Never ending Brexit – Angemessenheitsbeschluss hin und her

Ok, wir hatten versprochen, uns nicht mehr zu oft zum Thema „Brexit“ zu melden. Dieses eine Mal noch und dann haben Sie erst einmal ein paar Jahre Ruhe dazu. Versprochen. Also zumindest, wenn nicht noch irgendwas passiert…

Was war?

Wie bereits geschrieben hatte die EU-Kommission die Aufgabe, einen Angemessenheitsbeschluss für das Vereinigte Königreich zu fällen. Dieser lag sogar nach nur kurzer Zeit am 19.02.2021 im Entwurfsstadium zur Kommentierung vor. In unserem diesbezüglichen Artikel mutmaßten wir bereits darüber, ob das Datenschutzniveau in UK tatsächlich angemessen ist, oder ob es dort nicht ein bisschen so ist, wie in den USA.

Was passierte?

Was sollen wir sagen – das EU-Parlament sah das ähnlich und stimmte mit knapper Mehrheit (353 zu 334 Stimmen, 7 Enthaltungen) dafür, den Angemessenheitsbeschluss nicht zu treffen. Die Begründung war äußerst umfassend und besagte letztlich, dass man unter anderem Probleme bei der Überwachung im Rahmen des sogenannte Five-Eyes-Abkommens sehe. Für diejenigen, die sich die Begründung im Detail ansehen möchten, an dieser Stelle noch die Bitte, einmal darauf zu achten, aus wie vielen Sätzen diese Begründung besteht. Wir haben den Eindruck dass es ein einziger, über 15 Seiten gehender Satz ist.

Im Zuge des Beschlusses des EU-Parlaments wurde die EU-Kommission aufgefordert, mit Blick auf die behördlichen Befugnisse und unter Berücksichtigung des EuGH-Urteils zum Privacy Shield („Schrems-2“) nachzubessern.

Für uns stand damit am 21.05.2021 fest, dass es zum 30.06.20201 keinen Angemessenheitsbeschluss für UK geben würde. Wir haben nicht damit gerechnet, dass in der kurzen verbleibenden Zeit noch ein entsprechender Beschluss zustande kommen würde.

Was kam dann?

Aber so wie es aussieht: Weit gefehlt. Am heutigen 28.06.2021 hat teilte die EU-Kommission in einer Pressemitteilung mit, dass der Angemessenheitsbeschluss verabschiedet wurde. Ob die geforderten Nachbesserungen vorgenommen wurden und wie überhaupt der nun verabschiedete Text des Angemessenheitsbeschlusses aussieht, ist uns zum aktuellen Zeitpunkt noch nicht bekannt. Trotz des derzeit unbefriedigenden Informationsstands melden wir uns zu diesem Thema zu Wort, denn an dem Angemessenheitsbeschluss hängt eine enorme Erleichterung für die Unternehmen. Schließlich muss bei Datentransfers in Drittstaaten eine Grundlage („Garantien“) existieren. Wenn ein Angemessenheitsbeschluss existiert, ist bereits dieser als Grundlage ausreichend. Das jeweilige Drittland wird hinsichtlich der Übermittlung personenbezogener Daten wie ein Land aus EU/EWR angesehen.

Damit steht fest: Für Datentransfers nach UK muss in Sachen Garantien nichts weiteres gemacht werden. Lediglich in sämtlichen Informationen zum Datenschutz muss UK als Drittstaat aufgeführt und die Garantie „Angemessenheitsbeschluss“ genannt werden.

Was folgt?

Soweit die guten Nachrichten. Wir sehen den Angemessenheitsbeschluss allerdings weiterhin kritisch und befürchten, dass dieser – sofern die Befristung auf vier Jahre aus dem im Februar veröffentlichten Entwurf weiterhin Bestand hat – nach Ablauf der Befristung nicht verlängert werden wird. Gegebenenfalls könnte es sogar schon früher durch ein Urteil des EuGH dazu kommen, dass der Angemessenheitsbeschluss für ungültig erklärt wird. Hintergrund ist weiterhin die Überwachungspraxis im Rahmen der sogenannten Five Eyes.

Was könnte folgen?

Sofern es zu diesem Worst-Case-Szenario kommen sollte, stehen unseres Erachtens auch die Angemessenheitsbeschlüsse für Kanada und Neuseeland zur Disposition. Beide sind neben Australien (kein Angemessenheitsbeschluss) und den USA (kein Angemessenheitsbeschluss mehr nach EuGH-Urteil) ebenfalls Teil der Five Eyes.

Wir sind gespannt und befürchten, dass wir unser Versprechen, nicht mehr allzu oft über den Brexit und seine Folgen zu berichten, nicht einhalten können.

Sofern Sie Unterstützung in Sachen Brexit benötigen: Die Zeit drängt mittlerweile wirklich stark. Melden Sie sich. Kurzfristig.