Die EU-Kommission hat heute den langersehnten, zuletzt scharf kritisierten Angemessenheitsbeschluss für Großbritannien knapp vor Ende der Übergangsfrist (30.6.2021) angenommen. Damit gilt UK auch weiterhin als Drittland mit angemessenem Datenschutzniveau.
Wie bereits von unseren DORDA Datenschutzexperten aufgearbeitet (DORDA Datenschutz Newsletter), hatte der Brexit auch große Auswirkungen auf die bestehenden Datentransfers von und an Unternehmen mit Sitz im Vereinigten Königreich. Seit dem Austritt aus der Europäischen Union zum 31.12.2020 gilt Großbritannien nämlich datenschutzrechtlich als Drittland und bedarf es daher grundsätzlich zusätzlicher geeigneter Garantien iSd Art 44 ff DSGVO. Die bisherige Gleichstellung auf Basis der Übergangsregelung im Abkommen zwischen der EU und Großbritannien, die eine mit dem US Datentransfer vergleichbare Rechtsunsicherheit vermeiden sollte, endet bereits kommenden Mittwoch am 30.6.2021. Die EU-Kommission hat nun gerade noch rechtzeitig den seit Februar 2021 vorliegenden Angemessenheitsbeschluss final veröffentlicht und damit in Kraft gesetzt:
UK als sicheres Drittland
Der nun erlassene Angemessenheitsbeschluss gilt ab sofort und für die nächsten vier Jahre, sohin bis zum 27.6.2025. Inhaltlich hat sich die EU-Kommission dabei mit den zahlreichen kritischen Stimmen – gerade in Zusammenhang mit den durchaus mit den USA vergleichbaren Überwachungsinstrumenten – auseinandergesetzt: So trägt der Angemessenheitsbeschluss den Bedenken und Erkenntnissen der Schrems II Entscheidung Rechnung und sieht ua vor, dass Anordnungen auf Datenzugriffe nur bei berechtigten Interessen an der Rechtsdurchsetzung und Beweissicherung ausgestellt werden dürfen. Wesentlicher Unterschied zur Rechtslage in den USA ist aber vor allem die effektive Möglichkeit zur Erhebung eines Rechtsmittels gegen derartige Beschlüsse. Darüber hinaus geht die Finalfassung im Vergleich zum Vorentwurf aber auch gezielter auf die Gemeinsamkeiten zwischen den UK- und EU-Datenschutzregelungen ein. Das ist nur konsistent, schließlich wurde das europäische Datenschutzregime auch maßgeblich durch Guidelines und Rechtsprechung der ICO, der Datenschutzbehörde von Großbritannien, geprägt und hat UK die DGSVO in Britisches Recht übernommen.
Was bedeutet das nun für europäische Unternehmen?
Großbritannien reiht sich mit dem Angemessenheitsbeschluss in die mittlerweile bereits anschauliche Liste an sicheren Drittstaaten ein. Damit besteht für den Datentransfer mit UK kein Bedarf am Abschluss von weiteren SCC, BCR oder der Durchführung rechtsvergleichender Risikoabwägungen, wie zuletzt von den neuen Guidelines des EDSA für unsichere Drittstaaten festgeschrieben (DORDA Datenschutz Newsletter). Unternehmen müssen allerdings weiterhin
- mit UK Auftragsverarbeitern Auftragsverarbeitungsvereinbarungen nach Art 28 DSGVO abschließen bzw bestehende aktualisieren;
- einen Vertreter in Großbritannien bestellen, sofern sie in Anlehnung an Art 27 DSGVO der UK GDPR unterliegen;
- ihre DSGVO-Dokumentation aktualisieren, wie etwa
- das Verarbeitungsverzeichnis (Empfänger in Drittländern);
- die Datenschutzhinweise iSd Art 13 und 14 DSGVO; sowie
- bestehende Datenschutz-Folgeabschätzungen.
Insgesamt bringt der kurz vor 12 angenommene Angemessenheitsbeschluss daher eine große Erleichterung für alle datengetriebene Geschäftsmodelle und den Einsatz von IT-Lösungen von britischen Anbietern. Damit konnte dieses Kapitel des Brexit-Krimis am Ende sinnvoll und zukunftsorientiert geschlossen werden.