Datenschutz und das Vereinigte Königreich nach dem Brexit

Am heutigen 28. Juni 2021 ist nun doch – mit bestimmten Ausnahmen – ein Angemessenheitsbeschluss von der EU gebilligt worden. Damit gilt das Vereinigte Königreich zum 1. Juli 2021 im Sinne der DSGVO als Drittland mit angemessenem Schutzniveau für personenbezogene Daten.

Die EU-Kommission hatte seit längerem die Aufgabe, einen Angemessenheitsbeschluss für das Vereinigte Königreich zu fällen. Dieser lag bereits am 19. Februar 2021 im Entwurfsstadium zur Kommentierung vor, doch das EU-Parlament stimmte mit knapper Mehrheit gegen diesen Angemessenheitsbeschluss.

Am heutigen 28.06.2021 teilte die EU-Kommission in einer Pressemitteilung mit, dass der Angemessenheitsbeschluss verabschiedet wurde.

Angemessenheitsbeschluss für Großbritannien nun doch gefällt (Copyright: tanaonte/adobe.stock). 

Das Vereinigte Königreich als datenschutzrechtlich „Drittland“ mit der Folge erheblichen zusätzlichen Handlungsbedarf für Ihr Unternehmen?

Längere Zeit war unklar, ob das Vereinigte Königreich mit dem Brexit datenschutzrechtlich ein „Drittland“ geworden ist mit der Folge erheblichen zusätzlichen Handlungsbedarfs für Ihr Unternehmen.

Am 31. Januar 2020 war das Vereinigte Königreich Großbritannien und Nordirland infolge des bereits am 23. Juni 2016 durchgeführten Referendums aus der Europäischen Union ausgetreten; der „Brexit“ war damit vollzogen.

Es stellte sich also die Frage, was dies u.a. für kleine und mittelständische Unternehmen, Vereine und Universitäten bedeutete, die mehr oder weniger zufällig seit Jahren IT-Dienstleistungen z.B. britischer Unternehmen genutzt hatten, z.B. Microsoft Europe mit diversen Cloud-Lösungen.

Längere Zeit war fraglich, ob England, Wales, Schottland und Nordirland damit datenschutzrechtlich Drittländer geworden waren und möglicherweise sogar von deutschen Unternehmen genauso zu behandeln wie die Vereinigten Staaten von Amerika nach Wegfall des sog. „Privacy-Shield“, d.h., des Urteils des Europäischen Gerichtshofs darüber, daß der sog. „Privacy-Shield-Beschluss“ der Europäischen Kommission vom 12. Juni 2016 ungültig ist.

Auch Übergangszeitraum zum 31. Dezember 2020 war abgelaufen

Infolge des am 23. Juni 2016 durchgeführten Referendums war das Vereinigte Königreich bereits am 31. Januar 2020 aus der EU ausgetreten. Vernünftigerweise wurde vereinbart, dass für die Dauer eines Übergangszeitraums – und zwar bis zum 31. Dezember 2020 – das Unionsrecht über den Schutz personenbezogener Daten im Vereinigten Königreich für die Verarbeitung der personenbezogenen Daten betroffener Personen außerhalb des Vereinigten Königreichs weitergilt (Art. 71, 126, 127 des Abkommen über den Austritt des Vereinigten Königreichs Großbritannien und Nordirland aus der Europäischen Union und der Europäischen Atomgemeinschaft vom 31. Januar 2020 (EU-Amtsblatt 2020/L 29/7 ff.)).

Damit war für den Übergangszeitraum – bis zum 31. Dezember 2020 – der von erheblichem zusätzlichen Handlungsbedarf für Unternehmen geprägte datenschutzrechtliche Status abgewendet.

Dann aber war dieser Übergangszeitraum abgelaufen und die Regelungen der Art. 71, 126, 127 des Abkommen über den Austritt des Vereinigten Königreichs Großbritannien und Nordirland aus der Europäischen Union und der Europäischen Atomgemeinschaft vom 31. Januar 2020 (EU-Amtsblatt 2020/L 29/7 ff.)) hinfällig.

