In unserem Blog-Beitrag „Die datenschutzrechtlichen Folgen des Brexit“ stellten wir Ende letzten Jahres dar, welche kurz- und langfristigen Auswirkungen der Austritt des Vereinigten Königreichs aus der Europäischen Union aus datenschutzrechtlicher Sicht haben könnte. Zum damaligen Zeitpunkt deutete vieles darauf hin, dass das Vereinigte Königreich spätestens zum 01. Juli 2021 als datenschutzrechtliches Drittland anzusehen sein und somit für Übermittlungen personenbezogener Daten die gleichen Anforderungen wie beispielsweise in die USA gelten würden. Zu Ende Juni hat die Europäische Kommission jedoch zwei Angemessenheitsbeschlüsse zum Vereinigten Königreich angenommen, sodass sich die Rechtslage nun anders darstellt.
ÜBERMITTLUNGEN PERSONENBEZOGENER DATEN AN DRITTLÄNDER ODER INTERNATIONALE ORGANISATIONEN
Nach Kapitel V der Datenschutz-Grundverordnung (DS-GVO) hinsichtlich der Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen bedarf es für eine solche zusätzlich zu einer einschlägigen Übermittlungsgrundlage ebenfalls der Erfüllung der Bedingungen der Artt. 44 ff. DS-GVO. Hierdurch soll gemäß Art. 44 Satz 2 DS-GVO auch bei einer Verarbeitung in Drittländern und durch internationale Organisationen eine Sicherstellung des durch die Verordnung gewährleisteten Schutzniveaus erreicht werden.
Neben einem Angemessenheitsbeschluss der Europäischen Kommission im Sinne des Art. 45 Abs. 3 DS-GVO kann eine Übermittlung personenbezogener Daten in diesem Zusammenhang ebenfalls auf geeignete Garantien nach Art. 46 DS-GVO gestützt werden. Hierzu zählen insbesondere die sogenannten Binding Corporate Rules (BCR), Standarddatenschutzklauseln der Europäischen Kommission oder einer Aufsichtsbehörde, genehmigte Verhaltensregeln oder einzeln ausgehandelte und durch die zuständige Aufsichtsbehörde genehmigte Vertragsklauseln, die zwischen den Vertragsparteien vereinbart wurden. Weiterhin kann eine derartige Übermittlung personenbezogener Daten ebenfalls auf eine ausdrückliche Einwilligung der betroffenen Person, nachdem sie über die bestehenden Risiken einer solchen Datenübermittlung aufgeklärt wurde, auf Grundlage eines Vertrages sowie auf die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen gestützt werden, sofern eine Übermittlung hierfür zwingend erforderlich ist.
DATENÜBERMITTLUNG AUF GRUNDLAGE EINES ANGEMESSENHEITSBESCHLUSSES
Die Europäische Kommission kann auf Grundlage des Art. 45 DS-GVO einen Beschluss treffen, nach welchem für ein Drittland oder eine internationale Organisation ein angemessenes Schutzniveau festgestellt wird. Gemäß Art. 45 Abs. 2 DS-GVO hat die Kommission hierbei folgende Kriterien zu berücksichtigen:
– Die Rechtsstaatlichkeit, die Achtung der Menschenrechte und Grundfreiheiten, einschlägige Rechtsvorschriften, auch in Bezug auf die öffentliche Sicherheit, Verteidigung, nationale Sicherheit und Strafrecht sowie der Zugang der Behörden zu personenbezogenen Daten, die Anwendung dieser und datenschutzrechtlicher Vorschriften sowie die Möglichkeit zur Durchsetzung von Rechten der betroffenen Person und die Wirksamkeit der verwaltungsrechtlichen und gerichtlichen Rechtsbehelfe;
– Die Existenz und wirksame Funktionsweise unabhängiger Aufsichtsbehörden für die Einhaltung und Durchsetzung datenschutzrechtlicher Vorschriften, einschließlich angemessener Durchsetzungsbefugnisse sowie für die Unterstützung und Beratung von betroffenen Personen bei der Ausübung ihrer Rechte und für die Zusammenarbeit mit Aufsichtsbehörden anderer Mitgliedstaaten;
– Die eingegangenen internationalen Verpflichtungen, die sich aus rechtsverbindlichen Übereinkünften oder Instrumenten sowie aus der Teilnahme an multilateralen oder regionalen Systemen insbesondere in Bezug auf den Schutz personenbezogener Daten ergeben.
