Das Vereinigte Königreich – endlich sicheres Drittland?

Datenschutz in UK und EU

Am 28.06.2021 verkündete die Europäische Kommission ihren Angemessenheitsbeschluss für das Vereinigte Königreich. Genauer gesagt handelt es sich dabei um zwei Beschlüsse. Ein Beschluss betrifft nämlich die Angemessenheit im Rahmen der DSGVO, der andere erging im Rahmen der Richtlinie zum Datenschutz bei der Strafverfolgung, der sogenannten JI-Richtlinie (EU/2016/680). Das Vereinigte Königreich ist damit ab dem 01.07.2021 ein sicheres Drittland im Sinne des Art. 45 Abs. 3 DSGVO. Damit kann ein ungehinderter Datentransfer von der EU in das Vereinigte Königreich erfolgen, ohne dass es weiterer Maßnahmen, wie etwa Standardvertragsklauseln, bedarf.

Die Angemessenheitsbeschlüsse gelten erstmals zeitlich begrenzt für die Dauer von vier Jahren. Danach überprüft die Europäische Kommission erneut, ob die Voraussetzungen für die Angemessenheitsbeschlüsse (noch) vorliegen. Die Kommission möchte sich so Handlungsspielraum verschaffen, falls sich das Datenschutzniveau im Vereinigten Königreich ändern sollte. Besorgt sind Datenschützer in erster Linie aufgrund der starken geheimdienstlichen Befugnisse der Behörden im Vereinigten Königreich.

Gemäß Art. 45 Abs. 3 DSGVO und Art. 36 Abs. 3 der JI-Richtlinie kann die Kommission beschließen, dass ein Drittland ein angemessenes Schutzniveau bietet. Maßgeblich hierfür ist, dass der Schutz personenbezogener Daten im Drittland dem in der EU geltenden Schutzniveau im Wesentlichen gleichwertig ist. Dies sah die EU-Kommission offensichtlich als gegeben an.

Der Datenschutz im Vereinigten Königreich basiert dabei vor allem auf der UK GDPR und dem Data Protection Act von 2018. Beide Gesetze beruhen auf der DSGVO und der JI-Richtlinie. Sie beinhalten im Wesentlichen die gleichen Definitionen, Rechtsgrundlagen, Rechtsbehelfe für Betroffene und sehen unabhängige Aufsichtsbehörden vor.

Die Entwürfe der Angemessenheitsbeschlüsse wurden bereits im Februar 2021 von der Kommission veröffentlicht. Anschließend wurde das Annahmeverfahren eingeleitet und die Zustimmung der Vertreter der EU-Mitgliedsstaaten eingeholt. Dabei stand die Kommission in engem Kontakt mit dem Europäischen Datenschutzausschuss EDSA.

Der Angemessenheitsbeschluss bringt zunächst einmal Sicherheit in den internationalen Datenverkehr. Kritisch zu bewerten ist allerdings, dass Datenübermittlungen im Rahmen der Einwanderungskontrolle aus dem sachlichen Anwendungsbereich des Angemessenheitsbeschlusses im Rahmen der DSGVO ausgenommen sind. Hier bedarf es daher zusätzlicher Maßnahmen um die Rechtmäßigkeit eines Datentransfers sicherzustellen.

Abzuwarten bleibt auch, wie sich Bürgerrechtsvereinigungen wie z.B. die österreichische noyb, die regelmäßig strategische Klagen im Datenschutz anstrengt, zu den Angemessenheitsbeschlüssen positionieren werden. Die Angemessenheitsbeschlüsse unterliegen der gerichtlichen Kontrolle des EuGH und können von diesem für nichtig erklärt werden, sollten Betroffene eine Klage gegen die Beschlüsse verfolgen.

Problematisch zu betrachten sind auch die in Großbritannien herrschenden Überwachungsgesetze. Großbritannien ist nämlich Teil der sogenannten „Five Eyes“-Gemeinde. Dort sind die Geheimdienste Australiens, Kanadas, Neuseelands, der USA und des Vereinigten Königreichs vernetzt und teilen dort ihre Erkenntnisse und Informationen. Gerade die Datenweitergabe an US-amerikanische Geheimdienste ist Datenschützern regelmäßig ein Dorn im Auge. Diese Bedenken teilt nicht zuletzt auch der baden-württembergische Datenschutzbeauftragte Stefan Brink.

Zu begrüßen ist jedoch, dass UK mit dem Investigatory Powers Tribunal (IPT) ein Sondergericht eingerichtet hat. Dort können Betroffene zukünftig Klagen gegen den Einsatz von Überwachungs-maßnahmen durch Geheimdienste des Vereinigten Königreichs erhoben werden. Das IPT ist damit die einzige gerichtliche Instanz, die befugt ist, den Security Service (MI5), den Secret Intelligence Service (MI6) und das Government Communications Headquarter (GCHQ) zu überwachen. Für die Zukunft bleibt abzuwarten, ob und wenn ja, welche weiteren Maßnahmen die Europäische Kommission vom Vereinigten Königreich verlangen wird, um ein angemessenes Datenschutzniveau sicherzustellen. Zum gegenwärtigen Zeitpunkt gilt der Angemessenheitsbeschluss.