Es ist offiziell: Angemessenheitsbeschluss für das Vereinigte Königreich

Am 19. Februar 2021 teilte die EU-Kommission mit, dass das Verfahren zur Annahme der Angemessenheitsfeststellung für das Vereinigte Königreich eingeleitet wurde. Darüber hinaus unterrichtete die Kommission über die nächsten Schritte und veröffentlichte den Entwurf des Angemessenheitsbeschlusses. Es musste noch die Stellungnahme des Europäischen Datenschutzausschusses sowie die Zustimmung der Mitgliedstaaten eingeholt werden, bevor der Angemessenheitsbeschluss endgültig angenommen und verabschiedet werden kann.

Der Europäische Datenschutzausschuss äußerte sich im April dahingehend, dass an einigen Stellen Nachbesserungen verlangt wurden, aber der Kommissionsentwurf grundsätzlich begrüßt wurde. Auch das Europäische Parlament forderte Nachbesserungen, die größtenteils deckungsgleich mit den Forderungen des Europäischen Datenschutzausschusses waren.

Trotz der Bedenken des EDSA und der Ablehnung durch das EU-Parlament nahm die EU-Kommission am 28. Juni 2021 den Angemessenheitsbeschluss zum Vereinigten Königreich an.

Die EU-Kommission erklärte in einer Pressemitteilung, dass das Vereinte Königreich zwar kein Mitgliedstaat der EU mehr sei, aber die rechtlichen Bestimmungen zum Schutz personenbezogener Daten weiterhin vorhanden seien. Dies liegt daran, dass das aktuelle Datenschutzgesetz im Vereinigten Königreich die Implementierung der DSGVO in die nationale Gesetzgebung ist, der Data Protection Act 2018. Bezüglich der Bedenken des EU-Parlaments argumentierte die Kommission, dass umfangreiche Garantien vorgesehen sind, falls sich auf Seiten des Königreichs die Gegebenheiten ändern, damit die Grundrechte der EU-Bürger weiterhin geschützt werden. Diese Garantien sollen ein schnelles Eingreifen durch die EU-Kommission ermöglichen.

Der Angemessenheitsbeschluss für das Vereinigte Königreich ist zu begrüßen – ist es doch das, auf das man so lange gewartet hat. Formal gibt es nun Gewissheit, wie mit der Situation umzugehen ist, aber Unternehmen mit Datentransfers in das Vereinigte Königreich sollten sich nach wie vor nicht in 100-prozentiger Sicherheit wiegen.

Denn es zeichnen sich bereits neue Wolken am Horizont ab. Grundsätzlich sei der datenschutzrechtliche Rahmen im Vereinigten Königreich zwar sehr ähnlich zu dem Europäischen, allerdings sind Ausnahmeregelungen insbesondere die nationale Sicherheit betreffend im britischen Recht vorgesehen.

Vor nicht allzu langer Zeit hat der EuGH den vorherigen Angemessenheitsbeschluss mit den USA, das sog. EU-US-Privacy-Shield, gekippt mit der Begründung der weitgehenden Zugriffsbefugnisse der US-Geheimdienste auf die personenbezogenen Daten (EuGH 16.07.2020, C-311/18). Die Situation in Großbritannien sieht ähnlich aus, da auch die britische Regierung durch den Geheimdienst GCHQ massenhaft Kommunikationsdaten überwacht und eng mit den USA zusammenarbeitet. Hierzu urteilte der EuGH erst im Oktober 2020, dass die umfassenden Datenverarbeitungsbefugnisse britischer Geheimdienste unzulässig sind (Urteil vom 06.10.2020, C-623/17). Es ist daher nicht ausgeschlossen, dass eine gerichtliche Überprüfung auch diesen neuen Angemessenheitsbeschluss kippen könnte.

Festzuhalten ist, dass der Angemessenheitsbeschluss mit einer Geltungsdauer von vier Jahren befristet ist. Eine Erneuerung ist nur möglich, sofern das Vereinigte Königreich weiterhin ein angemessenes Datenschutzniveau sicherstellt. Sollte nach den vier Jahren die EU-Kommission zu dem Entschluss kommen, dass der Angemessenheitsbeschluss erneuert werden soll, muss der Annahmeprozess erneut eingeleitet werden. Sollte festgestellt werden, dass das bestehende Datenschutzniveau vom aktuellen abweicht, so kann die EU-Kommission jederzeit eingreifen. Auch im Laufe des Gültigkeitszeitraum wird die Kommission die Datenschutzlage genau beobachten, um jegliche Abweichungen und Schwankungen des Datenschutzniveaus zu identifizieren und ggf. frühzeitig zu reagieren.

Datenschutz bleibt weiter spannend – wir halten Sie weiter auf dem Laufenden.