Bisher ist noch kein Angemessenheitsbeschluss für das Vereinigte Königreich in Sicht. Wir erläutern, was für einen solchen Beschluss sprechen könnte und warum auch Bedenken bestehen.
Neues zur Datenübermittlung ins Vereinigte Königreich nach dem Brexit
Einführung
Großbritannien ist am 31.01.2020 aus der EU ausgetreten und seitdem kein Mitgliedstaat mehr. Bis zum 31.12.2020 dauert jedoch noch der sog. Übergangszeitraum an, in dem EU-Recht, vor allem die Datenschutz-Grundverordnung (DS-GVO) noch direkte Anwendung findet. Wie zuvor berichtet, wird das Vereinigte Königreich ab dem 01.01.2021 dann zum Drittland im Sinne der DS-GVO, sodass ein Datentransfer nur noch anhand der Art. 44 ff. DS-GVO zulässig ist. Ein uneingeschränkter Drittlandstransfer bedarf demnach eines Angemessenheitsbeschlusses der Europäischen Kommission, der besagt, dass in dem jeweiligen Drittland ein angemessenes, mit dem der EU vergleichbares, Datenschutzniveau vorliegt. Sofern kein Angemessenheitsbeschluss vorliegt, kann eine Datenübermittlung anhand geeigneter Garantien stattfinden: es kann vor allem auf Standardvertragsklauseln oder Binding Corporate Rules (BCRs) zurückgegriffen werden.
Angemessenheitsbeschluss für das Vereinigte Königreich?
Bisher hat die EU-Kommission noch keinen Angemessenheitsbeschluss für einen Datentransfer in das Vereinigte Königreich erlassen. Es bleibt also abzuwarten, ob und wie schnell sich die Kommission entscheiden wird.
Fraglich ist, ob das Datenschutzniveau in Großbritannien als angemessen angesehen wird. Dafür könnte zunächst sprechen, dass das Vereinigte Königreich maßgeblich im Prozess der Entstehung und Einführung der DS-GVO (als Mitgliedstaat) beteiligt war und 2018 den UK-DPA (Data Protection Act) erlassen hat, welcher viele Regelungen aus der DS-GVO aufgegriffen und umgesetzt hat. Im Zuge des Erlasses der UK-GDPR 2019 hat die Rechtslage sich im Vereinigten Königreich nun weitgehend der DS-GVO angenähert. Deswegen hatten sich viele Menschen und vor allem Unternehmen erhofft, dass der Angemessenheitsbeschluss nur eine Formalität ist und deshalb zügig von der EU-Kommission erlassen wird, um schnellstmöglich Rechtssicherheit zu schaffen. Dies ist nun nicht der Fall; die Kommission überprüft derweil eingehend das Datenschutzniveau in dem ehemaligen Mitgliedstaat.
Einem Angemessenheitsbeschluss könnte jedoch die neuere Rechtsprechung des Europäischen Gerichtshofs (EuGH) und ein Abkommen zwischen dem Vereinigten Königreich und den Vereinigten Staaten entgegenstehen, bzw. diesen erschweren.
Im Folgenden wird näher auf die Auswirkungen des zuvor erwähnten Abkommens und der EuGH-Rechtsprechung auf einen möglichen Angemessenheitsbeschluss eingegangen.
Auswirkungen des Datenschutzabkommens zwischen den USA und dem Vereinigten Königreich?
