Nach dem vollzogenen Brexit und dem daraus resultierenden Austritt des Vereinigten Königreichs (UK) aus der Europäischen Union (EU) gilt hinsichtlich des Datenaustauschs noch eine Übergangsfrist bis einschließlich dem 30.06.2021. Die getroffene Vereinbarung über die Datenübermittlung über den Ärmelkanal wurde in dem sog. Partnerschaftsvertrag, der am 24.12.2020 zwischen beiden Parteien geschlossen wurde, niedergeschrieben (nachzulesen hier).

Innerhalb der festgelegten Überbrückungsfrist wird Großbritannien aus datenschutzrechtlicher Perspektive – faktisch – weiterhin als EU-Mitgliedsstaat angesehen, so dass die Vorschriften der Datenschutz-Grundverordnung (DSGVO) weiterhin uneingeschränkt Anwendung finden.  Genau zwei Monate nach Abschluss des Partnerschaftsvertrags gibt es erste Anzeichen von Seiten der EU-Kommission, welches Szenario nach der Überbrückungszeit eintreten wird und auf welcher rechtlichen Grundlage der Datenaustausch zukünftig stattfinden wird.

Angemessenheitsbeschluss in der europäischen Pipeline

Am 19.02.2021 hat die EU-Kommission in einer offiziellen Pressemitteilung verlauten lassen, dass ein Verfahren zur Annahme von zwei Angemessenheitsbeschlüssen eingeleitet wurde. Die vorgetragenen Beschlüsse beziehen sich auf die Übermittlung von personenbezogenen Daten nach Großbritannien im Rahmen der einschlägigen europäischen Datenschutznormen. Aus der Pressemitteilung lässt sich herauslesen, dass personenbezogene Daten in UK einen mit dem Europäischen Datenschutzrecht vergleichbaren Schutz genießen und die Voraussetzung des Art. 45 II DSGVO erfüllt sind. Das attestierte angemessene Datenschutzniveau wurde durch die Kommission in den vergangenen Monaten weitreichend überprüft. Bei der Prüfung des Schutzniveaus ging es demnach auch um die häufig kritisierten Befugnisse des Sicherheitsapparats und den geltenden Überwachungsgesetzen. Um das Verfahren erfolgreich abschließen zu können, bedarf es nun noch einer Stellungnahme des Europäischen Datenschutzausschusses (EDSA) und der Zustimmung der einzelnen Mitgliedstaaten. Erst im Anschluss können die Beschlussentwürfe seitens der Kommission angenommen werden.

Vorgetragene Argumente für ein angemessenes Datenschutzniveau in UK

Als Hauptargument für die Beschließung der Angemessenheitsbeschlüsse führt die EU-Kommission an, dass UK – als ehemaliger Mitgliedstaat – das europäische Datenschutzrecht jahrzehntelang mitgeprägt hat und die DSGVO auch nach dem Brexit unmittelbare Anwendung findet. Einen Haken hat die Anführung dieses Argumentes jedoch: Die DSGVO entfaltet zwar faktisch weiterhin ihre Wirksamkeit im UK, jedoch bleibt es EU-Bürgern verwehrt, sich an den EuGH zu wenden, wenn sie ihre Rechte im UK verletzt sehen.

Die Angemessenheitsbeschlüsse sollen nach Inkrafttreten eine Laufzeit von vier Jahren haben. Innerhalb dieses Zeitraums hat sich die EU-Kommission das Recht eingeräumt, das attestierte Datenschutzniveau Großbritanniens durch streng festgelegte Verfahren kontinuierlich einer Überprüfung zu unterzuziehen und die Sicherstellung des Datenschutzniveaus zu überwachen. Ändert sich das angemessene Datenschutzniveau personenbezogener Daten von EU-Bürgern nachteilig, besteht seitens der Kommission die Möglichkeit die Beschlüsse vorübergehend auszusetzen oder ganz aufzuheben.