Sofern die Kommission unter Berücksichtigung der aufgeführten Kriterien eine Angemessenheit des Datenschutzniveaus feststellt, übernimmt diese die Aufgabe der regelmäßigen Überwachung, im Rahmen derer stets die aktuellen Entwicklungen innerhalb des Drittlandes oder der internationalen Organisation berücksichtigt werden.
Zum gegenwärtigen Zeitpunkt verfügen folgende Länder und Gebiete über einen Angemessenheitsbeschluss der Europäischen Kommission: Andorra, Argentinien, Färöer-Inseln, Guernsey, Israel, Isle of Man, Japan, Jersey, Kanada (beschränkt auf Datenübermittlungen an „commercial organisations“), Neuseeland, Schweiz, Uruguay und das Vereinigte Königreich. Weiterhin ist ein Angemessenheitsbeschluss für das Land Südkorea absehbar.
In die zuvor genannten Länder kann eine Übermittlung personenbezogener Daten auf Grundlage des Angemessenheitsbeschlusses erfolgen. Es bedarf sodann – neben der Beachtung der sonstigen datenschutzrechtlichen Vorschriften – keiner weiteren besonderen Vorkehrungen.
HINTERGRÜNDE ZU DEN ANGEMESSENHEITSBESCHLÜSSEN FÜR DAS VEREINIGTE KÖNIGREICH
Für das Vereinigte Königreich liegen nunmehr zwei Angemessenheitsbeschlüsse vor: Zum einen im Anwendungsbereich der DS-GVO und zum anderen im Rahmen der Richtlinie zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten im Rahmen der Strafverfolgung. Ausdrücklich vom sachlichen Geltungsbereich der Angemessenheitsbeschlüsse ausgenommen sind jedoch Datenübermittlungen im Zusammenhang mit der Einwanderungskontrolle des Vereinigten Königreichs.
Insgesamt liegen den Angemessenheitsbeschlüssen der Europäischen Kommission folgende Erwägungen zugrunde:
– Die datenschutzrechtlichen Regelungen haben sich seit Austritt des Vereinigten Königreichs aus der Europäischen Union nicht verändert. Die bisherig durch die DS-GVO auferlegten Grundsätze sowie Rechte und Pflichten wurden in das nationale Recht übernommen.
– Hinsichtlich des möglichen Zugriffs auf personenbezogene Daten durch Ermittlungsbehörden sieht das Rechtssystem des Vereinigten Königreichs geeignete Garantien vor. So müssen Datenverarbeitungen durch Nachrichtendienste stets erforderlich sowie verhältnismäßig sein und bedürfen der vorherigen Genehmigung durch ein unabhängiges Rechtsorgan. Weiterhin stehen betroffenen Personen gerichtliche Rechtsbehelfe zur Verfügung. Zudem unterliegt das Vereinigte Königreich auch zukünftig einer Rechtsprechung des Europäischen Gerichtshofs für Menschenrechte, der Europäischen Menschenrechtskonvention sowie dem Übereinkommen des Europarates zum Schutz des Menschen bei der automatisierten Verarbeitung personenbezogener Daten.
– Die Geltungsdauer der Angemessenheitsbeschlüsse ist erstmalig per Klausel zeitlich beschränkt. Die Beschlüsse laufen grundsätzlich nach einer Geltungsdauer von vier Jahren ab. Soweit das Datenschutzniveau nach Ablauf der vier Jahren weiterhin dem der DS-GVO entspricht, ist der Annahmeprozess erneut zu durchlaufen.
FAZIT
Die Angemessenheitsbeschlüsse für das Vereinigte Königreich bieten für die Übermittlung personenbezogener Daten für verantwortliche Stellen (zunächst) Rechtssicherheit. Insbesondere mit Blick auf das „Schrems II“-Urteil des Europäischen Gerichtshofes (EuGH) und die entsprechenden Auswirkungen auf Datenübermittlungen in die USA werden jedoch die weiteren rechtlichen Entwicklungen und Rechtsprechungen des EuGH abzuwarten sein. Erst im Oktober des vergangenen Jahres befand dieser die weitreichenden Datenverarbeitungsbefugnisse von Ermittlungsbehörden des Vereinigten Königreiches für unzulässig. Möglicherweise ereilt den Angemessenheitsbeschlüssen somit in nicht allzu ferner Zukunft ein ähnliches Schicksal wie dem EU-US-Privacy Shield.
Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.
