Ange­mes­sen­heits­be­schluss: Das Ver­ei­nig­te König­reich gilt ab sofort als siche­res Drittland

Die EU-Kommission hat ver­gan­ge­ne Woche zwei Ange­mes­sen­heits­be­schlüs­se für den Daten­aus­tausch zwi­schen der EU und dem Ver­ei­nig­ten König­reich (UK) ange­nom­men. Die Ange­mes­sen­heits­be­schlüs­se erfolg­ten sowohl im Rah­men der Daten­schutz­grund­ver­ord­nung (DSGVO) als auch im Rah­men der Richt­li­nie zum Daten­schutz bei der Strafverfolgung.

Bedeu­tung des Brexits für den Datenaustausch

Durch den “Brexit” ist das Ver­ei­nig­te König­reich seit dem 01.01.2021 nicht mehr Mit­glied der EU oder des Euro­päi­schen Wirt­schafts­raums (EWR). Aus daten­schutz­recht­li­cher Sicht ist es daher beim Daten­aus­tausch mit der EU grund­sätz­lich als sog. Dritt­land zu qua­li­fi­zie­ren. Unter­neh­men, die per­so­nen­be­zo­ge­ne Daten in das Ver­ei­nig­te König­reich über­mit­teln, müs­sen des­halb die Art. 44 ff. DSGVO beach­ten. Die­se sol­len gewähr­leis­ten, dass per­so­nen­be­zo­ge­ne Daten auch in Dritt­län­der einem ange­mes­se­nen Schutz­ni­veau unter­lie­gen, das der DSGVO ent­spricht. Die Fest­stel­lung eines ange­mes­se­nen Daten­schutz­ni­veaus kann bei­spiels­wei­se durch einen Ange­mes­sen­heits­be­schluss der EU-Kommission nach Art. 45 Abs. 3 DSGVO erfolgen. 

Aus­wir­kun­gen der Angemessenheitsbeschlüsse

Durch die Ange­mes­sen­heits­be­schlüs­se, die bereits unmit­tel­bar in Kraft getre­ten sind, stellt die EU-Kommission fest, dass auch nach dem Brexit im Ver­ei­nig­ten König­reich ein Schutz­ni­veau für per­so­nen­be­zo­ge­ne Daten gilt, das dem nach dem EU-Recht garan­tier­ten Schutz­ni­veau ent­spricht. Durch sie wird der Aus­tausch per­so­nen­be­zo­ge­ner Daten zwi­schen dem Ver­ei­nig­ten König­reich und der EU zunächst für län­ge­re Zeit daten­schutz­recht­lich sichergestellt.

Vor­tei­le der Angemessenheitsbeschlüsse

Auf­grund der Ange­mes­sen­heits­be­schlüs­se kann – anders als bei Daten­über­mitt­lun­gen in die USA – beim Daten­aus­tausch mit dem Ver­ei­nig­ten König­reich zunächst auf den Abschluss von Stan­dard­ver­trags­klau­seln ver­zich­tet wer­den. Auf­wen­di­ge Risi­ko­ana­ly­sen, die im Rah­men der Stan­dard­ver­trags­klau­seln vor­ge­nom­men wer­den müs­sen, blei­ben Unter­neh­men so erspart.

Künf­ti­ge Entwicklungen

Die Ange­mes­sen­heits­be­schlüs­se sind auf eine Gel­tungs­dau­er von vier Jah­ren begrenzt (sog. Ver­falls­klau­sel). Die EU-Kommission plant in die­sem Zeit­raum, die Rechts­la­ge im Ver­ei­nig­ten König­reich wei­ter­hin zu beob­ach­ten und bei Abwei­chun­gen von dem bestehen­den Daten­schutz­ni­veau ein­zu­grei­fen. Hin­ter­grund ist, dass von Kri­ti­kern eines Ange­mes­sen­heits­be­schlus­ses bereits jetzt bemän­gelt wur­de, dass die Zugriffs­be­fug­nis­se für Sicher­heits­be­hör­den im Ver­ei­nig­ten König­reich mit den vom EuGH in der “Schrems II”-Entscheidung kri­ti­sier­ten Befug­nis­sen der US-Sicherheitsbehörden ver­gleich­bar sei­en. Dass zukünf­tig auch der Daten­aus­tausch mit dem Ver­ei­nig­ten König­reich pro­ble­ma­tisch wer­den könn­te, ist daher nicht völ­lig aus­zu­schlie­ßen. Bis auf Wei­te­res erlaubt der neue Ange­mes­sen­heits­be­schluss jedoch einen rechts­si­che­ren Daten­aus­tausch zwi­schen der EU und dem Ver­ei­nig­ten Königreich.

Daten­aus­tausch mit ande­ren Drittländern

Auf Daten­über­mitt­lun­gen in ande­re Dritt­län­der, wie z. B. die USA, hat der Ange­mes­sen­heits­be­schluss kei­ne Aus­wir­kun­gen. Hier müs­sen Unter­neh­men wei­ter­hin ins­be­son­de­re die neu­en Emp­feh­lun­gen des Euro­päi­schen Daten­schutz­aus­schus­ses zu “Schrems II”, die neu­en Stan­dard­da­ten­schutz­klau­seln sowie die lau­fen­den Prüf­ak­tio­nen der deut­schen Daten­schutz­auf­sichts­be­hör­den beachten.

Mel­den Sie sich ger­ne jeder­zeit, wenn Sie Fra­gen im Zusam­men­hang mit Ihren bestehen­den Dritt­lands­über­mitt­lun­gen haben.