eu-dsgvo europa datenschutz-grundverordnung arbeitnehmerdatenschutz privacy shield safe harbor eprivacy verordnung dsgvo epvo brexit angemessenheitsbeschluss uk

Schon wieder Brexit – Angemessenheitsbeschluss für UK naht

Anfang Januar hatten wir über die Regelungen des UK-Handelsabkommens zum Datenschutz berichtet. Eine der Kernregelungen, die auch wieder eine zeitliche Unsicherheitskomponente gebracht hat, ist, dass die EU-Kommission den Auftrag erhalten hat, einen Angemessenheitsbeschluss (gem. Art. 45 DSGVO) “zu produzieren”. Wir erinnern uns an Japan, dort hat es Jahre gedauert, bis der Beschluss erging. Für UK hat die EU-Kommission maximal 6 Monate zur Verfügung, wenn es “unterbrechungsfrei” laufen soll.

Und nun ist das Unglaubliche passiert: Es liegen bereits Entwürfe der Beschlüsse vor. Plural deshalb, weil nicht nur für Übermittlungen im Rahmen der DSGVO (Verordnung 2016/679) ein Angemessenheitsbeschluss benötigt wird, sondern auch für Übermittlungen im Rahmen der “Richtlinie zur Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung […]” (Richtlinie 2016/680), die wir hier aber nicht näher betrachten.

Schon wieder eine Frist

Zuallererst: Dieser Angemessenheitsbeschluss ist nicht auf Dauer angelegt. Zumindest ist dort in Art. 4 geregelt, dass der Angemessenheitsbeschluss vier Jahre nach Inkrafttreten ausläuft, sofern er nicht gemäß Art. 93 Abs. 2 DSGVO (dieser verweist lediglich auf die Anwendbarkeit des Art. 5 der Verordnung 182/2011) verlängert wird. Es ist also eine Überprüfung des Beschlusses geplant, was wir durchaus für sinnvoll erachten, da die Regierung in UK bereits angekündigt hat, eine “eigene Linie” verfolgen zu wollen. Aber: Die Frist bedeutet auch, dass sich alle Unternehmen, welche Daten mit UK austauschen, schon wieder einen neuen Termin in den Kalender schreiben müssen, um gegebenenfalls auf einen wegfallenden Angemessenheitsbeschluss zu reagieren.

Wie sicher ist der Beschluss?

Wichtigster Fakt an dem Beschluss ist für uns die Tatsache, dass wir endlich für einen etwas längeren Zeitraum Sicherheit bezüglich des Datenaustauschs mit UK bekommen. Allerdings stellen wir uns die Frage, ob es sich gegebenenfalls um eine trügerische Sicherheit handeln könnte. Beispielsweise stellt sich die Frage, inwiefern dieser Angemessenheitsbeschluss zu ähnlichen Problemen führen könnte, wie die Nutzung von Standardvertragsklauseln (SCC) für Datenübermittlungen in die USA (und eigentlich auch alle anderen Staaten) nach dem sog. Schrems II Urteil.

Hier gehen wir davon aus, dass sich die Situation anders darstellen wird. Die Kommission hat den Beschluss aktuell (mit Datum des Entwurfs vom 19.02.2021) gefasst. Mit in den Beschluss eingeflossen sind auch Betrachtungen der Geheimdienstbefugnisse und anderer Aktivitäten. Diese hatten in Bezug auf die USA dazu geführt, dass die SCC nicht mehr uneingeschränkt nutzbar sind. Häufig sind zusätzliche Garantien oder Maßnahmen zu vereinbaren. Da der Kommission zum Zeitpunkt des Beschlusses aktuelle Informationen bezüglicher solcher Regelungen und Aktivitäten vorlagen, mussten diese auch mit in die Beschlussfassung einfließen. Wir hoffen also, dass wir aktuell einen Angemessenheitsbeschluss haben, welcher auch bis zum Ablauf der 4-Jahres-Frist bestehen bleibt.

Sicher ist das allerdings nicht. Sofern jemand gegen diesen Beschluss vorgeht oder, wie im Fall Schrems, entsprechende Fragen von nationalen Gerichten dem EuGH zur Entscheidung vorgelegt werden, wäre es möglich, dass der Angemessenheitsbeschluss auch schon vor Ablauf der vier Jahre wieder “einkassiert” wird.

Wie geht’s weiter?

Die Entwürfe bedürfen nun noch der Zustimmung des Europäischen Datenschutzausschusses (EDSA, european dataprotection board, EDPB) und des EU-Rats. Mit Zustimmung tritt der Angemessenheitsbeschluss in Kraft. Damit wäre dann auch gleichzeitig die im UK-Handelsabkommen geregelte 4 bis 6 monatige Übergangsfrist beendet.

Was bedeutet das?

Direkte Folge wäre, dass sämtliche Informationen zum Datenschutz (mal wieder…) angepasst werden müssten. UK ist ab diesem Zeitpunkt als (sicherer) Drittstaat zu behandeln und muss daher gem. Art. 13/14 DSGVO in den entsprechenden Informationen zum Datenschutz ausgewiesen werden. Darüber hinaus müssen bei Drittstaaten-Transfers die Garantien angegeben werden, auf deren Basis der Transfer erfolgt. Diese Garantie ist der Angemessenheitsbeschluss. Die Anpassungen der Informationen zum Datenschutz sind also inhaltlich oder intellektuell dieses Mal nicht sonderlich herausfordernd. Dennoch müssen sie gemacht werden und zwar (zeit)punktgenau.

Wir empfehlen: Bereiten Sie sich darauf vor und erstellen Sie entsprechende Entwürfe, damit Sie kurzfristig reagieren können. Wir unterstützen Sie gerne dabei.


Diesen Beitrag teilen