Angemessenheitsbeschluss: UK ist sicheres Drittland

News

Die Europäische Kommission hat heute einen Angemessenheitsbeschluss für das Vereinigte Königreich erlassen, wodurch UK nunmehr als sicheres Drittland gilt. Somit bleibt der Übermittlung personenbezogener Daten nach dem Brexit wenigstens einfach. Erfahren Sie hier, was Sie über den Datentransfer in die UK wissen sollten.

Kurze Geschichtsstunde zum Brexit

Das Vereinigte Königreich (bzw. United Kingdom, kurz UK) trat im Januar 1973 der Europäischen Wirtschaftsgemeinschaft (EWG) bei. Hiebei handelte es sich um eine Vorläuferorganisation der heutigen Europäischen Union (EU). Wie bei jeder Familie gab es auch in der EU regelmäßig Streit zwischen den Mitgliedstaaten. Manche Meinungsverschiedenheiten sind jedoch so unüberwindbar, dass nur eine Trennung noch in Frage kommt. So dachten sich das zumindest einige Bürger der UK und stimmten daher vor ca. 5 Jahren im Brexit-Referendum mit knapper Mehrheit für einen Austritt. Die Bevölkerung UKs war ähnlich gespalten zur Frage des Brexits wie die US-Bürger hinsichtlich der Wiederwahl von Trump.

Jeder, der schon eine Scheidung hinter sich hat, weiß sehr gut, dass eine geregelte Trennung einige Zeit beansprucht. Zwar war in Art. 50 EUV normiert, wie dies formell möglich ist. Praxiserfahrungen zur Umsetzung hatte man hierzu aber nicht, da bislang Staaten nur ein- und nicht austreten wollten. Nun ja, es gibt für alles ein erstes Mal. Verhandlungen zum Austritt dauerten also, sodass die UK erst zum 31.01.2020 endgültig kein Mitglied der EU mehr war.

Bis zum 31.12.2020 wurde noch eine Übergangsphase vereinbart, um die Trennungsphase zu erleichtern. Viele schwierige Themen waren eben doch noch nicht geklärt. Dies betraf nicht nur die Wirtschaft, sondern auch den Rechtsrahmen, z. B. wie personenbezogene Daten zukünftig in die UK exportiert werden dürfen.

Rechtliche Auswirkungen des Brexits auf den Datentransfer

Indem die Briten seit dem 01.01.2021 nicht mehr Mitglied der EU oder des Europäischen Wirtschaftsraums (EWR) sind, stellt die UK ein sog. Drittland dar und es sind die Art. 44 ff. DSGVO zu beachten. Diese Vorschriften sollen sicherstellen, dass personenbezogene Daten von EU-Bürgern auch dann noch angemessen geschützt sind, wenn Unternehmen und sonstige Institutionen nicht den Bestimmungen der DSGVO unterliegen. In diesem Zusammenhang spricht man von der Gewährleistung eines angemessenen Datenschutzniveaus.

Ein von der EU-Kommission erlassener Angemessenheitsbeschluss nach Art. 45 Abs. 3 DSGVO stellt für datenverarbeitende Stellen, die unmittelbar oder mittelbar personenbezogene ins Drittland exportieren, die einfachste Lösung dar. Danach kann die europäische Kommission nach ausführlicher Prüfung beschließen, dass das Datenschutzniveau im Drittstaat für einen Datentransfer aus dem Geltungsbereich der DSGVO angemessen hoch ist. Es ermöglicht also einen ungehinderten Datenverkehr von der EU in ein sicheres Drittland. Eine aktuelle Liste gültiger Angemessenheitsbeschlüsse kann der Webseite EU-Kommission entnommen werden.

Wenn ein solcher Angemessenheitsbeschluss nicht vorliegt, müsste die verarbeitende Stelle aktiv werden und eine der geeigneten Garantien nach Art. 46 DSGVO ergreifen. In der Regel wird dann auf den Abschluss von EU-Standardvertragsklauseln i. S. v. Art. 46 Abs. 2 lit. c DSGVO zurückgegriffen.

Mit dieser Thematik musste man sich zum Glück hinsichtlich der UK noch nicht detailliert auseinandersetzen, weil im Brexit-Abkommen eine Übergangsregelung für den Datentransfer vereinbart wurde. Danach galt die UK erstmal für vier Monate als sicheres Drittland, wobei diese Frist um zwei weitere Monate verlängert werden konnte. Diese Frist war nun aber rum und daher musste die EU-Kommission tätig werden. Und hurra, es gibt nun einen Angemessenheitsbeschluss für die UK, sodass dies ebenfalls als sicheres Drittland gilt.

Voraussetzungen eines Angemessenheitsbeschlusses

Die EU-Kommission prüft insbesondere diejenigen Faktoren, die nach dem hiesigen Wertesystem Ausdruck eines Verständnisses effektiven Datenschutzes sind. Artikel 45 Abs. 2 DSGVO enthält hierzu eine nicht abschließende Aufzählung. So sind insbesondere

  • die Rechtsstaatlichkeit, die Achtung der Menschenrechte und die Grundfreiheiten,
  • die Regelungen zur Weiterübermittlung von Daten an andere Drittländer,
  • das Vorhandensein unabhängiger Aufsichtsbehörden sowie
  • vom Drittstaat eingegangene Verpflichtungen in Bezug auf personenbezogene Daten

zu prüfen und der Entscheidung zugrunde zu legen.

