donfiore - Fotolia
Was Datenschützer zum Datenschutzniveau in UK sagen
Die EU-Kommission plant einen Angemessenheitsbeschluss für das Datenschutzniveau in UK. Die Aufsichtsbehörden für den Datenschutz und das EU-Parlament melden Bedenken an.
Wir erinnern uns: Die EU-Kommission hatte im Februar 2021 das Verfahren zu Übermittlungen personenbezogener Daten aus der EU in das Vereinigte Königreich eingeleitet. Nach gründlicher Überprüfung war die EU-Kommission zu dem Schluss gelangt, dass im Vereinigten Königreich ein angemessenes Datenschutzniveau gewährleistet wird.
Im nächsten Schritt wurde der Europäische Datenschutzausschuss um eine Stellungnahme gebeten. Auch die Mitgliedstaaten müssen im sogenannten Komitologieverfahren ihre Zustimmung geben. Anschließend könnte die Europäische Kommission die endgültigen Angemessenheitsbeschlüsse zum Vereinigten Königreich annehmen.
Viele Unternehmen hoffen auf diese Lösung, da der Brexit Fragen zum Datenschutz aufgeworfen hat, die geklärt sein müssen, wenn nach Ablauf der Übergangsfrist Mitte des Jahres 2021 und ohne andere Rechtsgrundlagen weiterhin eine Datenübermittlung personenbezogener Daten nach UK stattfinden soll.
In einer Entschließung fordern die Abgeordneten des EU-Parlaments nun aber die Europäische Kommission auf, ihre Entscheidungsentwürfe über die Gleichwertigkeit des Datenschutzes in UK zu ändern. Die EU-Abgeordneten erklärten, dass die Bewertung, die die Europäische Kommission vor der Vorlage ihres Entwurfs vorgenommen hat, unvollständig ist.
Was das EU-Parlament kritisch sieht
In der aktuellen Entschließung des EU-Parlaments heißt es, dass der grundlegende Datenschutzrahmen des Vereinigten Königreichs dem der EU ähnlich ist, er gibt jedoch Anlass zu Bedenken hinsichtlich seiner Umsetzung. Insbesondere enthält das britische Regime Ausnahmen in den Bereichen nationale Sicherheit und Einwanderung, die nun auch für EU-Bürgerinnen und EU-Bürger gelten, die im Vereinigten Königreich bleiben oder sich niederlassen möchten.
Die aktuelle britische Gesetzgebung erlaubt auch den Zugriff und die Speicherung von Massendaten, ohne dass eine Person der Begehung einer Straftat verdächtigt wird, und ein EU-Gericht (Große Kammer des Europäischen Gerichtshofs für Menschenrechte) hat festgestellt, dass dieser wahllose Zugriff nicht mit der Datenschutz-Grundverordnung (DSGVO) vereinbar ist. Schließlich betonen die EU-Abgeordneten, dass Bestimmungen zu Metadaten den sensiblen Charakter solcher Daten nicht widerspiegeln und daher irreführend sind.
Die EU-Abgeordneten sorgen sich aber auch wegen der Weiterleitung von Daten. Die Vereinbarungen des Vereinigten Königreichs über die gemeinsame Nutzung von Daten mit den USA bedeuten, dass die Daten von EU-Bürgerinnen und EU-Bürger über den Atlantik hinweg geteilt werden könnten, trotz jüngster Urteile des Europäischen Gerichtshofs, in denen festgestellt wurde, dass die US-Praktiken des Massendatenzugriffs und der Vorratsspeicherung nicht mit der DSGVO vereinbar sind. Auch der Antrag des Vereinigten Königreichs auf Beitritt zur Comprehensive and Progressive Trans-Pacific Partnership (CPTPP) könnte Auswirkungen auf den Datenfluss in Länder haben, die keinen Angemessenheitsbeschluss der EU haben.
Das EU-Parlament fordert die EU-Kommission und die britischen Behörden nachdrücklich auf, sich mit all diesen Fragen zu befassen, und besteht darauf, dass kein Angemessenheitsbeschluss erlassen werden sollte. Die Abgeordneten geben an, dass spezielle Spionagevereinbarungen (No-Spy-Vereinbarungen) zwischen Mitgliedstaaten und Großbritannien zur Lösung von Problemen beitragen könnten.
Es wird erwartet, dass die EU-Kommission in den kommenden Monaten über den Datenschutz des Vereinigten Königreichs und die Fortsetzung der Datenübertragung „über den Kanal“ entscheidet. In seiner Rede vor dem Plenum vor der Abstimmung betonte Justizkommissar Didier Reynders, dass die derzeitige Gesetzgebung des Vereinigten Königreichs der der EU sehr ähnlich sei. Zukünftige Abweichungen seien jedoch möglich, weshalb die vierjährige Verfallsklausel des Angemessenheitsbeschlusses dringend erforderlich sei.
Was die Datenschutzaufsichtsbehörden sagen
Auch die Aufsichtsbehörden für den Datenschutz haben sich bereits zu dem Entwurf der EU-Kommission zu Wort gemeldet. Darin findet sich Positives und Kritisches:
Der Europäische Datenschutzausschuss (EDSA) stellte fest, dass es Schlüsselbereiche einer starken Angleichung zwischen den Datenschutzrahmen der EU und des Vereinigten Königreichs in Bezug auf bestimmte Kernbestimmungen gibt, wie etwa: Gründe für eine rechtmäßige und faire Verarbeitung zu legitimen Zwecken; Zweckbindung; Datenqualität und Verhältnismäßigkeit; Datenaufbewahrung, Sicherheit und Vertraulichkeit; Transparenz; besondere Kategorien von Daten; und automatisierte Entscheidungsfindung und Profilerstellung.
Der EDSA betont aber, dass mehrere Punkte von der Europäischen Kommission in ihrer Entscheidung auf der Grundlage der DSGVO weiter bewertet und/oder genau überwacht werden sollten. Der EDSA identifiziert insbesondere noch eine Reihe von Punkten, die weiterer Klärung und/oder Überwachung bedürfen:
- Massenüberwachung;
- Unabhängige Bewertung und Überwachung des Einsatzes automatisierter Verarbeitungstools;
- Schutzvorkehrungen nach britischem Recht, wenn es um die Offenlegung im Ausland geht, insbesondere im Hinblick auf die Anwendung nationaler Sicherheitsausnahmen.
Fazit
Unternehmen tun also gut daran, nicht einfach davon auszugehen, dass der bisherige Entwurf der EU-Kommission zu einem Angemessenheitsbeschluss so final angenommen wird. Da die Zeit drängt, sollten Unternehmen daran denken, dass auch andere Rechtsgrundlagen notwendig werden können.
Grundsätzlich gilt: Unternehmen sind verpflichtet zu prüfen, ob das Recht des Drittlandes für die übermittelten personenbezogenen Daten im Wesentlichen ein im Europäischen Wirtschaftsraum garantiertes Schutzniveau gewährleistet. Das betrifft insbesondere auch das Instrument der Standardvertragsklauseln (SCC). Wenn die in den SCCs enthaltenen Schutzmaßnahmen für die Übermittlung in ein bestimmtes Drittland nicht ausreichen, fordert der EuGH (Europäischer Gerichtshof) ergänzende Maßnahmen, die organisatorischer, vertraglicher und technischer Natur sein können. Ohne Angemessenheitsbeschluss gibt es hier also einiges zu tun.