Fast alle haben schon davon gehört. Der Brexit hat zum 31. Januar 2020 das Ende der Mitgliedschaft des Vereinigten Königreichs in der EU bewirkt. Nach einer Phase, die gemeinhin als Übergangsphase bezeichnet wurde, endete die Geltung des EU-Rechts für Großbritannien am 31. Dezember 2020. Gleichzeitig wurde eine Regelung bezüglich des Datentransfers zwischen der EU und Großbritannien dringend notwendig. Eine solche Regelung stellt der Angemessenheitsbeschluss vom 28. Juni 2021 dar. Die Tragweite dieses Beschlusses ist enorm. Durch ihn wird festgestellt, das Großbritannien weiterhin die EU Standards bezüglich des Datenschutzes beibehält – trotz Austritt aus der EU.
Drittstaaten
Zunächst einmal ist es sinnvoll, sich die Grundproblematik vor Augen zu führen. Großbritannien ist kein EU-Land und somit ein sog. Drittstaat. Die Art. 45 f. DSGVO sind zu beachten. Grds. gilt zum Umgang mit Drittstaaten: Neben einer Rechtsgrundlage bedarf es zur Datenübermittlung Garantien:
Solche Garantien sind insbesondere:
- EU-Standardvertragsklauseln, also Standardverträge zum Datenschutz. Diese sind unverändert zu übernehmen.
- “Corporate Binding Rules”, also Konzernregelungen für eine unternehmensinterne Datenübermittlung in Drittländer.
- Individuell Datenschutzklauseln zwischen den Beteiligten, welche der Zustimmung der zuständigen Aufsichtsbehörde bedürfen.
Die EU-Standarvertragsklauseln sind die einzige Alternative, die nicht zeitraubend und teuer ist. In manchen individuellen Fällen kommt auch eine Einwilligung nach eingehender Aufklärung in Betracht.
Schließlich ist genau auf eine Dokumentation im Verfahrensverzeichnis und eine Information in der Datenschutzerklärung zu achten. Das alles erscheint komplex, aber machbar.
Sunset Clause
Das bedeutet jedoch nicht, dass das Problem Datentransfer nach Großbritannien ein für allemal erledigt ist. Denn es gilt die sogenannte “Sunset Clause”.
Danach ist die Geltung des Angemessenheitsbeschlusses automatisch auf einen Zeitraum von vier Jahren beschränkt. Während dieser Zeit evaluiert die Kommission die Entwicklung des Datenschutzrechts in Großbritannien, siehe hierzu auch die Ausführungen im Ausblick.
Themen
Und es gibt einige Themen, die bereits jetzt heikel sind. Es ist davon auszugehen, dass diese Themen auch in den nächsten vier Jahren relevant sein werden.
Hierzu gehören:
– der Datentransfer zu Geheimdiensten und Sicherheitsbehörden
– der Umgang mit dem Datenhandel
– der Datentransfer zwischen Großbritannien und den USA, welcher wiederum “europäische Daten” betreffen könnte
– Lockerungen für Cookie Banner
Wie sich diese Themen in Zukunft entwickeln, bleibt abzuwarten. Es gilt, die Entwicklung in Großbritannien genau zu beobachten ist. Denn Premier Boris Johnson scheint auch in dieser Thematik einen schier unmöglichen Spagat zwischen notwendigem Ausgleich mit der EU und Befriedigung nationaler Souveränitätswünsche anzuvisieren und die Grenzen auszutesten.
EU Parlament versus EU Kommission
Zunächst einmal aber hat sich die Kommission gegenüber dem EU-Parlament durchgesetzt. Der Angemessenheitsbeschluss ermöglicht einen uneingeschränkten Datentransfer in das Vereinigte Königreich. Die Einwanderungskontrolle Großbritanniens wurde allerdings ausgenommen, so dass hierfür geeignete Garantie gemäß Art. 46 DSGVO bestehen müssen. Doch dies bedeutet nicht, dass die Kritik am „Ausverkauf“ des Datenschutzes beendet ist.
Zukunft
Es bleibt abzuwarten, wie lange der Beschluss „überlebt“.
Für viel Kritik hat vor allem der Powers Act von 2016 gesorgt, da er ausgeweitete Überwachungsbefugnisse britischer Geheimdienste ermöglicht. Sollte dieser extensiv genutzt werden, könnte dies den Beschluss noch nachträglich zu Fall bringen. Aber selbst wenn der Beschluss die vier Jahre überdauert, dürfte mit dem mittlerweile bekannten Tauziehen zwischen der EU und Großbritannien zu rechnen sein.
Erkenntnisse für DSB
Für Datenschutzberater und Datenschutzexperten bedeutet der Angemessenheitsbeschluss aber noch lange keine Bedeutungslosigkeit. Vermehrter Bedarf an datenschutzrechtlicher Expertise wird es vor allen Dingen bezüglich solcher Themen geben, bei denen das Datenschutzniveau Großbritanniens von der EU erheblich abweicht. Der Fokus liegt hier bei der Einwanderungskontrolle. Um einen unvorbereiteten GAU wie im Falle des privacy shield zu vermeiden empfiehlt es sich ferner, die Entwicklungen im Königreich genau zu beobachten. Exemplarisch sei hier auf das Urteil Warren v DSG verwiesen, https://www.bailii.org/ew/cases/EWHC/QB/2021/2168.html
Es ist folglich davon auszugehen, das es für Unternehmen einen immensen strategischen Vorteil darstellt, die Entwicklung des Datenschutzrechts in Großbritannien und damit auch die Zukunft des Angemessenheitsbeschlusses genau zu verfolgen und im Rahmen einer vorausschauenden Compliance rechtzeitig auf eventuell nahende rechtliche Veränderungen im Verhältnis EU und Großbritannien zu reagieren.
Ausblick
Wie sich diese Themen in Zukunft entwickeln, bleibt abzuwarten. Unverhandelbare Kernthemen des Datenschutzes, an denen das Datenschutzniveau Großbritannien gemessen werden wird, bleiben weiterhin:
- Rechtsstaatlichkeit, Menschenrechte und Grundfreiheiten,
- Weiterübermittlung von Daten an andere Drittländer,
- Unanhängigkeit der Aufsichtsbehörden und
- staatliche Verpflichtungen in Bezug auf personenbezogene Daten
Verwiesen sei an dieser Stelle auf die Worte von Didier Reynders, EU Kommissar für Justiz und Rechtsstaatlichkeit: “After months of careful assessments, today we can give EU citizens certainty that their personal data will be protected when it is transferred to the UK. This is an essential component of our new relationship with the UK. It is important for smooth trade and the effective fight against crime. The Commission will be closely monitoring how the UK system evolves in the future and we have reinforced our decisions to allow for this and for an intervention if needed. The EU has the highest standards when it comes to personal data protection and these must not be compromised when personal data is transferred abroad.”