EU-Kommission billigt Datenaustausch mit Großbritannien
Immer mehr personenbezogene Daten werden auf Servern in der Cloud gespeichert. Diese Daten können nun bis auf Weiteres ungehindert zwischen der Europäischen Union und dem Vereinigten Königreich fließen, obwohl dieses kein Mitglied der EU mehr ist. So hat es die EU-Kommission am 28. Juni 2021 beschlossen und den Schutz personenbezogener Daten durch das Vereinigte Königreich für angemessen erklärt.
Damit hat die Kommission kurz vor dem Ablauf der Übergangsfrist den Weg für den weiteren Datenaustausch frei gemacht. Als Begründung führt sie an, dass das Datenschutzsystem des Vereinigten Königreichs weiterhin auf denselben Regeln basiere, die galten, als es noch Mitgliedstaat der EU war. Das Vereinigte Königreich habe die Grundsätze, Rechte und Pflichten der DSGVO und der Richtlinie zum Datenschutz bei der Strafverfolgung vollumfänglich in sein heutiges, seit dem Brexit geltendes Rechtssystem übernommen. Die Entscheidung erspart den Unternehmen, die Daten im Vereinten Königreich speichern, die aufwendige Einzelfallprüfung, die zurzeit viele Datentransfers in andere Drittstaaten betrifft.
Geltungsdauer begrenzt
Allerdings enthält der Beschluss erstmals eine Verfallsklausel, durch die seine Geltungsdauer strikt begrenzt wird: Er läuft vier Jahre nach seinem Inkrafttreten aus. Danach kann er erneuert werden, falls das Vereinigte Königreich weiterhin ein angemessenes Datenschutzniveau sicherstellt.
Während dieser vier Jahre hat die Kommission die Möglichkeit, die Rechtslage im Vereinigten Königreich weiterhin im Blick zu behalten und jederzeit eingreifen zu können, falls Großbritannien von dem derzeit bestehenden Datenschutzniveau abweicht.
Nicht nur Zustimmung
Eine eher abwartende Haltung nimmt der Europäische Datenschutzausschuss (EDSA) ein, in dem die Vertreter aller nationalen Datenschutzaufsichtsbehörden versammelt sind. In seinen Empfehlungen zum Entwurf der Kommission klingt die Skepsis an, ob das Datenschutzniveau wirklich als angemessen im Verhältnis zum EU-Standard eingestuft werden kann. Der EDSA verpflichtet den Datenexporteur zu einer individuellen Risikoanalyse bei der Datenübertragung in Drittländer.
Auch ist es möglich, dass sich der Europäische Gerichtshof (EuGH) einmischt, wie dies beim Datenaustausch zwischen der EU und den USA geschehen ist. Der EuGH hatte am 6. Oktober 2015 das sogenannte Save Harbour-Abkommen für ungültig erklärt. Auch die Nachfolgeregelung EU-US Privacy Shield wurde am 16. Juli 2020 vom EuGH gekippt.
Kritiker sehen im Vereinigten Königreich eine Tendenz zu einer ausgedehnten elektronischen Massenüberwachung. Sie bemängeln den fehlenden Rechtsschutz zugunsten der EU-Bürger. Zudem kann Großbritannien bilaterale Verträge mit anderen Drittländern abschließen, die niedrigere Schutzvorkehrungen haben. Damit lässt sich die Weiterleitung personenbezogener Daten von EU-Bürgern in ein anderes Drittland nicht mehr grundsätzlich ausschließen. Gerade die Nähe zu den USA bietet die Möglichkeit, dass Daten die strengen Vorgaben des EuGH für einen Direkttransfer nicht erfüllen.
Wachsam bleiben
Unternehmen können auf der Basis der Angemessenheitsbeschluss weiterhin ohne großen Aufwand personenbezogene Daten zwischen EU und Großbritannien austauschen. Sie sollten aber die weitere Entwicklung genau beobachten. Es ist nicht ausgeschlossen, dass sich der EuGH einmischt und gegen den Beschluss vorgeht. Das hätte zur Folge, dass wie aktuell in den USA bei jedem Einzelfall die Voraussetzungen für eine rechtskonforme Übermittlung aufwändig geprüft und dokumentiert werden müssten.
Wir beraten Unternehmen beim Aufbau von datenschutzkonformen Lösungen, unterstützen sie bei einer detaillierten Risikobewertung des Datenaustauschs mit Drittländern und bei der Implementierung der neuen Standardvertragsklauseln. Dank starker fachlicher Verzahnung zwischen IT-, Datenschutzrecht und Gewerblichem Rechtsschutz können wir in allen Teilbereichen fundierte Lösungen bieten.
Danielle Hertneck, Fachanwältin für IT-Recht, Fachanwältin für Gewerblichen Rechtsschutz
hertneck@web-partner.de