(MSC) Das vereinigte Königreich hat am 31.01.2020 den Austritt aus der Europäischen Union beschlossen und am 31.12.2020 vollzogen. Uns Datenschützer bereitete dieser Termin zunächst Sorgen – wie geht es weiter – werden Großbritannien und Nordirland zum unsicheren Drittland?

In unserer Reihe „Neues aus den Aufsichtsbehörden“ berichteten wir und haben versprochen, auch weiterhin aktuelle Entwicklungen zu beobachten.

Es war sicher der EM geschuldet, dass die Europäische Kommission zwei Angemessenheitsbeschlüsse nach Art. 45 Abs. 3 Datenschutz-Grundverordnung (DS-GVO) und Art. 36 Abs. 3 Richtlinie (EU) 2016/680 (Ji-RL) zum Vereinigten Königreich gefasst, die Öffentlichkeit hiervon aber eher wenig Notiz genommen hat.

Mit diesem Beschluss tritt die Übergangsregelung außer Kraft, wonach Übermittlungen personenbezogener Daten von der Europäischen Union in das Vereinigte Königreich Großbritannien und Nordirland nach dem Brexit zunächst nicht als Übermittlungen in ein Drittland galten. Diese Übergangsregelung sollte bis 30.04.2021 gelten und konnte maximal um 2 Monate (bis 30.06.2021) verlängert werden.

Die Europäische Kommission beschließt am 28.06.2021:

„Personenbezogene Daten können ungehindert aus der EU in das Vereinigte Königreich fließen“

„Die Europäische Kommission hat heute zwei Angemessenheitsbeschlüsse zum Vereinigten Königreich angenommen: einen im Rahmen der Datenschutzgrundverordnung (DSGVO) und einen im Rahmen der Richtlinie zum Datenschutz bei der Strafverfolgung. Beide Beschlüsse treten heute in Kraft. Personenbezogene Daten können nun ungehindert aus der Europäischen Union in das Vereinigte Königreich fließen. Dort gilt für sie ein Schutzniveau, das dem Schutzniveau, das gemäß EU-Recht garantiert wird, der Sache nach gleichwertig ist. Die Geltungsdauer der Beschlüsse ist auf vier Jahre begrenzt. „Das Vereinigte Königreich ist zwar aus der EU ausgetreten, aber seine rechtlichen Bestimmungen zum Schutz personenbezogener Daten sind noch die alten. Aus diesem Grund haben wir heute diese beiden Angemessenheitsbeschlüsse angenommen“, sagte Věra Jourová, Vizepräsidentin für Werte und Transparenz“.

Die wichtigsten Elemente der Angemessenheitsbeschlüsse (Auszug):

  • Das Datenschutzsystem des Vereinigten Königreichs basiert weiterhin auf denselben Regeln, die galten, als das Vereinigte Königreich noch Mitgliedstaat der EU war.
  • In Bezug auf den Zugriff auf personenbezogene Daten durch Behörden im Vereinigten Königreich (insbesondere aus Gründen der nationalen Sicherheit) sieht das System des Vereinigten Königreichs starke Garantien vor.
  • Die Angemessenheitsbeschlüsse enthalten erstmals eine Verfallsklausel, durch die ihre Geltungsdauer strikt begrenzt wird: Beide Beschlüsse laufen vier Jahre nach ihrem Inkrafttreten aus.
  • Datenübermittlungen für die vom Vereinigten Königreich praktizierte Einwanderungskontrolle sind vom sachlichen Geltungsbereich des im Rahmen der DSGVO angenommenen Angemessenheitsbeschlusses ausgenommen

Den kompletten Text finden Sie unter: https://ec.europa.eu/germany/news/20210628-personenbezogene-daten-eu-uk_de

Der sächsische Datenschutzbeauftragte Andreas Schurig stellt hierzu fest:

„Mit der Anerkennung des angemessenen Datenschutzniveaus bedürfen Datenübermittlungen aus dem Europäischen Wirtschaftsraum an das Vereinigte Königreich, im Rahmen des Anwendungsbereichs der Beschlüsse, keiner besonderen Genehmigung. Die Prüfung, ob die allgemeinen datenschutzrechtlichen Voraussetzungen für eine Datenübermittlung erfüllt sind, ist davon unabhängig erforderlich und vorzunehmen“

Quelle: (Pressemitteilung des Sächsischen Datenschutzbeauftragten vom 29.06.2021).

Gibt es auch Kritik?

Natürlich wird auch Kritik an diesem Angemessenheitsbeschluss laut. Bereits im April 2021 äußert EDSA (Europäischer Datenschutzausschuss) in seiner Stellungnahme zum Entwurf des Angemessenheitsbeschlusses Bedenken. EDSA stellt einige Punkte in Frage:

  • Besteht eine ausreichende Regelung für den Datentransfer von UK in andere Drittstaaten?
  • Datenübermittlungen zum Zwecke der Eiwanderungskontrolle wurden vom Angemessenheitsbeschluss ausgenommen und somit Betroffenenrechte eingeschränkt.
  • Wie sind die Überwachungsgesetze (Investigatory Power Acts 2016) zu betrachten, die den UK-Geheimdiensten umfangreiche Befugnisse ermöglichen, die nicht konform sind.

Quelle: https://edpb.europa.eu/system/files/202104/edpb_opinion142021_ukadequacy_gdpr.pdf_en.pdf

Ungeachtet aller Kritik, die bisher geäußert wurde und sicher auch noch weiter geäußert wird, können wir zunächst von einem Angemessenheitsbeschluss eines sicheren Drittlandes ausgehen und somit den Datentransfer ins Vereinigte Königreich abbilden.

Für die Überwachung und Durchsetzung der Einhaltung der UKGDPR und DPA2018 ist der Information Commissioner (ICO) zuständig, er leitet die britische Datenschutzbehörde. Der ICO wird von der Königin ernannt, ist unabhängig und berichtet dem Parlament. Seine Amtszeit beträgt max. 7 Jahre, eine Wiederwahl ist nicht möglich.

(Anmerkung: DPA 2018: Data Protection Act 2018 (c. 12) ist ein britisches Parlamentsgesetz, das die Datenschutzgesetze im Vereinigten Königreich aktualisiert. Es ist ein nationales Gesetz, das die Allgemeine Datenschutzverordnung (GDPR) der Europäischen Union ergänzt und den Data Protection Act 1998 ersetzt.)

Bußgeldbescheide im Königreich entsprechen der Höhe nach der europäischen Gesetzgebung. Seit Einführung der Verordnung (EU) 2016/679 bearbeitet das ICO 40.000 Beschwerden und 2000 Untersuchungen von Amts wegen. (Pressemitteilung SÄCHSDSB, 29.06.2021).

Im Datenschutzranking, welches die Nationen mit dem tatsächlichen höchsten Datenschutz-Niveau zeigt, finden wir das Vereinigte Königreich nach Irland, Deutschland und Niederlande auf Platz 4 (HeyData – Studie – Abschluss 15.05.2021 https://www.heydata.eu/europa-im-datenschutz-ranking).

Um mit Asterix zu enden, der allerdings hier Cäsar zitierte:

Alea iacta est – die Würfel sind gefallen.

Als Trost für die Kritiker sei jedoch erwähnt, dass die Geltungsdauer des Beschlusses auf vier Jahre begrenzt ist und durch die EU-Kommission erneut geprüft werden muss.