Bereits im Februar 2021 leitet die EU-Kommission in einer offiziellen Pressemitteilung ein Verfahren zur Annahme von zwei Angemessenheitsbeschlüssen für das Vereinigte Königreich (UK) ein. (Wir berichteten) Kurz vor Ablauf der vereinbarten Übergangsfrist legt die EU-Kommission eine Punktlandung hin, nimmt am 28.06.2021 die beiden veröffentlichten Entwürfe unverändert an und ermöglicht somit künftig einen unkomplizierten und rechtssicheren Datenaustausch zwischen der EU und UK.
Angemessenes Datenschutzniveau für UK attestiert
Konkret hat die Kommission zwei Adäquanzentscheidungen gebilligt, einen im Rahmen der Datenschutzgrundverordnung (DSGVO) und einen im Rahmen der Richtlinie zum Datenschutz bei der Strafverfolgung. Mit den Entscheidungen legt die Kommission die Rahmenbedingungen und die rechtliche Grundlage für den künftigen Datenaustausch zwischen UK und der Europäischen Union (EU) zunächst einmal mit einer Geltungsdauer von vier Jahren fest und verhindert damit, dass UK nach Ablauf der Übergangsfrist den Status eines unsicheren Drittlands im Sinne der Datenschutz-Grundverordnung (DSGVO) erhält. Mit der Annahme der Beschlüsse attestiert die Kommission dem ehemaligen EU-Mitgliedstaat ein angemessenes Datenschutzniveau, das im Grunde zu dem europäischen Schutzniveau personenbezogener Daten adäquat ist. Aus dem Beschluss, genauer gesagt aus Erwägungsgrund 5, lässt sich herauslesen, dass die Kommission durch eine sorgfältige Analyse zu dem Ergebnis gekommen ist, dass das Vereinigte Königreich ein angemessenes Schutzniveau für personenbezogene Daten gewährleistet, die im Rahmen der DSGVO aus der Europäischen Union nach UK übermittelt werden.
Annahme trotz datenschutzrechtlicher Bedenken
Doch nicht alle an dem Annahmeverfahren beteiligten europäischen Gremien/Organe waren der gleichen Auffassung hinsichtlich des Schutzniveaus und verlangten von der Kommission inhaltliche Änderungen der Entwürfe. Allen voran sorgte das EU-Parlament mit seiner Abstimmung für einen (kleinen) Paukenschlag und stimmte mit knapper Mehrheit gegen die veröffentlichten Entwürfe. Die Abstimmung hatte auf das weitere Prüfverfahren und die anschließende Annahme minimale rechtliche Auswirkungen, da dem EU-Parlament im Prüfverfahren lediglich ein Kontrollrecht übertragen wird. Das Kontrollrecht räumt den Parteien des EU-Parlaments zum einen die Möglichkeit ein, ein Veto gegen einen geplanten Durchführungsrechtsakt einzulegen und dabei die Kommission in Form eines Entschließungsantrags darauf hinzuweisen, dass der Entwurf eines Durchführungsrechtsakts ihres Erachtens nach die im Basisrechtsakt vorgesehenen Durchführungsbefugnisse überschreitet. In diesen vorliegenden Fällen ist die Kommission dazu angehalten, die Entwürfe des Durchführungsrechtsakts unter Berücksichtigung der vorgetragenen Kritikpunkte rechtlich neu zu bewerten. Nach erfolgter Bewertung informiert die Kommission das EU-Parlament und den EU-Rat darüber, ob sie beabsichtigt, den Entwurf beizubehalten, abzuändern oder zurückzuziehen. (vgl. Art. 11 VO 182/2011)
Ein solches Veto ist durch die Abstimmung und durch die Ablehnung der Beschlussentwürfe seitens des EU-Parlaments erfolgt. So wurde seitens des EU-Parlaments in erster Linie kritisiert, dass die Beschlussfassung weitreichende Ausführungen, die der Europäische Gerichtshof in seinen Urteilen Schrems I und II tätigte, nicht beinhaltet. Mit den Entscheidungen hat der EuGH in der Vergangenheit bekanntlich die beiden Angemessenheitsbeschlüsse für die Vereinigten Staaten für unzulässig erklärt und damit einem unbeschränkten Transfer europäischer Daten in die Vereinigten Staaten einen Riegel vorgeschoben.