Als weiteres Argument in Richtung angemessenes Datenschutzniveau trägt die EU-Kommission vor, dass sich UK dazu verpflichtet habe, sich auch zukünftig zu der EU-Menschenrechtskonvention und der Konvention Nr. 108 des Europarats – dem einzigen bindenden multilateralen Datenschutzinstrument zu bekennen und diesen als Vertragspartei erhalten zu bleiben. In diesem Zusammenhang heißt es wörtlich, dass das Vereinigte Königreich trotz des Austritts aus der EU weiterhin als Teil der europäischen „Datenschutzfamilie“ erhalten bleibe.

Ob die vorgetragene Argumentation der EU-Kommission dabei für das Attestieren eines angemessenen Datenschutzniveaus – im Sinne des Art. 45 DSGVO – ausreichen wird, kann durchaus kritisch hinterfragt werden. Gerade vor dem Hintergrund, dass im Wesentlichen unklar ist, welche Zugriffsrechte der britische Geheimdienst auf personenbezogene Daten von EU-Bürgern hat und in welchem Umfang diese mit verbündeten Sicherheitsbehörden geteilt werden. So kann in diesem Zusammenhang auch die bestehende Nachrichtendienstallianz „Five Eyes“, dieser auch der britische Geheimdienst angeschlossen ist, beim Namen genannt werden. Mit an Sicherheit grenzender Wahrscheinlichkeit wird sich der EuGH abschließend diesem umstrittenen Thema – gerade im Hinblick auf das Schrems-II Urteil – zuwenden. Fraglich an dieser Stelle ist jedoch, ob die Gültigkeit der Angemessenheitsbeschlüsse, die auf vier Jahre begrenzt ist, für eine gerichtliche Überprüfung der Beschlüsse ausreichen wird.

Bedeutung für die Praxis

Trotz aller Bedenken und der aktuell herrschenden Ungewissheit in Bezug auf die Zugriffsrechte von Sicherheitsbehörden auf personenbezogene Daten von EU-Bürgern, würde ein Angemessenheitsbeschluss in vielerlei Hinsicht – längerfristig – Klarheit schaffen.
Zum einen würde die Annahme des vorgelegten Angemessenheitsbeschlusses den Datentransfer über den Ärmelkanal nahtlos wiederherstellen, ohne dass Organisationen zwingend weitere Garantien im Sinne des Art. 46 I DSGVO für einen rechtmäßigen Datentransfer abschließen müssten. Des Weiteren würde ein Angemessenheitsbeschluss auch die aktuell herrschende Übergangslösung beenden und für die betroffenen Unternehmen eine Rechtssicherheit bezüglich des Datenaustauschs über den Ärmelkanal schaffen.

Nichtsdestotrotz sollte die EU-Kommission zum Schutze und der damit verbundenen Sicherstellung eines freien und sicheren Verkehrs personenbezogener Daten von EU-Bürgern, darauf Acht geben, dass die zugesicherten Kontrollverfahren hinsichtlich des angemessenen Schutzniveaus greifen. Denn es besteht aktuell noch Unklarheit, inwieweit Großbritannien seine Datenschutzgesetze novellieren wird und ob die – aktuell noch – geltenden Normen der DSGVO auch nach Beendigung der Übergangsfrist Geltung finden werden.

Ausblick

Mit der Veröffentlichung der beiden Angemessenheitsbeschlüsse für den zukünftigen Erhalt des rechtskonformen und sicheren Datentransfers geht die EU-Kommission einen entscheiden Schritt in die richtige Richtung. Entscheidend für die Annahme dieser Beschlussentwürfe wird sein, wie die Stellungnahme des Europäischen Datenschutzausschusses ausfallen wird und ob sich die jeweiligen Vertreter der einzelnen Mitgliedstaaten zu den Entwürfen bekennen werden.

Zum jetzigen Zeitpunkt kann festgehalten werden, dass wir – egal wie das Resultat am Ende aussehen wird – wie gewohnt darüber berichten werden!