Die EU-Kommission hat am 28. Juni 2021 einen Angemessenheitsbeschluss gem. Art. 45 DSGVO für das Vereinigte Königreicht UK erlassen, wodurch es als sicheres Drittland anerkannt wird. Somit können personenbezogene Daten auch nach dem Brexit ungehindert von der EU ins Vereinigte Königreich transferiert werden. Trotz zentraler Bedeutung für die britische Wirtschaft, bleibt der Angemessenheitsbeschluss von der Kritik nicht ganz verschont.
Temporärer Datentransfer nach dem Brexit
Mit dem Austritt des Vereinigten Königreichs aus der EU wäre dieses aus datenschutzrechtlicher Sicht zu einem Drittland erklärt worden. Demnach hätten nur unter den strikten Voraussetzungen von Art. 44 ff. DSGVO personenbezogene Daten ins Vereinigte Königreich übermittelt werden dürfen. Britische Unternehmen und Organisationen wären somit nicht mehr in den Genuss des ungehinderten Datentransfers innerhalb des EU-Binnenmarktes gekommen. Der Abstieg des Vereinigten Königreichs in ein sog. unsicheres Drittland wurde dabei nur knapp verhindert.
Denn gemäss dem Brexit-Abkommen vom 31.Dezember 2020 galt das Vereinigte Königreich lediglich während einer Übergangsfrist von vier Monaten, also zunächst bis zum 30. April 2021 nicht als Drittland im Sinne der DSGVO. Kurz vor Fristablauf ratifizierte das EU-Parlament allerdings das Brexit-Handelsabkommen, sodass sich die datenschutzrechtliche „EU-Fiktion“ bis zum 30. Juni 2021 verlängerte. So gelang es der EU-Kommission mit ihrem Angemessenheitsbeschluss vom 27. Juni 2021 gerade noch rechtzeitig das Vereinigte Königreich als Drittland mit angemessenem Datenschutzniveau im Sinne von Art. 45 DSGVO zu benennen.
Diese Einstufung war insofern von zentraler Bedeutung für den Handel und sonstige Wirtschaftsbeziehungen zwischen der EU und dem Inselstaat, als der Datentransfers in das Vereinigte Königreich ab dem 1. Juni 2021 grundsätzlich nur unter strengen Voraussetzungen von Art. 46 DSGVO möglich gewesen wäre. Demnach ist die Übermittlung personenbezogener Daten in ein Drittland ohne Angemessenheitsbeschluss nur bei Bestand geeigneter Garantien, wie diese mittels Standarddatenschutzklauseln gegeben sind, möglich.
Die Erfüllung der Voraussetzungen eines sicheren Drittlandes schien für das Vereinigte Königreich grundsätzlich nicht strittig, da sie wesentliche Teile der EU-Datenschutzregelungen und -prinzipien in die UK-GDPR übernommen hatte.
Das Data Protection Act 2018 (DPA 2018) legt hierbei den Rahmen für das Datenschutzrecht im Vereinigten Königreich fest. Dieses Rahmengesetz steht neben der UK GDPR und ergänzt diese, z.B. durch Statuierung von Ausnahmen. Die UK GDPR ist das britische Pendant zur DSGVO und trat am 1. Januar 2021 in Kraft. Sie basiert auf der europäischen DSGVO und legt die wichtigsten Grundsätze, Rechte und Pflichten für die meisten Verarbeitungen personenbezogener Daten im Vereinigten Königreich fest, mit Ausnahme für Strafverfolgungsbehörden und Geheimdiensten.
Kritische Stimmen zum Angemessenheitsbeschluss
Nebst den augenfälligen Übereinstimmungen zwischen der DSGVO und UK GDPR bestehen jedoch gegenüber der Angemessenheit des Schutzniveaus auch Bedenken. Der europäische Datenschutzaussschuss zeigte bereits in seiner Stellungnahme zum Entwurf des Angemessenheitsbeschlusses Herausforderungen auf, die weiterhin kritisch untersucht werden müssen. So wurden Bedenken unter anderem dahingehend geäussert, ob die UK-Gesetze ausreichend regulieren, dass ein Datentransfer in andere Drittstaaten ebenfalls ein hinreichendes Datenschutzniveau für personenbezogene Daten und Betroffenenrechte gewährleisten.
Der Rechtsgedanke von Art. 44 ff. DSGVO müsste sich also auch in der UK GDPR wiederfinden.
Auch wurde gerügt, dass es Ausnahmeregelungen für die Zwecke der Einwanderungskontrolle gibt, wodurch Betroffenenrechte eingeschränkt werde. Dies ist wohl auch der Grund weshalb Datenübermittlungen zu diesem Zwecke derzeit vom Anwendungsbereich des erlassenen Angemessenheitsbeschlusses ausgenommen sind. Sodann sind die Überwachungsgesetze, wie der in Kraft getretene Investigatory Powers Act von 2016, kritisch zu betrachten, da dieser weitreichende Überwachungsbefugnisse britischer Geheimdienste ermöglicht.
Trotz dieser Kritiken können Unternehmen, die personenbezogene Daten ins Vereinigte Königreich übermitteln, aufatmen. Denn solange der Angemessenheitsbeschluss besteht, darf der Datenexporteur von einem angemessenen Schutzniveau ausgehen und muss nicht weitere Massnahmen nach Art. 44 ff. DSGVO überprüfen. Der Angemessenheitsbeschluss besitzt vorläufig mindestens bis am 27. Juni 2025 Gültigkeit.