Da die UK jahrelang Mitglied der EU war und die DSGVO auch dort noch zuletzt Anwendung fand, verwundert es nicht, dass der britische Datenschutz der DSGVO in vielen Zügen ähnelt. Übereinstimmungen bestehen insbesondere in zentralen Bestimmungen, Definitionen, Rechtsgrundsätze, Verarbeitung besonderer personenbezogener Daten, Direktmarketing, automatisierte Entscheidungsfindung und Profiling, wie bereits der Europäischen Datenschutz Ausschusses (EDSA) zum Entwurf des Angemessenheitsbeschlusses im April diesen Jahres feststellte.

Vorteile des Angemessenheitsbeschlusses für die UK

Dank des Angemessenheitsbeschlusses müssen datenverarbeitende Stellen mit Datentransfer in die UK erstmal nichts weiter tun. Ohne diesen Angemessenheitsbeschluss wäre meist der Abschluss von EU-Standardvertragsklauseln erforderlich gewesen. Dies allein genügt aber nicht, da auch die Anforderungen des EuGH-Urteils zu Schrems II zu beachten gewesen. Über den Inhalt des Urteils berichteten wir bereits ausführlich.

Aus dem Urteil und den danach entstandenen Handlungsempfehlungen des EDSA ergibt sich kurz zusammengefasst eine umfassende Dokumentationspflicht. Einerseits muss man vor dem Datenexport prüfen, ob es nicht gleich geeignete Anbieter innerhalb der EU (und ohne Datenexport außerhalb der EU) gibt. Falls es diese gibt, muss man darlegen, warum auf diese Anbieter nicht zurückgegriffen werden kann. Zudem muss eine Risikobeurteilung erfolgen. Hierbei sind die Arten der zu exportierenden Daten, der Umfang und die Erforderlichkeit der Datenverarbeitung, die Rechtslage des Drittlandes in Bezug auf den Schutz der personenbezogenen Daten und der Betroffenenrechte sowie die zusätzlichen Maßnahmen (in vertraglicher, organisatorischer und technischer Hinsicht) zu berücksichtigen. Als effektive Zusatzmaßnahmen gelten insbesondere die Pseudonymisierung sowie eine sichere Verschlüsselung.

Diese Fleißarbeit wird auch von den Aufsichtsbehörden kontrolliert und sollte daher nicht vernachlässigt werden. Sie blieb uns nun aufgrund des Angemessenheitsbeschlusses erstmal erspart, soweit personenbezogene Daten nur in die UK exportiert und dort verarbeitet wird.

Kritik am Angemessenheitsbeschluss

Auch wenn die datenschutzrechtliche Lage in der UK der EU ähnelt, gibt es doch ein paar Abweichungen. So zeigte der EDSA in seiner Stellungnahme zum Entwurf des Angemessenheitsbeschlusses bereits Herausforderungen auf, die weiterhin kritisch untersucht werden müssen. Es wurden Bedenken u.a. dahingehend geäußert, ob die UK-Gesetze ausreichend regulieren, dass ein Datentransfer von der UK in andere Drittstaaten ebenfalls ein hinreichendes Datenschutzniveau für personenbezogene Daten und Betroffenenrechte gewährleisten. Der Rechtsgedanke von Art. 44 ff. DSGVO müsste sich also auch in der UK wiederfinden.

Auch wurde gerügt, dass es Ausnahmeregelungen für die Zwecke der Einwanderungskontrolle gibt, wodurch Betroffenenrechte eingeschränkt werde. Dies ist wohl auch der Grund warum Datenübermittlungen zu diesem Zwecke derzeit vom Anwendungsbereich des erlassenen Angemessenheitsbeschlusses ausgenommen sind. Hierfür sind also geeignete Garantien nach Art. 46 DSGVO zu ergreifen.

Schließlich sind auch die Überwachungsgesetze, wie der in Kraft getretene Investigatory Powers Act von 2016, kritisch zu betrachten, da dieses ausgeweitete Überwachungsbefugnisse britischer Geheimdienste ermöglicht.

Ausführlich zu den Stolpersteinen für einen Angemessenheitsbeschluss der UK auch folgender Beitrag.

Und wenn sie nicht gestorben sind ….

Der Angemessenheitsbeschluss klingt zunächst nach einem Happy End. Allerdings sei an dieser Stelle darauf hinzuweisen, dass die EU-Kommission alle vier Jahre selbständig prüfen muss, ob die Angemessenheit des Datenschutzniveaus weiterhin gewährleistet wird und die Gültigkeit des Beschlusses verlängern möchte. Es besteht also die Möglichkeit, dass die EU-Kommission in vier Jahren zu einem anderen Ergebnis bekommt und der Angemessenheitsbeschluss daher nicht verlängert wird.

Zudem hatte sich Max Schrems bereits in der Vergangenheit als sehr tüchtig erwiesen und gezeigt, dass der europäische Gerichtshof ebenfalls einen solchen Beschluss für ungültig erklären kann. Allerdings beansprucht ein gerichtliches Verfahren auch gewisse Zeit, sodass hiermit nicht morgen (und auch noch nicht übermorgen) zu rechnen ist.

Auch wenn wir jetzt erstmal aufatmen können, gilt es also die weitere Entwicklung im Blick zu behalten.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Internationaler Datenschutz

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.