Nachdem Großbritannien seit dem 01.01.2021 offiziell kein Mitglied der EU mehr ist, warf dies im Datenschutz die dringende Frage auf, wie künftig mit Datenübermittlungen in das Vereinigte Königreich umzugehen ist. Faktisch ist die UK seit dem EU-Austritt ein Drittland, in das nicht ohne weiteres personenbezogene Daten übertragen werden dürfen. Bereits im März 2021 berichteten wir, dass zwischen der UK und der EU vom 24.12.2020 bis zum 30.06.2021 eine sogenannte „Übergangsfrist“ vereinbart worden war. Innerhalb dieser Zeitspanne wurde das Vereinigte Königreich aus datenschutzrechtlicher Perspektive weiterhin als EU-Mitgliedsstaat behandelt, sodass die Vorschriften der DSGVO weiterhin uneingeschränkt Anwendung fanden. Dennoch wurde bereits seit Anfang des Jahres 2021 intensiv an einer Lösung für die Zeit nach Ablauf der Übergangsfrist gearbeitet. Am 28.06.2021 hat die EU-Kommission schließlich einen Angemessenheitsbeschluss für Großbritannien erlassen, wodurch die UK datenschutzrechtlich weiterhin als sicheres Drittland gilt. Dies vereinfacht die Datenübermittlungen in das Vereinigte Königreich enorm, da ein Angemessenheitsbeschluss nach Art. 45 Abs. 3 DSGVO einen ungehinderten Datenverkehr aus der EU in ein sicheres Drittland ermöglicht.
Dass die EU-Kommission zum Ergebnis kam, dass es sich bei der UK um ein sicheres Drittland handelt ist naheliegend, da Großbritannien jahrelang Mitglied der EU war und sich somit auch die grundlegenden Prinzipien ähneln. Dies sind beispielsweise die Rechtstaatlichkeit, die Achtung der Menschenwürde und der Grundfreiheiten, das Vorhandensein unabhängiger Aufsichtsbehörden sowie datenschutzrelevanter Regelungen in Bezug auf den Umgang mit personenbezogenen Daten.
Vorerst gilt Großbritannien folglich weiterhin als sicheres Drittland für Datenübertragungen aus der EU. Allerdings ist die aktuelle Regelung kein Beschluss für die Ewigkeit. Die EU-Kommission überprüft die Gültigkeit des Angemessenheitsbeschlusses regulär alle vier Jahre. Sollten sich hier die Gegebenheiten ändern, kann es sein, dass der Angemessenheitsbeschluss nach Ablauf dieser Frist nicht verlängert wird. Auch kann der europäische Gerichtshof (EuGH) den Beschluss jederzeit für ungültig erklären.
In einer Stellungnahme zum Angemessenheitsbeschluss der UK zeigt der EDSA (Europäischer Datenschutzausschuss) bereits offene Punkte auf, die kritisch betrachtet werden müssen. Dies wäre zum einen die Frage, ob die UK-Datenschutzgesetze auch hinreichende Garantien für die Sicherheit personenbezogener Daten bei möglichen Übertragungen von Großbritannien in andere Staaten bieten. Darüber hinaus äußert sich der EDSA kritisch zu staatlichen Überwachungsgesetzen in Großbritannien (z.B. der Investigatory Powers Act von 2016), die möglicherweise einen Einschnitt in die Persönlichkeitsrechte der EU-Bürger nach sich ziehen könnten.
Quellenangaben
- BfDI Kurzmeldungen „Annahme der Angemessenheitsbeschlüsse UK“, abgerufen am 30.06.2021 unter https://www.bfdi.bund.de/SharedDocs/Kurzmeldungen/DE/2021/11_Annahme-Angemessenheitsbeschl%C3%BCsse-UK.html;jsessionid=C411893B38415083B0887DD24325F61E?nn=251928
- Artikel „Angemessenheitsbeschluss: UK ist sicheres Drittland“, abgerufen am 30.06.2021 unter https://www.dr-datenschutz.de/angemessenheitsbeschluss-uk-ist-sicheres-drittland/
- European Commission „Data protection: Commission adopts adequacy decisions for the UK“, abgerufen am 30.06.2021 unter https://ec.europa.eu/commission/presscorner/detail/en/ip_21_3183
- COMMISSION IMPLEMENTING DECISION of 28.6.2021 pursuant to Regulation (EU) 2016/679 of the European Parliament and of the Council on the adequate protection of personal data by the United Kingdom, abgerufen am 30.06.2021 unter https://ec.europa.eu/info/sites/default/files/decision_on_the_adequate_protection_of_personal_data_by_the_united_kingdom_-_general_data_protection_regulation_en.pdf