ANGEMESSENHEITSBESCHLÜSSE FÜR DAS VEREINIGTE KÖNIGREICH

In unserem Blog-Beitrag „Die datenschutzrechtlichen Folgen des Brexit“ stellten wir Ende letzten Jahres dar, welche kurz- und langfristigen Auswirkungen der Austritt des Vereinigten Königreichs aus der Europäischen Union aus datenschutzrechtlicher Sicht haben könnte. Zum damaligen Zeitpunkt deutete vieles darauf hin, dass das Vereinigte Königreich spätestens zum 01. Juli 2021 als datenschutzrechtliches Drittland anzusehen sein und somit für Übermittlungen personenbezogener Daten die gleichen Anforderungen wie beispielsweise in die USA gelten würden. Zu Ende Juni hat die Europäische Kommission jedoch zwei Angemessenheitsbeschlüsse zum Vereinigten Königreich angenommen, sodass sich die Rechtslage nun anders darstellt.


ÜBERMITTLUNGEN PERSONENBEZOGENER DATEN AN DRITTLÄNDER ODER INTERNATIONALE ORGANISATIONEN

Nach Kapitel V der Datenschutz-Grundverordnung (DS-GVO) hinsichtlich der Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen bedarf es für eine solche zusätzlich zu einer einschlägigen Übermittlungsgrundlage ebenfalls der Erfüllung der Bedingungen der Artt. 44 ff. DS-GVO. Hierdurch soll gemäß Art. 44 Satz 2 DS-GVO auch bei einer Verarbeitung in Drittländern und durch internationale Organisationen eine Sicherstellung des durch die Verordnung gewährleisteten Schutzniveaus erreicht werden.

Neben einem Angemessenheitsbeschluss der Europäischen Kommission im Sinne des Art. 45 Abs. 3 DS-GVO kann eine Übermittlung personenbezogener Daten in diesem Zusammenhang ebenfalls auf geeignete Garantien nach Art. 46 DS-GVO gestützt werden. Hierzu zählen insbesondere die sogenannten Binding Corporate Rules (BCR), Standarddatenschutzklauseln der Europäischen Kommission oder einer Aufsichtsbehörde, genehmigte Verhaltensregeln oder einzeln ausgehandelte und durch die zuständige Aufsichtsbehörde genehmigte Vertragsklauseln, die zwischen den Vertragsparteien vereinbart wurden. Weiterhin kann eine derartige Übermittlung personenbezogener Daten ebenfalls auf eine ausdrückliche Einwilligung der betroffenen Person, nachdem sie über die bestehenden Risiken einer solchen Datenübermittlung aufgeklärt wurde, auf Grundlage eines Vertrages sowie auf die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen gestützt werden, sofern eine Übermittlung hierfür zwingend erforderlich ist.


DATENÜBERMITTLUNG AUF GRUNDLAGE EINES ANGEMESSENHEITSBESCHLUSSES

Die Europäische Kommission kann auf Grundlage des Art. 45 DS-GVO einen Beschluss treffen, nach welchem für ein Drittland oder eine internationale Organisation ein angemessenes Schutzniveau festgestellt wird. Gemäß Art. 45 Abs. 2 DS-GVO hat die Kommission hierbei folgende Kriterien zu berücksichtigen:

– Die Rechtsstaatlichkeit, die Achtung der Menschenrechte und Grundfreiheiten, einschlägige Rechtsvorschriften, auch in Bezug auf die öffentliche Sicherheit, Verteidigung, nationale Sicherheit und Strafrecht sowie der Zugang der Behörden zu personenbezogenen Daten, die Anwendung dieser und datenschutzrechtlicher Vorschriften sowie die Möglichkeit zur Durchsetzung von Rechten der betroffenen Person und die Wirksamkeit der verwaltungsrechtlichen und gerichtlichen Rechtsbehelfe;

– Die Existenz und wirksame Funktionsweise unabhängiger Aufsichtsbehörden für die Einhaltung und Durchsetzung datenschutzrechtlicher Vorschriften, einschließlich angemessener Durchsetzungsbefugnisse sowie für die Unterstützung und Beratung von betroffenen Personen bei der Ausübung ihrer Rechte und für die Zusammenarbeit mit Aufsichtsbehörden anderer Mitgliedstaaten;

– Die eingegangenen internationalen Verpflichtungen, die sich aus rechtsverbindlichen Übereinkünften oder Instrumenten sowie aus der Teilnahme an multilateralen oder regionalen Systemen insbesondere in Bezug auf den Schutz personenbezogener Daten ergeben.

