Datenschutz-Verantwortliche können erst einmal aufatmen. Ob sie personenbezogene Daten mit Tochtergesellschaften oder Niederlassungen in Großbritannien austauschen, konzerninterne Shared-Service-Center betreiben oder mit Cloud- und IT-Dienstleistern zusammenarbeiten, deren Rechenzentren ihren Sitz in UK haben – wenigstens beim Datentransfer bleibt trotz Brexit zuächst alles beim alten. In einer Pressemitteilung erklärte die EU-Kommission: Ein freier Datenfluss sei möglich, weil das Schutzniveau im Vereinigten Königreich der Sache nach gleichwertig sei. Um einen reibungslosen Handel und eine wirksame Kriminalitätsbekämpfung zu gewährleisten, habe sie zwei Angemessenheitsbeschlüsse angenommen: einen im Rahmen der Datenschutzgrundverordnung (DSGVO) und einen im Rahmen der Richtlinie zum Datenschutz bei der Strafverfolgung.
EU behält Entwicklung im Blick
Im Gegensatz zu vergleichbaren Beschlüssen zu anderen Drittstaaten enthalten die Entscheidungen aber erstmals eine Verfallsklausel: Sie laufen nach vier Jahren aus und werden nur erneuert, wenn das Vereinigte Königreich weiterhin ein angemessenes Datenschutzniveau sicherstellt. Zugleich will die Kommission eng verfolgen, wie sich das System in UK entwickelt, und gegebenenfalls eingreifen.
Starke Garantien, falls UK-Behörden mitlesen
Die Angemessenheitsbeschlüsse stützen sich darauf, dass das Vereinigte Königreich Grundsätze, Rechte und Pflichten der DSGVO und der Richtlinie zum Datenschutz bei der Strafverfolgung in vollem Umfang in das Rechtssystem übernommen hat, das seit dem Brexit gilt.
Ein weiteres wichtiges Element sind laut EU-Kommission die Garantien, die das UK-Datenschutzsystem bietet, falls Behörden auf personenbezogene Daten zugreifen wollen: Insbesondere Nachrichtendienste würden nur Einblick erhalten, wenn ein unabhängiges Rechtsorgan dies vorab genehmigt hat. Alle Maßnahmen müssten notwendig und mit Blick auf das verfolgte Ziel verhältnismäßig sein. Wer sich zu Unrecht überwacht sieht, kann vor dem Investigatory Powers Tribunal klagen, dem Gericht für Ermittlungsbefugnisse. Weiterhin unterliegt UK der Rechtsprechung des Europäischen Gerichtshofs für Menschenrechte, der Europäischen Menschenrechtskonvention und dem Übereinkommen des Europarates zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten, dem einzigen verbindlichen internationalen Übereinkommen auf dem Gebiet des Datenschutzes.
Demgegenüber hatten EU-Parlament und Europäischer Datenausschuss (EDSA) einen ungehinderten Datentransfer ohne zusätzliche Auflagen wie No-Spy-Vereinbarungen kritisch gesehen. Die personenbezogenen Informationen könnten ansonsten wie in den USA nicht ausreichend vor dem Zugriff der Nachrichtendienste geschützt sein.
Für die EU-Kommission drängte die Zeit. Ende Juni 2021 endete die bedingte Übergangsregelung für den Datentransfer nach dem Brexit.
Viele Unternehmen sind erleichtert. Ohne die Angemessenheitsbeschlüsse der EU-Kommission hätten sie beim Transfer personenbezogener Daten in das Vereinigte Königreich ab dem 01.07.2021 in der Regel auf die EU-Standardvertragsklauseln zurückgreifen müssen. Doch für diese Lösung hat das Schrems-II-Urteil des Europäischen Gerichtshofs (EuGH) hohe Hürden aufgestellt, die für Unternehmen sehr arbeitsintensiv sind. Unter Umständen bedarf es technischer Zusatzmaßnahmen zur Pseudonymisierung sowie Verschlüsselung.
Nicht auszuschließen ist allerdings, dass es sich nur um eine Verschnaufpause handelt. Und zwar nicht nur mit Blick auf das Verfallsdatum der Angemessenheitsbeschlüsse und die Eingriffsbefugnisse der EU. Die Urteile Schrems I und II des EuGH zeigen, wie als rechtssicher geglaubte Brücken für den Datentransfer bröckeln können. Das gilt auch im Falle etwaiger Klagen gegen die Angemessenheitsbeschlüsse. Unternehmen sollten also die weitere Entwicklung verfolgen.