Angemessenheitsbeschluss: Das Vereinigte Königreich gilt ab sofort als sicheres Drittland

Stefan Hessel

Die EU-Kommission hat vergangene Woche zwei Angemessenheitsbeschlüsse für den Datenaustausch zwischen der EU und dem Vereinigten Königreich (UK) angenommen. Die Angemessenheitsbeschlüsse erfolgten sowohl im Rahmen der Datenschutzgrundverordnung (DSGVO) als auch im Rahmen der Richtlinie zum Datenschutz bei der Strafverfolgung.

Bedeutung des Brexits für den Datenaustausch

Durch den "Brexit" ist das Vereinigte Königreich seit dem 01.01.2021 nicht mehr Mitglied der EU oder des Europäischen Wirtschaftsraums (EWR). Aus datenschutzrechtlicher Sicht ist es daher beim Datenaustausch mit der EU grundsätzlich als sog. Drittland zu qualifizieren. Unternehmen, die personenbezogene Daten in das Vereinigte Königreich übermitteln, müssen deshalb die Art. 44 ff. DSGVO beachten. Diese sollen gewährleisten, dass personenbezogene Daten auch in Drittländer einem angemessenen Schutzniveau unterliegen, das der DSGVO entspricht. Die Feststellung eines angemessenen Datenschutzniveaus kann beispielsweise durch einen Angemessenheitsbeschluss der EU-Kommission nach Art. 45 Abs. 3 DSGVO erfolgen. 

Auswirkungen der Angemessenheitsbeschlüsse

Durch die Angemessenheitsbeschlüsse, die bereits unmittelbar in Kraft getreten sind, stellt die EU-Kommission fest, dass auch nach dem Brexit im Vereinigten Königreich ein Schutzniveau für personenbezogene Daten gilt, das dem nach dem EU-Recht garantierten Schutzniveau entspricht. Durch sie wird der Austausch personenbezogener Daten zwischen dem Vereinigten Königreich und der EU zunächst für längere Zeit datenschutzrechtlich sichergestellt.

Vorteile der Angemessenheitsbeschlüsse

Aufgrund der Angemessenheitsbeschlüsse kann – anders als bei Datenübermittlungen in die USA – beim Datenaustausch mit dem Vereinigten Königreich zunächst auf den Abschluss von Standardvertragsklauseln verzichtet werden. Aufwendige Risikoanalysen, die im Rahmen der Standardvertragsklauseln vorgenommen werden müssen, bleiben Unternehmen so erspart.

Künftige Entwicklungen

Die Angemessenheitsbeschlüsse sind auf eine Geltungsdauer von vier Jahren begrenzt (sog. Verfallsklausel). Die EU-Kommission plant in diesem Zeitraum, die Rechtslage im Vereinigten Königreich weiterhin zu beobachten und bei Abweichungen von dem bestehenden Datenschutzniveau einzugreifen. Hintergrund ist, dass von Kritikern eines Angemessenheitsbeschlusses bereits jetzt bemängelt wurde, dass die Zugriffsbefugnisse für Sicherheitsbehörden im Vereinigten Königreich mit den vom EuGH in der "Schrems II"-Entscheidung kritisierten Befugnissen der US-Sicherheitsbehörden vergleichbar seien. Dass zukünftig auch der Datenaustausch mit dem Vereinigten Königreich problematisch werden könnte, ist daher nicht völlig auszuschließen. Bis auf Weiteres erlaubt der neue Angemessenheitsbeschluss jedoch einen rechtssicheren Datenaustausch zwischen der EU und dem Vereinigten Königreich.

Datenaustausch mit anderen Drittländern

Auf Datenübermittlungen in andere Drittländer, wie z. B. die USA, hat der Angemessenheitsbeschluss keine Auswirkungen. Hier müssen Unternehmen weiterhin insbesondere die neuen Empfehlungen des Europäischen Datenschutzausschusses zu "Schrems II", die neuen Standarddatenschutzklauseln sowie die laufenden Prüfaktionen der deutschen Datenschutzaufsichtsbehörden beachten.

Melden Sie sich gerne jederzeit, wenn Sie Fragen im Zusammenhang mit Ihren bestehenden Drittlandsübermittlungen haben.

[Juli 2021]