EU-Kommission sieht keine Datenschutzrisiken in Großbritannien

Mit der Last-Minute-Einigung zum Brexit konnten EU und Großbritannien ein drohendes Datenchaos verhindern. Im Austrittsabkommen wurde eine 6-monatige Übergangsfrist für freien Datenaustausch  vereinbart. Nun zeichnet sich eine Lösung ab, bei der Großbritannien durch einen Angemessenheitsbeschluss dauerhaft als sicherer Drittstaat eingestuft wird.

Quasi in letzter Minute hatten im Dezember letzten Jahres die Unterhändler doch noch einen geregelten Brexit aushandeln können, wodurch neben anderen gravierenden Konsequenzen auch ein Datenchaos verhindert wurde. Denn bei einem ungeregelten Ausstieg wäre Großbritannien über Nacht zu einem sogenannten Drittland geworden und personenbezogene Daten von EU-Bürgern hätten dann nicht mehr so einfach wie bisher auf die Insel übertragen werden dürfen. Angesichts der hohen Vernetzung zwischen dem Kontinent und Großbritannien wären die Konsequenzen ganz erheblich gewesen.

Übergangsfrist läuft bis Ende Juni

In dem Austrittsvertrag wurde daher eine mehrmonatige Übergangsfrist vereinbart, während der der Datenverkehr wie bisher weiter fließen kann und Großbritannien explizit nicht als unsicheres Drittland eingestuft wird. Zunächst gilt diese Regelung bis Ende April, allerdings ist eine Verlängerung bis Ende Juni möglich, was auch mit ziemlicher Sicherheit ausgeschöpft werden wird. Erst für die Zeit danach muss der Datenaustausch daher auf eine neue Rechtsgrundlage gestellt werden.

Die Übergangslösung wurde insbesondere in der Wirtschaft aber auch etwa von den hiesigen und britischen Datenschutzbehörden begrüßt, die vor allem die Vermeidung der ansonsten unvermeidlichen Rechtsunsicherheiten lobten. Einige Juristen beanstandeten zwar, dass eine solche Sonderregelung mit einem Drittstand, wie es Großbritannien nach seine EU-Austritt nun mal sei, gar nicht erlaubt sei, jedoch wurde dagegen eingewandt, dass es sich bei der Übereinkunft um einen völkerrechtlichen Vertrag handele, der Vorrang vor dem EU-Recht habe.

EU-Kommission stellt Weichen für Angemessenheitsbeschluss

Für die Zeit ab Juli muss daher nun aber eine Folgelösung gefunden werden, denn ansonsten droht dieselbe Situation wie vor einem halben Jahr, also dass Großbritannien dann zu einem unsicheren Drittland wird und die bisherige Praxis der Übertragung personenbezogener Daten damit nicht mehr zulässig ist.

Umgangen kann diese Problematik dadurch, dass die EU sich mit Großbritannien auf einen sogenannten Angemessenheitsbeschluss einigt.

  • Damit konstatiert die EU einem Drittland,
  • dass dort ein ähnlich hohes Datenschutzniveau garantiert wird wie in den EU-Mitgliedsstaaten
  • und somit auch personenbezogene Daten uneingeschränkt transferiert werden dürfen.

Auch andere Nationen gelten als sichere Länder

Als solche sichere Drittländer sind derzeit etwa Staaten wie die Schweiz, Japan, Neuseeland oder auch Israel eingestuft. Ohne einen solchen Angemessenheitsbeschluss ist der Transfer von personenbezogenen Daten zwar nicht unmöglich, es wird jedoch deutlich komplizierter. Hier gelten die Vorgaben der Art. 44 ff DSGVO, die etwa den Abschluss sogenannten Standardvertragsklauseln vorsehen oder die Datenübertragung nach expliziter Zustimmung der Betroffenen ermöglichen. In der Praxis sind diese Lösungen jedoch meist mit erheblichem Aufwand verbunden. Auch das Hin und Her um die zum Datenaustausch mit den USA genutzten Regelungen (Safe Harbor, Privacy Shield) zeigt, mit welcher Unsicherheit derartige Regelungen behaftet sein können.