Sofern die Kommission unter Berücksichtigung der aufgeführten Kriterien eine Angemessenheit des Datenschutzniveaus feststellt, übernimmt diese die Aufgabe der regelmäßigen Überwachung, im Rahmen derer stets die aktuellen Entwicklungen innerhalb des Drittlandes oder der internationalen Organisation berücksichtigt werden.

Zum gegenwärtigen Zeitpunkt verfügen folgende Länder und Gebiete über einen Angemessenheitsbeschluss der Europäischen Kommission: Andorra, Argentinien, Färöer-Inseln, Guernsey, Israel, Isle of Man, Japan, Jersey, Kanada (beschränkt auf Datenübermittlungen an „commercial organisations“), Neuseeland, Schweiz, Uruguay und das Vereinigte Königreich. Weiterhin ist ein Angemessenheitsbeschluss für das Land Südkorea absehbar.

In die zuvor genannten Länder kann eine Übermittlung personenbezogener Daten auf Grundlage des Angemessenheitsbeschlusses erfolgen. Es bedarf sodann – neben der Beachtung der sonstigen datenschutzrechtlichen Vorschriften – keiner weiteren besonderen Vorkehrungen.


HINTERGRÜNDE ZU DEN ANGEMESSENHEITSBESCHLÜSSEN FÜR DAS VEREINIGTE KÖNIGREICH

Für das Vereinigte Königreich liegen nunmehr zwei Angemessenheitsbeschlüsse vor: Zum einen im Anwendungsbereich der DS-GVO und zum anderen im Rahmen der Richtlinie zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten im Rahmen der Strafverfolgung. Ausdrücklich vom sachlichen Geltungsbereich der Angemessenheitsbeschlüsse ausgenommen sind jedoch Datenübermittlungen im Zusammenhang mit der Einwanderungskontrolle des Vereinigten Königreichs.

Insgesamt liegen den Angemessenheitsbeschlüssen der Europäischen Kommission folgende Erwägungen zugrunde:

– Die datenschutzrechtlichen Regelungen haben sich seit Austritt des Vereinigten Königreichs aus der Europäischen Union nicht verändert. Die bisherig durch die DS-GVO auferlegten Grundsätze sowie Rechte und Pflichten wurden in das nationale Recht übernommen.

– Hinsichtlich des möglichen Zugriffs auf personenbezogene Daten durch Ermittlungsbehörden sieht das Rechtssystem des Vereinigten Königreichs geeignete Garantien vor. So müssen Datenverarbeitungen durch Nachrichtendienste stets erforderlich sowie verhältnismäßig sein und bedürfen der vorherigen Genehmigung durch ein unabhängiges Rechtsorgan. Weiterhin stehen betroffenen Personen gerichtliche Rechtsbehelfe zur Verfügung. Zudem unterliegt das Vereinigte Königreich auch zukünftig einer Rechtsprechung des Europäischen Gerichtshofs für Menschenrechte, der Europäischen Menschenrechtskonvention sowie dem Übereinkommen des Europarates zum Schutz des Menschen bei der automatisierten Verarbeitung personenbezogener Daten.

– Die Geltungsdauer der Angemessenheitsbeschlüsse ist erstmalig per Klausel zeitlich beschränkt. Die Beschlüsse laufen grundsätzlich nach einer Geltungsdauer von vier Jahren ab. Soweit das Datenschutzniveau nach Ablauf der vier Jahren weiterhin dem der DS-GVO entspricht, ist der Annahmeprozess erneut zu durchlaufen.


FAZIT

Die Angemessenheitsbeschlüsse für das Vereinigte Königreich bieten für die Übermittlung personenbezogener Daten für verantwortliche Stellen (zunächst) Rechtssicherheit. Insbesondere mit Blick auf das „Schrems II“-Urteil des Europäischen Gerichtshofes (EuGH) und die entsprechenden Auswirkungen auf Datenübermittlungen in die USA werden jedoch die weiteren rechtlichen Entwicklungen und Rechtsprechungen des EuGH abzuwarten sein. Erst im Oktober des vergangenen Jahres befand dieser die weitreichenden Datenverarbeitungsbefugnisse von Ermittlungsbehörden des Vereinigten Königreiches für unzulässig. Möglicherweise ereilt den Angemessenheitsbeschlüssen somit in nicht allzu ferner Zukunft ein ähnliches Schicksal wie dem EU-US-Privacy Shield.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Angemessenheitsbeschluss
  • Brexit
  • Drittlandübermittlung
  • Europäische Kommission
  • Vereinigtes Königreich
Lesen

