021 vorläufig in Kraft und regelt fortan die vertraglichen Rahmenbedingungen für die zukünftige wirtschaftliche Beziehung beider Parteien. Danach sind für einen sechsmonatigen Übergangszeitraum Datentransfers in das Vereinigte Königreich möglich, ohne dass weitere Datenschutzgarantien, wie Standardvertragsklauseln gem. Art 46 Abs. 2 lit. c) DSGVO, getroffen werden müssten. Während des Übergangszeitraums wird Großbritannien somit weiterhin als Mitgliedsstaat und nicht als Drittland betrachtet, weshalb die DSGVO mit ihren Vorgaben für Datenverarbeitungen weiterhin Anwendung findet. Folglich sind die Übermittlungen personenbezogener Daten nach Großbritannien in diesem Zeitraum wie bisher möglich.

Datenübertragung nach dem 30. Juni 2021

Wie sich die Rechtslage nach Ablauf des Übergangszeitraums entwickelt, ist zum jetzigen Zeitpunkt fraglich. Die DSGVO unterscheidet im Kapitel V zwischen sicheren und unsicheren Drittländern. Zum Zeitpunkt der Anwendbarkeit der DSGVO gehören zu den sicheren Drittstaaten Andorra, Argentinien, Kanada (nur kommerzielle Organisationen), Färöer, Guernsey, Israel, Isle of Man, Jersey, Neuseeland, Schweiz, Uruguay und Japan. In diese Länder ist die Datenübermittlung daher ausdrücklich gestattet.

Ob Großbritannien nach Ablauf der Übergangsphase auch als sicheres Drittland eingestuft wird, wird derzeit unterschiedlich bewertet. Dies hängt von einer Verabschiedung eines Angemessenheitsbeschlusses gem. Art. 45 DSGVO von der EU-Kommission ab. Nach dieser Vorschrift sind Datenübermittlungen an EU-Drittstaaten bzw. Drittländer denjenigen innerhalb der EU gleichgestellt, wenn diese Drittländer über ein mit der Grundverordnung vergleichbares angemessenes Datenschutzniveau verfügen und dies positiv festgestellt ist. Hierzu gibt es jedoch bedenken.

Nach der Auffassung des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI) erlangt Großbritannien den Status als unsicheren Drittland. Grund dafür ist eine ähnliche Situation wie bei den Vereinigten Staaten von Amerika (USA). Mit dem Urteil „Schrems II“ vom 16. Juli 2020 hat der EuGH das EU-US-Privacy Shield für ungültig erklärt, unter andrem weil unklar ist, welche Zugriffsrechte die amerikanischen Behörden bzw. Geheimdienste auf personenbezogene Daten von EU-Bürgern haben und in welchem Umfang diese mit verbündeten Sicherheitsbehörden geteilt werden (sog. „Five Eyes“). Die Gesetze, auf deren Grundlage amerikanische Sicherheitsbehörden auf die in die USA übermittelten personenbezogenen Daten zugreifen können, beschränken Art. 7 und Art. 8 der EU-Grundrechtecharta unverhältnismäßig und verstoßen gegen Art. 52 Abs. 1 S. 2 der EU-Grundrechtecharta.

Ein ähnliches Szenario hat nun der Brexit ausgelöst. Zusätzlich zum rechtswidrigen Zugriff bestimmter staatlichen Behörden haben die Sicherheitsbehörden im Vereinigten Königreich weitere weitreichende Befugnisse, insbesondere die anlasslose Sammlung von Daten im Rahmen der Terrorabwehr. Auf dieser rechtlichen Basis könnten Daten von EU-Bürgern entgegen den in der EU geltenden Bestimmungen gespeichert und verarbeitet werden. Mit diesem Hintergrund ist es deshalb unwahrscheinlich, dass das Vereinigte Königreich als sicheres Drittland eingestuft wird.

Eine mögliche Alternative zu einem Angemessenheitsbeschluss kann in der Nutzung von Standarddatenschutzklauseln gesehen werden. Die Tatsache, dass Großbritannien bis vor kurzem ein Mitgliedstaat der EU war und die DSGVO uneingeschränkte Anwendung fand, würde zunächst dafürsprechen, dass Standarddatenschutzklauseln ohne Weiteres anwendbar sein werden. Der EuGH hatte bereits in seinem „Schrems II“ Urteil zum festgestellt, dass diese grundsätzlich eine wirksame Garantie darstellen können. Allerdings haben die Richter des EuGHs darauf hingewiesen, dass Standarddatenschutzklauseln einen Drittstaatentransfer nicht per se rechtfertigen können, wenn die Verpflichtungen aus den Standarddatenschutzklauseln nicht eingehalten werden können, wie beispielsweise die Durchsetzung der Betroffenenrechte im Kapitel III der DSGVO. Gegebenenfalls müssen Auftraggeber und Aufragnehmer zusätzlich zu den Standarddatenschutzklauseln ergänzende Maßnahmen treffen, um ein angemessenes Datenschutzniveau zu gewährleisten. Die Prüfung und Bewertung dieser geeigneten Garantien müssen daher folgende Umstände berücksichtigen:

• die Regelungen der geeigneten Garantien selbst, also z.B. die Standardvertragsklauseln

• alle relevanten Aspekte des Rechts des betreffenden Drittstaates im Hinblick auf den Zugriff auf die dorthin übermittelten personenbezogenen Daten durch Sicherheitsbehörden
• die jeweiligen konkreten Umstände der Datenübermittlung inklusive ggf. vom Datenexporteur zu ergreifenden zusätzlichen Garantien

Ausblick

Man muss damit rechnen, dass ab dem 1. Juli 2021 eine Datenübertragung in und aus dem Vereinigten Königreich nur nach Maßgabe der besonderen Schutzvorschriften der Art. 46 ff. DSGVO möglich sein wird, wenn nach Ablauf der Übergangsphase keine Adäquanzentscheidung der EU-Kommission nach Art. 45 Abs. 2 DSGVO vorliegt. Erschwerend ist die Tatsache, dass durch die Kooperation mit den USA besondere Herausforderungen bei der Herstellung eines angemessenen Schutzniveaus bestehen können. Es ist ratsam, dass Unternehmen sich auf eine Situation vorbereiten, in der das Vereinigte Königreich zu einem unsicherem Drittland wird, sodass bereits nach möglichen alternativen Geschäftspartnern bzw. Dienstleistern innerhalb der EU gesucht werden sollte. Außerdem sollte frühzeitig damit begonnen werden Rechtsgrundlagen für die rechtskonforme Drittstaatsübermittlung vorzubereiten. Folgende Grundlagen können hierfür herangezogen werden:

• Vorliegen geeigneter Garantien: verbindliche interne Datenschutzvorschriften (Binding Corporate Rules), Standarddatenschutzklauseln der EU-Kommission oder einer Aufsichtsbehörde, genehmigte Verhaltensregeln, ein genehmigter Zertifizierungsmechanismus oder einzeln ausgehandelte und von der Aufsichtsbehörde genehmigte Vertragsklauseln

• Ausnahmen für bestimmte Fälle gem. Art. 49 DSGVO (Datentransfer gestattet, wenn eine Einwilligung des Betroffenen vorliegt, dies für die Erfüllung eines Vertrages, für die Geltendmachung von Rechtsansprüchen oder zum Schutz lebenswichtiger Interessen notwendig ist)

Ob letztendlich Großbritannien als sicherer Drittstatt von der EU-Kommission eingestuft wird und welche konkrete Handlungsempfehlungen daraus resultieren, erfahren Sie in unserem Blog im Monat Juli.