EU-Kommission signalisiert, Angemessenheitsbeschluss erlassen zu wollen

Mittlerweile hat die EU-Kommission signalisiert, dass sie nach Prüfung der dortigen Datenschutzbestimmungen für Großbritannien ebenfalls einen Angemessenheitsbeschluss erlassen möchte und dem Land damit ein zur EU vergleichbares Datenschutzniveau attestieren will. In einer Presseerklärung  wurde mitgeteilt, dass ein Verfahren zur Annahme dieses Beschlusses eingeleitet wird. 

Voraussetzungen und Folgen eines Angemessenheitsbeschlusses

Voraussetzung für die Annahme des Beschlusses ist allerdings noch die Zustimmung der EU-Mitgliedsstaaten, zuvor muss auch noch der Europäische Datenschutzausschuss (EDSA) eine Stellungnahme zu diesem Plan abgeben. Sollte der Angemessenheitsbeschluss umgesetzt werden, wird dieser eine Laufzeit von zunächst vier Jahren haben. Während dieser Zeit will die EU-Kommission anhand festgelegter Verfahren überprüfen, ob das Datenschutzniveau in Großbritannien sich auch weiterhin auf dem geforderten Niveau bewegt. Sollte es Entwicklungen geben, durch die der Datenschutz abgebaut wird, behält sich die Kommission vor, den Beschluss einzuschränken oder sogar komplett aufzuheben.

Gründe die für den Angemessenheitsbeschluss sprechen

Die EU-Kommission begründet ihr positives Urteil zum Datenschutzniveau in Großbritannien unter anderem damit, dass die dortigen Rechtsnormen zum Datenschutz noch auf Basis der europäischen Datenschutzregeln, insbesondere also der DSGVO, entstanden sind und daher weitgehend ähnliche Regelungen wie innerhalb der EU enthalten. Zudem habe sich das Vereinigte Königreich verpflichtet, weiterhin Vertragspartei sowohl der Europäischen Konvention zum Schutz der Menschenrechte als auch der Konvention 108 des Europarats, dem einzig bindenden multilateralen Datenschutzinstrument, zu bleiben. Nach Meinung der EU-Kommission bleibt Großbritannien damit trotz des Austritts aus der EU ein „Mitglied der europäischen Datenschutzfamilie“.

Kritische Stimmen zum britischen Datenschutz

Kritiker weisen allerdings auf die zweifelhafte Rolle hin, die etwa britische Geheimdienste im Hinblick auf unkontrollierte Zugriffe auf personenbezogene Daten haben. So war etwa insbesondere der GCHQ (Government Communications Headquarters) etwa im Zuge der Snowden-Enthüllungen in die Schlagzeilen geraten, als nach und nach umfangreiche Datensammlungen dieses Dienstes bekannt wurden, die nicht nur britische Bürger betrafen. Auch die Kooperation der britischen Geheimdienste mit denen aus anderen Staaten, insbesondere der USA, im Rahmen der sogenannten FiveEyes-Allianz dürfte grundsätzliche Fragen zum Schutz persönlicher Daten aufwerfen.

Weitere News zum Thema:

Die Brexit-Einigung ist da

EuGH erklärt Privacy Shield für ungültig – DSGVO zu beachten

Datenschutzverstöße und Sanktionen in 2020

Hintergrund: Nützliches Brexit-Glossar des DIHK

Die wichtigsten mit dem Brexit verknüpften Ausdrücke können in einem Glossar der DIHK online nach geschlagen werden und stehen auch als  PDF zum Download bereit.

Außerdem hat der DIHK eine Sonderwebpage rund um das Thema Brexit eingerichtet.

Schlagworte zum Thema:  Brexit, Datenschutz, Datenschutz-Grundverordnung