DIE DATENSCHUTZRECHTLICHEN FOLGEN DES BREXIT

Am 31. Januar 2020 ist das Vereinigte Königreich aus der Europäischen Union (EU) ausgetreten. Auf Grundlage des Austrittsübereinkommens vom 17. Oktober 2019 gilt das Recht der EU – und somit auch die Datenschutz-Grundverordnung (DS-GVO) – für eine Übergangszeit bis zum 31. Dezember 2020 fort. Die aktuellen Entwicklungen deuten jedoch darauf hin, dass zu Beginn des neuen Jahres das Vereinigte Königreich als datenschutzrechtliches Drittland anzusehen ist und somit für Datenübermittlungen die gleichen Anforderungen wie beispielsweise in die USA gelten.


RECHTSLAGE BIS ZUM 31. DEZEMBER 2020

Gemäß Art. 4 in Verbindung mit Art. 67 Abs. 1 lit. b des Abkommens über den Austritt des Vereinigten Königreichs Großbritannien und Nordirland aus der Europäischen Union und der Europäischen Atomgemeinschaft gelten die Regelungen der DS-GVO im Vereinigten Königreich und Nordirland bis zum 31. Dezember 2020 fort. Während dieses Übergangszeitraums sind für Datenübermittlungen an andere verantwortliche Stellen und Auftragsverarbeiter neben dem Vorliegen einer einschlägigen Übermittlungsgrundlage (z.B. Vertrag zur Auftragsverarbeitung) keine datenschutzrechtlichen Besonderheiten zu beachten. Die Regelungen des Kapitel V der DS-GVO hinsichtlich der Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen sind im genannten Zeitfenster mithin nicht einschlägig.


RECHTSLAGE AB DEM 01. JANUAR 2021

Mit Ablauf des Übergangszeitraums gilt das Vereinigte Königreich mangels eines weiteren internationalen Abkommens als datenschutzrechtliches Drittland im Sinne des Kapitel V der DS-GVO. Neben einer einschlägigen Übermittlungsgrundlage bedarf es auf der zweiten Stufe somit zusätzlich der Erfüllung der Bedingungen der Artt. 44 ff. DS-GVO. Da zum gegenwärtigen Zeitpunkt seitens der Europäischen Kommission jedoch kein Angemessenheitsbeschluss im Sinne von Art. 45 Abs. 1 DS-GVO verabschiedet wurde, welcher den nationalen datenschutzrechtlichen Regelungen des Vereinigten Königreichs ein gleichwertiges Niveau zu denen der DS-GVO attestiert, scheidet die „Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses“ als besondere Voraussetzung einer Datenübermittlung an Verantwortliche und Auftragsverarbeiter im Vereinigten Königreich bereits aus.

Zur Gewährleistung einer datenschutzkonformen Übermittlung personenbezogener Daten sind durch den Verantwortlichen somit regelmäßig geeignete Garantien im Sinne des Art. 46 DS-GVO vorzuweisen. Hierzu zählen insbesondere folgende Garantien:
– durch die zuständige Aufsichtsbehörde zu genehmigende verbindliche interne Datenschutzvorschriften, sogenannte Binding Corporate Rules (BCR), gemäß Art. 47 DS-GVO;
Standarddatenschutzklauseln der EU-Kommission oder einer Aufsichtsbehörde, unter besonderer Berücksichtigung der aktuellen EuGH-Rechtsprechung hinsichtlich der Ergänzung durch zusätzliche technische und organisatorische Maßnahmen im Rahmen der Datenübermittlung, z.B. der Verschlüsselung personenbezogener Daten;
genehmigte Verhaltensregeln gemäß Art. 40 DS-GVO oder ein genehmigter Zertifizierungsmechanismus gemäß Art. 42 DS-GVO;
– einzeln ausgehandelte und durch die zuständige Aufsichtsbehörde genehmigte Vertragsklauseln, die zwischen den Vertragsparteien vereinbart wurden.