In dem eingelegten Veto, das von Teilen des EU-Parlaments ausgerufen wurde, ging es vorrangig um die weitreichenden Befugnisse zur Massenüberwachung britischer Sicherheitsbehörden, die sich auf den sog. Investigatory Powers Act (IPA) als Rechtsgrundlage zurückführen lassen. Dies ermöglicht unter anderem lokalen Sicherheitsbehörden einen umfassenden Zugriff auf elektronische Kommunikationsdaten und die Durchführung von umfassenden Vorratsdatenspeicherungen, auch von EU-Bürgern.
Auch der am Prüfverfahren beteiligte Europäische Datenschutzausschuss (EDSA) gab zwischenzeitlich eine ausführliche Stellungnahme ab und teilte in seinem Gutachten der Kommission zwar mit, dass dieser der Freigabe eines Datentransfers in die UK auf Grundlage der Adäquanzentscheidungen nicht im Wege steht, erhob gleichzeitig aber – im übertragenden Sinne – den warnenden Zeigefinger und machte deutlich, welche Risiken eine Annahme zur Folge hätte. Die europäischen Datenschützer äußerten vor allem in zwei Punkten ihre Bedenken hinsichtlich eines uneingeschränkten Datentransfers nach UK. Wie bereits auch das EU-Parlament, warnte der EDSA in der Stellungnahme vor den umfassenden Datenverarbeitungsbefugnissen der UK-Sicherheitsbehörden. Ferner wurden Bedenken hinsichtlich einer unkontrollierten Übermittlung personenbezogener Daten von EU-Bürgern geäußert, die auf Grundlage geschlossener internationaler Abkommen beruhen. Denn einschlägige Rechtsnormen analog den Art. 44 ff. DSGVO, die eine Übermittlung personenbezogener Daten an Drittländer regeln, sehen die britischen Datenschutznormen nicht vor.
Trotz der geäußerten Bedenken und der bestehenden Herausforderungen in puncto eines angemessenen Datenschutzniveaus in UK beschloss die Kommission am vergangenen Montag die Angemessenheitsbeschlüsse unverändert anzunehmen, da auch der Europäische Rat als Verfahrensbeteiligter, repräsentativ für die Mitgliedstaaten, grünes Licht erteilte.
Ausblick und Bedeutung für die Praxis
Mit der Entscheidung schafft die EU-Kommission eine rechtskonforme Grundlage dafür, dass der sichere Datenaustausch zwischen der EU und UK wie gewohnt stattfinden kann. Dies ohne, dass weitere Garantien gem. Art 46 DSGVO geschlossen werden müssen. Diese Tatsache sorgt gerade bei betroffenen Organisationen, die auf einen rechtskonformen und unkomplizierten Datentransfer angewiesen sind, für Erleichterung. Denn aktuell zeigt sich mit den neu veröffentlichten Standarddatenschutzklauseln (wir berichteten hier und hier), welch ein Aufwand seitens der Organisationen betrieben werden muss, um Daten rechtskonform in Drittländer transferieren zu können.
Ob die getroffene Adäquanzentscheidung auch längerfristig als rechtskonforme Grundlage für den Datenaustausch über den Ärmelkanal standhält, kann an dieser Stelle nicht beantwortet werden, denn es spielen drei Faktoren eine wesentliche Rolle, ob die Entscheidung auf Dauer bestehen bleibt. So hat die EU-Kommission erstmals eine Verfallsklausel in die Beschlüsse mit aufgenommen, wodurch die Gültigkeit auf vier Jahre begrenzt worden ist. Damit räumt sich die EU-Kommission ein umfassendes Kontrollrecht ein, um auf Änderungen der rechtlichen Gegebenheiten sofort einzugreifen zu können, falls UK von dem derzeit bestehenden Datenschutzniveau abweicht. Sollte die UK-Regierung die lokalen Gesetze aufweichen und damit das Datenschutzniveau schwächen, besteht seitens der EU-Kommission ein selbstauferlegter Handlungszwang seine Adäquanzentscheidung zu widerrufen.
