alexlmx - Fotolia
Datenschutzniveau in Drittstaaten wie UK im Blick behalten
Die Angemessenheitsbeschlüsse für Datentransfers an das Vereinigte Königreich sind ein wichtiges Datenschutzinstrument. Doch das Datenschutzniveau in UK könnte sich bald ändern.
Im Juni 2021 hatte die EU-Kommission Angemessenheitsbeschlüsse zum Vereinigten Königreich angenommen. Damit wird ausgesagt, dass dort ein Schutzniveau im Datenschutz gilt, das dem nach dem EU-Recht garantierten Schutzniveau der Sache nach gleichwertig ist.
Personenbezogene Daten können seitdem ungehindert aus der Europäischen Union in das Vereinigte Königreich fließen, wie die EU-Kommission erklärte.
Datenschützer haben allerdings auf Punkte hingewiesen, die man im Blick behalten muss. So berichtet der Bundesdatenschutzbeauftragte in seinem aktuellen Tätigkeitsbericht:
In der Stellungnahme zur Angemessenheit im Vereinigten Königreich stellt der EDSA (Europäische Datenschutzausschuss) fest, dass sich die datenschutzrechtlichen Rahmen der EU und des Vereinigten Königreichs in Kernbereichen stark ähneln.
Dennoch empfiehlt der EDSA, einzelne Punkte genau zu untersuchen beziehungsweise zu überwachen, zum Beispiel bei der Ausnahmeregelung für den Einwanderungsbereich und ihre Wirkungen auf die Rechte der betroffenen Personen geltenden Beschränkungen.
Věra Jourová, Vizepräsidentin der EU-Kommission, zuständig für Werte und Transparenz, erklärte im Juni 2021 dazu: „Das Vereinigte Königreich ist zwar aus der EU ausgetreten, aber seine rechtlichen Bestimmungen zum Schutz personenbezogener Daten sind noch die alten. Aus diesem Grund haben wir heute diese beiden Angemessenheitsbeschlüsse angenommen. Zugleich haben wir die Bedenken, die vom Parlament, von den Mitgliedstaaten und vom Europäischen Datenschutzausschuss unter anderem hinsichtlich möglicher künftiger Abweichungen von unseren Standards im Datenschutzrahmen des Vereinigten Königreichs geäußert worden sind, sehr aufmerksam zur Kenntnis genommen. Es geht hier um ein Grundrecht der EU-Bürgerinnen und -Bürger, das wir schützen müssen. Aus diesem Grund haben wir umfangreiche Garantien vorgesehen, und falls sich auf Seiten des Vereinigten Königreichs die Gegebenheiten ändern, werden wir sofort eingreifen.“
Nun gibt es aber weitere Entwicklungen, die das Datenschutzniveau im Vereinigten Königreich deutlich verändern könnten.
Veränderungen im Datenschutz des Vereinigten Königreichs stehen an
Im Vereinigten Königreich gibt es insbesondere die UK GDPR als Umsetzung der DSGVO (Datenschutz-Grundverordnung), neben anderen Datenschutzgesetzen.
Nun plant die Regierung von UK aber einige Änderungen im Datenschutz, die die UK GDPR stärker entfernen könnte von der GDPR der EU. Die geplanten Reformen sollen dem Vereinigten Königreich die Möglichkeit bieten, seinen Regulierungsansatz außerhalb der EU neu zu gestalten und Chancen mit seinen neuen Regulierungsfreiheiten zu nutzen, so die Regierung des Vereinigten Königreichs.
Dies umfasse die Nutzung von „Angemessenheits“-Befugnissen der EU, um unangemessene Hindernisse für den Fluss personenbezogener Daten aus dem Vereinigten Königreich ins Ausland zu beseitigen, um den Handel, die wissenschaftliche Zusammenarbeit und die nationale Sicherheit und die Zusammenarbeit bei der Strafverfolgung zu unterstützen.
Für die weitere Beurteilung einer Übermittlung personenbezogener Daten in das Drittland UK wird es wichtig sein, die Entwicklung der geplanten Data Protection and Digital Information Bill zu beobachten, denn ändert sich das Datenschutzniveau im Vergleich zur GDPR der EU, müsste auch der Angemessenheitsbeschluss hinterfragt werden.
Hinweise der Aufsichtsbehörden zu möglichen Folgen
Der Bundesdatenschutzbeauftragte erklärte bei einer Online-Konferenz der British-German Association: „Ich hoffe sehr – und bitte verzeihen Sie mir meine Offenheit – dass das Datenschutzniveau weiterhin dem der Europäischen Union entspricht und dass die britische Regierung diese Grundlagen nicht erschüttern wird“.
Einige der Kommentare des britischen Digitalministers ließen jedoch ernsthafte Zweifel aufkommen, die Folgen wären verheerend für beide Seiten, so der Bundesdatenschutzbeauftragte.
Ein mit der DSGVO vergleichbarer Schutz bedeute nicht zwangsläufig ein Hindernis für die britische Regierung bei der Verfolgung des Entwicklungsziels globaler Partnerschaften, um britischen Unternehmen den Datenaustausch mit wichtigen Märkten und schnell wachsenden Volkswirtschaften zu erleichtern. Es sei wichtig, dass das Datenschutzniveau in diesen Partnerschaften eingehalten wird, dass es ein entsprechendes Niveau erreiche, das mit dem der DSGVO vergleichbar ist.
Es zeigt sich: Wer dachte, die Diskussion nach dem Brexit zu den Datenübermittlungen in das Vereinigte Königreich sei nun endgültig Geschichte, könnte sich irren. Die bestehenden Angemessenheitsbeschlüsse enthalten Regelungen für den Fall etwaiger künftiger Abweichungen, darunter eine Verfallsklausel, durch die ihre jeweilige Geltungsdauer auf vier Jahre begrenzt wird.
Je nach weiterer Entwicklung in UK könnten sich entsprechende Abweichungen ergeben.