Liegen keine geeigneten Garantien im Sinne des Art. 46 DS-GVO vor, so ist eine Datenübermittlung in ein datenschutzrechtliches Drittland gemäß Art. 49 DS-GVO ausnahmsweise insbesondere dann zulässig, sofern:
– die betroffene Person in die Datenübermittlung ausdrücklich einwilligt, nachdem sie über die bestehenden Risiken einer solchen Datenübermittlung aufgeklärt wurde,
– die Übermittlung für die Erfüllung eines Vertrages oder zur Durchführung vorvertraglicher Maßnahmen notwendig oder
– die Übermittlung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist.

Die aufgeführten Ausnahmetatbestände des Art. 49 DS-GVO sind jedoch durchweg restriktiv auszulegen und stellen keinesfalls eine belastbare Grundlage für regelmäßige Datenübermittlungen dar.


DIESE MAßNAHMEN SIND NUN ERFORDERLICH

Verantwortliche Stellen, die personenbezogene Daten an andere verantwortliche Stellen oder Auftragsverarbeiter mit Sitz im Vereinigten Königreich übermitteln, sollten zeitnah überprüfen, ob neben einer Übermittlungsgrundlage ebenfalls mindestens eine der in Art. 44 ff. DS-GVO aufgeführten Voraussetzungen zur Übermittlung personenbezogener Daten in ein Drittland vorliegt. Im Regelfall wird es diesbezüglich auf den Abschluss von Standarddatenschutzklauseln hinauslaufen, welche im Idealfall durch zusätzliche technische und organisatorische Maßnahmen ergänzt werden. Zur Erstellung von Standardvertragsklauseln stellt die britische Datenschutzaufsichtsbehörde auf ihrer Internetseite einen entsprechenden Generator zur Verfügung.

Unter Umständen kann die Übermittlung personenbezogener Daten in ein Drittland auch durch einen Wechsel zu einem Dienstleister mit Sitz innerhalb der EU grundsätzlich vermieden werden.

Im Falle der Aufrechthaltung des Drittlandtransfers sind weiterhin folgende Maßnahmen zu treffen:
– die Ergänzung der Datenschutzinformationen gemäß Art. 13 oder Art. 14 DS-GVO hinsichtlich der Übermittlung personenbezogener Daten in ein Drittland unter Nennung der im Einzelfall einschlägigen Voraussetzung der Artt. 44 ff. DS-GVO,
– die Ergänzung einer vollständigen Darstellung der Datenübermittlung im Rahmen des Verzeichnisses der Verarbeitungstätigkeiten gemäß Art. 30 DS-GVO,
– gegebenenfalls die Vornahme von oder die Prüfung und Ergänzung bereits erfolgter Datenschutz-Folgenabschätzungen gemäß Art. 35 DS-GVO,
– die vollständige Beauskunftung der Drittlandübermittlung im Rahmen der Beantwortung von Auskunftsansprüchen gemäß Art. 15 DS-GVO.


UPDATE VOM 04. JANUAR 2021

In einer Pressemitteilung vom 28. Dezember 2020 weist die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hinsichtlich des Handels- und Zusammenarbeitsabkkommens zwischen dem Vereinigten Königreich und der Europäischen Union auf eine Übergangsregelung bezüglich Datenübermittlungen hin. Demnach sind Übermittlungen personenbezogener Daten von der EU in das Vereinigte Königreich und Nordirland für einen Übergangszeitraum von maximal sechs Monaten nicht als Übermittlung in ein datenschutzrechtliches Drittland anzusehen. Der Sächsische Datenschutzbeauftragte Andreas Schurig hierzu: „Damit sind Übermittlungen in das Vereinigte Königreich vorerst weiterhin unter den bisherigen Voraussetzungen möglich. Gravierende Erschwernisse für die betroffenen Unternehmen werden so zunächst vermieden.“


FAZIT

Sämtliche verantwortliche Stellen, die personenbezogene Daten in das Vereinigte Königreich übermitteln sollten zeitnah das Vorliegen der besonderen datenschutzrechtlichen Voraussetzungen des Kapitel V der DS-GVO überprüfen und die dargestellten notwendigen Maßnahmen ergreifen. Die Aufsichtsbehörden können im Falle von Verstößen Datenübermittlungen aussetzen sowie hierzu ergänzend Bußgelder verhängen. Das Aussitzen der datenschutzrechtlichen Folgen des Brexit und das (erfolglose?) Warten auf einen Angemessenheitsbeschluss der Kommission stellt somit keine ernsthafte Alternative dar.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und IT-Sicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen.

    Tags:
  • Auftragsverarbeitung
  • Brexit
  • Datenübermittlungen
  • Drittstaaten
  • Standardvertragsklauseln
Lesen