Aber auch der EuGH hat in der Vergangenheit bereits auf etwaige Adäquanzentscheidungen Einfluss genommen und durch seine Rechtsprechung die Grundlage für den Datenaustausch mit den Vereinigten Staaten für ungültig erklärt. Da auch in UK die britischen Sicherheitsbehörden umfassende Überwachungsbefugnisse innehaben und der IPA uneingeschränkt gilt, ist es möglich, dass sich der EuGH in Zukunft auch mit den angenommenen Beschlüssen befassen wird. Da ein gerichtliches Verfahren eine gewisse Zeit beansprucht und die Beschlüsse mit einer Geltungsdauer von vier Jahren begrenzt gültig sind, ist es eher unwahrscheinlich, dass die Beschlüsse zeitnah vom EuGH für ungültig erklärt werden.
Nichtdestotrotz gilt die Adäquanzentscheidung der EU-Kommission – vorerst einmal – uneingeschränkt und ermöglicht einen nahtlosen, freien aber auch (sicheren) Datenverkehr über den Ärmelkanal. Organisationen sind trotz der aktuell geltenden Rechtslage gut beraten weiterhin zu überprüfen, ob die allgemeinen datenschutzrechtlichen Voraussetzungen für eine Datenübermittlung im Einzelfall erfüllt sind. Dabei empfiehlt es sich im Rahmen der Datenübermittlung an Auftragsverarbeiter einen Blick auf die eingesetzten Sub-Dienstleister zu werfen und die getroffenen technischen und organisatorischen Maßnahmen des Auftragsverarbeiters zu prüfen.
Darüber hinaus sind Unternehmen und Organisationen gut beraten die Rechtslage im Auge zu behalten, um gegebenenfalls auf Veränderungen hinsichtlich des Datenschutzniveaus in UK zeitnah reagieren zu können. Über weitere Bedeutsame Entwicklungen werden wir wie gewohnt an dieser Stelle berichten.
Alexander Ernst
9. Juli 2021 @ 9:49
Hallo Herr Schmees,
vielen Dank für Ihre Anmerkung. In der Tat kann das Risiko eines erweiterten Zugriffes aktuell nicht eingeschätzt werden. Organisationen, die Daten nach UK transferieren, sind gut beraten zum einen das Datenschutzniveau in UK im Auge zu behalten und sollten vor allem prüfen, ob die allgemeinen datenschutzrechtlichen Voraussetzungen für eine Datenübermittlung erfüllt sind. Dies hat auch der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit erst kürzlich in seiner veröffentlichten Kurzmeldung klargestellt.
vgl.https://www.bfdi.bund.de/SharedDocs/Kurzmeldungen/DE/2021/11_Annahme-Angemessenheitsbeschl%C3%BCsse-UK.html
Christoph Schmees PC-Fluesterer. info
8. Juli 2021 @ 15:16
Na prima, da hat die Lobby der Datensauger wieder mal gesiegt. Der Trick ist immer derselbe: Schaffen wir erst mal – mit einer fadenscheinigen rechtlichen Deckung – die Daten auf die Insel. Wenn dann in einem Jahr ein Urteil ergeht (beispielsweise weil noyb geklagt hat), dass das Parlament mit seinen Bedenken recht hatte, dann sind die Daten längst in unseren Händen. Dann bekommen wir zwar nachträglich auf die Finger geklopft, aber ohne weitere Konsequenzen. Und wir (von Amazon bis Vodafone) haben, was wir wollten. Die Pferde sind über alle Berge, schließe das Gatter.