Dafür hatte man zwar nicht die in vorgenanntem Abkommen durchaus vorgesehene Option der Verlängerung des Übergangszeitraums gezogen. Das Vereinigte Königreich und die EU hatten stattdessen den Weg gewählt, eine ganz neue Übergangsphase im Rahmen eines Handels- und Zusammenarbeitsabkommens auszurufen, und zwar in Artikel FINPROV.10A des Handels- und Kooperationsabkommen zwischen der Europäischen Union und der Europäischen Atomgemeinschaft einerseits und dem Vereinigten Königreich Großbritannien und Nordirland andererseits, dort S. 468 ff.).

Diese Phase begann mit Inkrafttreten des Abkommens und sollte, falls die EU-Kommission dann keine das Vereinigte Königreich betreffende Angemessenheitsentscheidungen – vergleichbar mit den für die Vereinigten Staaten zwischen­zeitlich für unwirksam erklärten „Safe Harbour“ und seinem Nachfolger, dem „Privacy Shield“ – getroffen hat, spätestens bereits nach vier Monaten enden, wobei das Enddatum um zwei Monate verlängert werden konnte.

Nachdem die EU-Kommission bereits im Februar 2021 das Verfahren zur Annahme einer Angemessenheitsfeststellung für das Vereinigte Königreich eingeleitet hatte, scheiterte die Verabschiedung eines Angemessenheitsbeschlusses zunächst im Mai 2021 mit knapper Mehrheit im EU-Parlament.

Grund hierfür waren Bedenken mit Bezug auf das Vereinigte Königreich u.a. im Hinblick auf Folgetransfers von der Insel in andere Drittstaaten und weitgehende Überwachungsbefugnisse britischer Geheimdienste.

Angemessenheitsbeschluss für Großbritannien nun doch gefällt

Mit dem nunmehr angenommenen „Angemessenheitsbeschluss“ können personenbezogene Daten von den EU-Mitgliedstaaten und den Mitgliedstaaten des Europäischen Wirtschaftsraums ohne weitere Anforderungen an dieses Drittland übermittelt werden. Eine maßgebliche Einschränkung sieht der Angemessenheitsbeschluss für Datenübermittlungen allerdings zu Zwecken der Einwanderungskontrolle vor. In dieser Hinsicht gelten die strengen Anforderungen der Art. 46 ff. DSGVO. Dieser Angemessenheitsbeschluss soll jedoch zunächst ohne Weiteres am 27. Juni 2025 auslaufen.

Ein „Angemessenheitsbeschluss“ ist ein Beschluss, der von der Europäischen Kommission gemäß Artikel 45 DSGVO angenommen wird und durch den festgelegt wird, dass ein Drittland (d. h. ein Land, das nicht an die DSGVO gebunden ist) oder eine internationale Organisation ein angemessenes Schutzniveau für personenbezogene Daten bietet. Im Rahmen dieses Beschlusses werden die innerstaatlichen Rechtsvorschriften des Landes, seine Aufsichtsbehörden und die von ihm eingegangenen internationalen Verpflichtungen berücksichtigt.

Die Kommission hat bislang u.a. für die Schweiz, Kanada, Argentinien, Guernsey und die Isle of Man, aber auch für Kanada, Angemessenheitsentscheidungen getroffen.

Damit stellt sich die Frage, was diese Einschätzung im Hinblick auf eine vergleichbare geheimdienstliche Praxis für die weiteren Länder der „Five Eyes“-Allianz bedeutet. Unter „Five Eyes“-Allianz oder der „UKUSA-Vereinbarung“ bezeichnet man die Verträge zur Zusammenarbeit der Geheimdienste des Vereinigten Königreichs und der Vereinigten Staaten. Als weitere Partner schlossen sich das Australian Signals Directorate, das Communications Security Establishment Canada und das neuseeländische Government Communications Security Bureau dem Abkommen an.

Es stellt sich auch die Frage, ob der Angemessenheitsbeschluss für das Vereinigte Königreich für die gesamte Dauer von vier Jahren hält und nicht zuvor durch den EuGH gekippt wird, wie es bereits für die Vereinigten Staaten vom Amerika erfolgt ist (Weitere Informationen finden Sie hier und hier).