Er ist da: Der Angemessenheitsbeschluss für das Vereinigte Königreich!

Viele Unternehmen dürften gebangt haben!

Bereits am 31.01.2020 trat das Vereinigte Königreich Großbritannien und Nordirland, kurz Vereinigtes Königreich, aus der EU aus. Allerdings enthielt das Austrittsabkommen eine Übergangsphase bis zum 31.12.2020, welche – vereinfacht gesagt – die weitere Anwendung der europäischen Regelungen festlegte. Für Datentransfers zwischen der EU und dem Vereinigten Königreich wurde geregelt, dass das Vereinigte Königreich bis zum 30.06.2021 datenschutzrechtlich noch wie ein EU-Mitgliedstaat behandelt werden sollte. Für die Zeit ab dem 01.07.2021 dürften viele Unternehmen, deren Geschäftsmodell Datentransfers in das Vereinigte Königreich vorsehen, gebangt haben, welchen Voraussetzungen diese zukünftig unterliegen würden.

Wo liegt das Problem?

Nun, bis zum BREXIT war das Vereinigte Königreich bekanntlich ein Mitgliedstaat der EU, mit der Folge, dass die DSGVO dort direkt und unmittelbar zur Anwendung kam und das mit der DSGVO geschaffene Schutzniveau in allen EU-Mitgliedstaaten sicherstellte. Weitere spezifische Voraussetzungen – wie z.B. bei einem Datentransfer in ein Land außerhalb der EU/des EWR – mussten nicht geprüft bzw. erfüllt werden, eine Untergrabung des Schutzniveaus der DSGVO musste nicht gefürchtet werden.

Mit Ablauf der Übergangsfrist am 30.06.2021 gilt das Vereinigte Königreich jedoch als Drittland im Sinne der Artt. 44 ff. DSGVO. Ein Datentransfer kann folglich nur nach Maßgabe der weiteren, spezifischen Anforderungen der Artt. 45 ff. DSGVO erfolgen.

Was heißt Datentransfer in ein Drittland?

Datentransfer in ein Drittland heißt konkret, dass neben der Zulässigkeitsprüfung nach Art. 6 DSGVO, eine Prüfung erfolgen muss, ob die Datenübermittlung in das jeweilige Drittland die Anforderungen der Artt. 44 ff. DSGVO erfüllt. Dementsprechend wären für den Datentransfer in das Vereinigte Königreich beispielsweise Standardvertragsklauseln (Art. 46 DSGVO), die Einwilligung der betroffenen Person (Art. 49 Abs. 1 lit. a DSGVO) oder aber ein Angemessenheitsbeschluss der EU-Kommission (Art. 45 DSGVO) erforderlich.

Ein solcher Angemessenheitsbeschluss im Sinne des Art. 45 DSGVO wurde nun durch die EU-Kommission –man muss sagen: kurz vor knapp- am 28.06.2021 veröffentlicht. Genau genommen hat die EU-Kommission zwei Angemessenheitsbeschlüsse erlassen, wobei für die Privatwirtschaft nur der erstgenannte entscheidend ist und somit in diesem Beitrag nur auf diesen eingegangen wird:

  • Durchführungsbeschluss der EU-Kommission vom 28.6.2021 gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates zur Angemessenheit des Schutzes personenbezogener Daten durch das Vereinigte Königreich
  • Durchführungsbeschluss der EU-Kommission vom 28.6.2021 gemäß der Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates zur Angemessenheit des Schutzes personenbezogener Daten durch das Vereinigte Königreich

Letzterer regelt den Datentransfer in das Vereinigte Königreich als Drittland im Andienungsrecht der Justizrichtlinie 2016/680.

Warum Angemessenheitsbeschluss, was ist der Vorteil?

Ein Angemessenheitsbeschluss wie ihn die EU-Kommission nun im in Bezug auf das Vereinigte Königreich getroffen hat, bietet gegenüber den anderen Instrumenten der Artt. 45-49 DSGVO wesentliche Vorteile:

  • Der Angemessenheitsbeschluss führt dazu, dass für das gesamte Empfängerland die Voraussetzungen nach Art. 44 DSGVO als erfüllt gelten.
  • Der Angemessenheitsbeschluss erleichtert die Bewertung der Rechtslage im Empfängerland, denn der Datenübermittler darf sich auf die Bejahung der Angemessenheit des Schutzniveaus im Drittland verlassen.
  • Anders als bei den Instrumenten nach Artt. 46-49 DSGVO sind damit nicht nur Übermittlungen an bestimmte Empfänger oder in Bezug auf einzelne Verarbeitungen gerechtfertigt und es müssen folglich nicht (ständig) neue Verträge geschlossen oder Einwilligungen eingeholt werden.

Neben den bereits genannten Vorteilen kommt als wesentlicher Vorteil in der Praxis hinzu, dass ein Beschluss der EU-Kommission nur durch den EuGH oder die EU-Kommission selbst aufgehoben werden kann. Folglich ist es einer nationalen Datenschutzaufsichtsbehörde nicht möglich, einen Angemessenheitsbeschluss der EU-Kommission für unwirksam zu erklären. Kurz gesagt: solange weder der EuGH im Rahmen eines Rechtsstreits oder die EU-Kommission einen Angemessenheitsbeschluss für unwirksam erklärt haben, kann sich ein Datenübermittler grundsätzlich hierauf stützen.

Fazit

Die EU-Kommission hat es geschafft, mit ihrem Angemessenheitsbeschluss für Rechtssicherheit im Umgang mit Datentransfers von der EU in das Vereinigte Königreich zu sorgen und hat Unternehmen davor bewahrt, über die anderen Rechtsinstrumente der Artt. 45 – 49 DSGVO die Zulässigkeit der Datenübermittlung gewährleisten zu müssen. Denn wie eine am 21.06.2021 von der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) veröffentlichte Pressemitteilung zeigt, bleibt auch bei Verwendung der neuen EU-Standardvertragsklauseln eine Prüfung der Rechtslage im Drittland und das Erfordernis zusätzlicher ergänzender Maßnahmen nicht aus (https://www.datenschutzkonferenz-online.de/media/pm/2021_pm_neue_scc.pdf).

Allerdings gilt es, die Entwicklungen rund um den Angemessenheitsbeschluss im Auge zu behalten: wie das „Schrems II“-Urteil des EuGH (Urt. v. 16.07.2020 (Rs. C-311/18) gezeigt hat, werden solche rechtlichen Auseinandersetzungen, die im Ergebnis zur Unwirksamkeit eines Angemessenheitsbeschlusses führen können, sehr wohl geführt. In Anbetracht der bereits vorliegenden Kritik am Schutzniveau im Vereinigten Königreich (vgl. EuGH, Urt. v. 06.10.2020, Rs. C-623/17 zur Unzulässigkeit von Verarbeitungsbefugnissen der UK-Geheimdienste) liegen entsprechende rechtliche Auseinandersetzungen nahe.

Helke Rheingans
Rechtsanwältin

Helke.Rheingans@derra-b.de