Mittlerweile ist es bei jedem angekommen: das Vereinigte Königreich hat in der Nacht zum ersten Februar 2020 die Europäische Union verlassen. Lange Zeit war nicht klar, wie sie die EU verlassen werden - ein kalter Brexit wurde befürchtet, blieb glücklicherweise aber aus. Dennoch besteht eine große Unsicherheit, was die Übermittlung von personenbezogenen Daten anbelangt. Wie wird es mit Datenübermittlungen weitergehen, wenn auch der letzte Übergangszeitraum ausläuft?
Kurz vor Ende des letzten Jahres und somit auch vor Ende der Übergangsfrist haben sich das Vereinigte Königreich und die EU gemeinsam im Rahmen eines Handels- und Zusammenarbeitsabkommens auf eine neue Übergangsregelung für Datenübermittlungen geeinigt. Während des Zeitraumes wird das Vereinigte Königreich weiterhin nicht als Drittland angesehen und an Datenübermittlungen sind keine größeren Anforderungen neben der Rechtsgrundlage zu stellen. Es wurde den Verantwortlichen somit Zeit eingeräumt, die für die Implementierung neuer Prozesse notwendig ist sowie zur Vermeidung von weiteren Rechtsunsicherheiten. Doch auch diese kurze Atempause ist bald vorbei, denn der Übergangszeitraum läuft aus. Das Vereinigte Königreich wird dann endgültig als Drittland bezeichnet. Es dreht sich dann alles um die Frage: Ist das Vereinigte Königreich ein sicheres oder ein unsicheres Drittland? Trifft die EU-Kommission mit Auslauf dieses letzten Übergangzeitraumes keine Angemessenheitsentscheidung, so wird mit Auslauf der Frist das Vereinigte Königreich als unsicheres Drittland deklariert und an Datenübermittlungen sind vonseiten der DSGVO große Anforderungen zu stellen.
"Die EU-Kommission steht somit in der Pflicht zeitnah tragfähige Adäquanzentscheidungen vorzulegen, die auch die aktuelle Rechtsprechung des Europäischen Gerichtshofs berücksichtigen", so der Landesbeauftragte für Datenschutz und Informationsfreiheit Rheinland-Pfalz, Prof. Dr. Dieter Kugelmann. Schließlich nutzt jedes siebte Unternehmen Dienstleister aus dem Vereinigten Königreich, d. h. Druck auf Seitens der EU-Kommission besteht, die Freigabe für Datentransfers zu erteilen. Ein Angemessenheitsbeschluss soll aber auch nur dann erteilt werden, wenn im Drittland ein vergleichbares Datenschutzniveau vorherrscht.
Einen konkreten Angemessenheitsbeschluss hat die EU-Kommission zwar noch nicht erlassen, möchte sich aber einsetzen, dass personenbezogene Daten in die Zielländer England, Schottland, Wales und Nordirland zunächst für vier Jahre übermittelt werden dürfen. Ein sogenannter Angemessenheitsbeschluss auf Zeit. Mit dieser zeitlichen Befristung möchte die EU-Kommission die Entwicklung des Datenschutzrechts in diesen Ländern beobachten und sich so das Recht behalten, gegebenenfalls Maßnahmen einzuleiten und neue Auflagen zu erteilen. Dieser Plan, dem Vereinigten Königreich mit Auslaufen der Übergangsfrist einen Angemessenheitsbeschluss für vier Jahre zu erteilen, stößt zuerst nicht auf die Breite Zustimmung. Der Europäische Datenschutzausschuss (EDSA) sieht aktuell noch Bedarf zum Nachjustieren, bedenklich sind vor allem die Massenüberwachungen in Großbritannien.
Beim Thema Massenüberwachungen werden viele hellhörig und ein Vergleich mit den USA liegt nahe. Schließlich möchte man vermeiden, dass ein Angemessenheitsbeschluss erneut vor dem EuGH scheitert. Um an ein mögliches Scheitern überhaupt denken zu können, ist ein Vergleich der Rechtslage notwendig:
In Großbritannien dürfen nach dem Investigatory Powers Act (IPA), der im Jahr 2016 erlassen wurde, Sicherheitsbehörden eng mit der NSA zusammenarbeiten und Eingriffe in technischen Geräte vornehmen. Beim Privacy Shield hatte der EuGH gerade bei dem Thema festgestellt, dass Massenüberwachungen durch Sicherheitsbehörden wie NSA oder das FBI nicht dem Standard der EU entsprechen. Aber Großbritannien hat im Vergleich zur USA ein Sondergericht in Form des Investigatory Powers Tribunal (IPT) eingerichtet, um den Rechtsschutz der Bürger weiter gewährleisten zu können. Zudem wurden jüngst auch spezielle Justizkommissare eingeführt, die die Aufsicht in diesem Bereich stärken sollen.
Dem EDSA reicht das Sondergericht alleine nicht aus, er erachtet weiterhin eine "unabhängige Bewertung und Aufsicht über die Verwendung automatisierter Verarbeitungsanlagen" für die erhobenen Datenmengen als notwendig. Das britische Recht soll zudem Schutzmechanismen gewährleisten, wenn es um das Offenlegen von personenbezogenen Daten an Übersee-Gebiete geht.
Weiterhin gibt es beim Datenschutzrecht in gewissen Punkten größere Unterscheidungen. So wird beispielsweise in Großbritannien eine Unterscheidung bei natürlichen Personen vorgenommen. Konkret geht es um die Ausnahmeregelung für Immigranten und ihre Folgen für die Einschränkung der Rechte der Betroffenen, Schranken für den weiteren Transfer personenbezogener Daten aus der EU sowie internationale Abkommen zwischen Großbritannien und anderen Drittstaaten. Eine Prüfung inwiefern der Gleichheitsgrundsatz gewahrt wird, ist an dieser Stelle notwendig (die Grundrechtsprüfung wird an dieser Stelle nicht vorgenommen, es geht vorliegend nur um die Information/den Vergleich der Gesetze).
Trotz all dem muss betont werden, dass das Vereinigte Königreich die Datenschutz-Grundverordnung sowie die Richtlinie für Datenschutz bei Polizei und Justiz 2018 noch ins nationale Recht umgesetzt hat. Bei der Umsetzung musste sich das Vereinigte Königreich somit an das große Rahmenwerk DSGVO sowie JI-Richtlinie halten. Größere Abweichungen, die ein starkes Ungleichgewicht in das Datenschutzniveau zwischen der EU und dem Vereinigten Königreich bringen, waren und sind erstmal nicht möglich. Dies hat zur Folge, dass die aktuellen Datenschutz-Rahmenwerke aus der EU und dem Vereinigten Königreich somit in vielen Punkten übereinstimmen.
Der EDSA kommt mittlerweile zur gleichen Einschätzung und erkennt, dass im Vereinigten Königreich vorerst ein angemessenes Schutzniveau gewährleistet wird. Lobenswert wäre auch die zeitliche Befristung durch die EU-Kommission, denn so können die Entwicklungen im Vereinigten Königreich genau beobachtet werden. Somit steht einem zeitlich begrenzten Angemessenheitsbeschluss durch die EU-Kommission nichts mehr im Wege. Für Unternehmen heißt es also weiterhin: Durchatmen ist möglich, aber die Gewissheit, dass Datenübermittlungen für längere Zeit möglich sind, wird man so schnell nicht bekommen.
Datenübermittlung Drittland EuropäischeUnion Brexit DSGVO