Mit der Last-Minute-Einigung zum Brexit konnten EU und Großbritannien ein drohendes Datenchaos verhindern. Im Austrittsabkommen wurde eine 6-monatige Übergangsfrist für freien Datenaustausch vereinbart. Am 28. Juni 2021 hat die EU-Kommission einen Angemessenheitsbeschluss gem. Art. 45 DSGVO erlassen, wonach Großbritannien dauerhaft als sicherer Drittstaat eingestuft wird.
Quasi in letzter Minute hatten im Dezember letzten Jahres die Unterhändler doch noch einen geregelten Brexit aushandeln können, wodurch neben anderen gravierenden Konsequenzen auch ein Datenchaos verhindert wurde. Denn bei einem ungeregelten Ausstieg wäre Großbritannien über Nacht zu einem sogenannten Drittland geworden und personenbezogene Daten von EU-Bürgern hätten dann nicht mehr so einfach wie bisher auf die Insel übertragen werden dürfen. Angesichts der hohen Vernetzung zwischen dem Kontinent und Großbritannien wären die Konsequenzen ganz erheblich gewesen.
Übergangsfrist lief bis Ende Juni
In dem Austrittsvertrag wurde daher eine mehrmonatige Übergangsfrist vereinbart, während der gemeinsamer Datenverkehr wie bisher weiter fließen konnte und Großbritannien explizit nicht als unsicheres Drittland eingestuft wurde. Zunächst galt diese Regelung bis Ende April, wurde allerdings bis Ende Juni verlängert. Erst für die Zeit danach musste der Datenaustausch daher auf eine neue Rechtsgrundlage gestellt werden.
Die Übergangslösung wurde insbesondere in der Wirtschaft aber auch etwa von den hiesigen und britischen Datenschutzbehörden begrüßt, die vor allem die Vermeidung der ansonsten unvermeidlichen Rechtsunsicherheiten lobten. Einige Juristen beanstandeten zwar, dass eine solche Sonderregelung mit einem Drittstand, wie es Großbritannien nach seine EU-Austritt nun mal sei, gar nicht erlaubt sei, jedoch wurde dagegen eingewandt, dass es sich bei der Übereinkunft um einen völkerrechtlichen Vertrag handele, der Vorrang vor dem EU-Recht habe.
EU-Kommission erlässt Angemessenheitsbeschluss
Wenige Tage vor Ablauf der Übergangslösung und damit gerade noch rechtzeitig gelang es, das Vereinigte Königreich als Drittland mit angemessenem Datenschutzniveau im Sinne von Art. 45 DSGVO anzuerkennen. Die Erfüllung der Voraussetzungen eines sicheren Drittlandes war grundsätzlich unstrittig, da wesentliche Teile der EU-Datenschutzregelungen in die UK-GDPR übernommen wurden. Die UK GDPR ist das britische Pendant zur DSGVO und trat am 1. Januar 2021 in Kraft. Sie basiert auf den europäischen Standards und legt die wichtigsten Rechte und Pflichten für die Verarbeitung personenbezogener Daten fest, mit Ausnahmen für Strafverfolgungsbehörden und Geheimdiensten.
Laufzeit der Anerkennung
Der Angemessenheitsbeschluss hat eine Laufzeit von zunächst vier Jahren (27. Juni 2025). Während dieser Zeit will die EU-Kommission anhand festgelegter Verfahren überprüfen, ob das Datenschutzniveau in Großbritannien sich auch weiterhin auf dem geforderten Niveau bewegt. Sollte es Entwicklungen geben, durch die der Datenschutz abgebaut wird, behält sich die Kommission vor, den Beschluss einzuschränken oder sogar komplett aufzuheben.
Kritische Stimmen zum britischen Datenschutz
Bedenken folgen insbesondere aus der Frage, ob die Regulierungen ausreichen, um beim Datentransfer in andere Drittstaaten ebenfalls ein hinreichendes Datenschutzniveau für personenbezogene Daten und Betroffenenrechte zu gewährleisten (vgl. Art. 44 f. DSGVO). Auch wurde gerügt, dass es Ausnahmeregelungen für die Zwecke der Einwanderungskontrolle gibt. Deshalb sind Datenübermittlungen zu diesem Zweck derzeit vom Anwendungsbereich des erlassenen Angemessenheitsbeschlusses ausgenommen.
Kritiker weisen ebenfalls auf die zweifelhafte Rolle britischer Geheimdienste im Hinblick auf unkontrollierte Zugriffe auf personenbezogene Daten hin. So war etwa insbesondere der GCHQ (Government Communications Headquarters) etwa im Zuge der Snowden-Enthüllungen in die Schlagzeilen geraten, als nach und nach umfangreiche Datensammlungen dieses Dienstes bekannt wurden, die nicht nur britische Bürger betrafen. Auch die Kooperation der britischen Geheimdienste mit denen aus anderen Staaten, insbesondere der USA, im Rahmen der sogenannten FiveEyes-Allianz dürfte grundsätzliche Fragen zum Schutz persönlicher Daten aufwerfen.
Auch andere Nationen gelten als sichere Länder
Als sichere Drittländer sind derzeit auch Staaten wie die Schweiz, Japan, Neuseeland oder Israel eingestuft. Ohne einen solchen Angemessenheitsbeschluss ist der Transfer von personenbezogenen Daten zwar nicht unmöglich, es wird jedoch deutlich komplizierter. Hier gelten die Vorgaben der Art. 44 f. DSGVO, die etwa den Abschluss sogenannten Standardvertragsklauseln vorsehen oder die Datenübertragung nach expliziter Zustimmung der Betroffenen ermöglichen. In der Praxis sind diese Lösungen jedoch meist mit erheblichem Aufwand verbunden. Auch das Hin und Her um die zum Datenaustausch mit den USA genutzten Regelungen (Safe Harbor, Privacy Shield) zeigt, mit welcher Unsicherheit derartige Regelungen behaftet sein können.
Weitere News zum Thema:
EuGH erklärt Privacy Shield für ungültig – DSGVO zu beachten