Die USA und das Vereinigte Königreich haben Ende 2019 ein Abkommen getroffen, welches die Strafverfolgungsbehörden des jeweils anderen Landes dazu ermächtigt, zum Zwecke der Strafverfolgung umfangreichen Zugang zu elektronischen Beweismitteln, einschließlich personenbezogenen Daten, die sich im Besitz eines Unternehmens mit Sitz im jeweils anderen Land befinden, zu erlangen (Agreement between the UK and US on Access to Electronic Data for the Purpose of Countering Serious Crime). Am 28.02.2020 trat das Abkommen dann in Kraft. Der Europäische Datenschutzausschuss (European Data Protection Board, EDPB) hat in einem Brief bereits seine Bedenken bezüglich des Abkommens geäußert und klargestellt, dass es auch Einfluss auf die Abgabe eines möglichen Angemessenheitsbeschlusses hat. Der Datenschutzausschuss kritisierte vor allem, dass aus dem Abkommen nicht eindeutig hervorgehe, dass die Beantragung der Datenauskunft der vorherigen gerichtlichen Genehmigung bedürfe. Zudem sei nicht ersichtlich, dass das getroffene Abkommen in Bezug auf den Datenschutz Vorrang vor anderen innerstaatlichen Gesetzen, wie bspw. dem Cloud Act in den USA habe. Dies sei jedoch notwendig, damit ein Abkommen dem Schutzniveau der EU gerecht werde, vor allem, wenn das Land keinen Angemessenheitsbeschluss der EU-Kommission vorweisen könne.
Auswirkungen der Nichtigkeit des Privacy Shields auf einen Angemessenheitsbeschluss?
Auch die Nichtigkeit des Privacy Shields könnte Auswirkungen auf den Erlass eines Angemessenheitsbeschlusses des Vereinigten Königreichs haben. Wie zuvor berichtet, ist das Privacy Shield vom EuGH am 16.07.2020 für ungültig erklärt worden, weil den US-Geheimdiensten und -Behörden zu umfangreiche Befugnisse bezüglich des Zugriffs und des Sammelns von personenbezogenen Daten aufgrund innerstaatlicher Gesetze zustehen und dass Nicht-US-Bürger sich nicht ausreichend gegen einen möglichen Verstoß ihrer Rechte wehren konnten.
Im Vereinigten Königreich könnte es nun ähnlich aussehen, da sie aufgrund ihrer ebenfalls weitgehenden Überwachungsgesetze im Investigatory Powers Act und mit der Mitgliedschaft in der Five Eyes Alliance (UKUSA-Vereinbarung), ihren Behörden auch in großem Umfang Zugriff auf personenbezogene Daten ermöglichen. Aus der Rechtsprechung des EuGH zum Privacy Shield geht jedoch klar hervor, dass ausladende Überwachungsgesetze als nicht vereinbar mit dem EU-Datenschutzniveau angesehen werden. Die Nichtigkeit des Privacy Shields schmälert demnach die Chancen für einen Angemessenheitsbeschluss des Vereinigten Königreichs.
Auswirkungen der EuGH-Rechtsprechung zu Privacy International?
Kürzlich hat der EuGH in der Sache Privacy International (Urteil vom 06.10.2020, Az. C-623/17) geurteilt, dass die britische Regelung zur umfangreichen und anlasslosen Vorratsdatenspeicherung nach dem EU-Recht nicht zulässig sei. Britische Überwachungsgesetze wie der Investigatory Powers Act, welcher britischen Sicherheitsbehörden weitreichende Befugnisse zum Sammeln und Speichern von personenbezogenen Daten der Bevölkerung verschafft, würden gegen die EU-Grundrechte verstoßen.
Daraus folgt, dass das Datenschutzniveau von den Luxemburger Richtern als nicht angemessen angesehen wird. Dies wird sicherlich auch für die Kommission von entscheidender Bedeutung sein. Das Urteil wird einen möglichen Angemessenheitsbeschluss nun erheblich erschweren, gerade weil das Privacy Shield unter anderem wegen zu umfangreicher Befugnisse der Geheimdienste und Sicherheitsbehörden gekippt wurde. Im Vereinigten Königreich ist die Situation nun sehr ähnlich.
Fazit
Nun bleibt es weiter abzuwarten, wie die Europäische Kommission bezüglich des Angemessenheitsbeschlusses entscheiden wird. Aufgrund der neueren EuGH-Rechtsprechung ist ein Angemessenheitsbeschluss jedoch eher unwahrscheinlich. Ein Datentransfer in das Vereinigte Königreich muss ab dem 01.01.2021 also zunächst über Standardvertragsklauseln oder BCRs erfolgen.