Übermittlung personenbezogener Daten
Sicherer Datenfluss zwischen EU und dem Vereinigten Königreich: Kommission legt Entwurf für Angemessenheitsbeschlüsse
In den vergangenen Monaten hat die Kommission das Recht und die Praxis des Schutzes personenbezogener Daten im Vereinigten Königreich gründlich geprüft, darunter auch die Vorschriften über den Datenzugriff durch Behörden
Die Kommission hat das Verfahren zu Übermittlungen personenbezogener Daten aus der EU in das Vereinigte Königreich eingeleitet. Nach gründlicher Überprüfung ist die Kommission zu dem Schluss gelangt, dass im Vereinigten Königreich ein angemessenes Datenschutzniveau gewährleistet wird. Im nächsten Schritt wird der Europäische Datenschutzausschuss eine Stellungnahme abgeben. Auch die Mitgliedstaaten müssen im sogenannten Komitologieverfahren noch ihre Zustimmung geben. Anschließend könnte die Europäische Kommission die endgültigen Angemessenheitsbeschlüsse zum Vereinigten Königreich annehmen.
Das eingeleitete Verfahren bezieht sich auf zwei Angemessenheitsbeschlüsse, die sich auf die Übermittlung personenbezogener Daten in das Vereinigte Königreich im Rahmen der Datenschutzgrundverordnung beziehungsweise der Richtlinie zum Datenschutz bei der Strafverfolgung beziehen. Die Veröffentlichung der Beschlussentwürfe markiert den Beginn eines zu ihrer Annahme führenden Verfahrens.
In den vergangenen Monaten hat die Kommission das Recht und die Praxis des Schutzes personenbezogener Daten im Vereinigten Königreich gründlich geprüft, darunter auch die Vorschriften über den Datenzugriff durch Behörden. Die Kommission ist zu dem Schluss gelangt, dass im Vereinigten Königreich ein Schutzniveau gewährleistet wird, das dem durch die Datenschutzgrundverordnung (DSGVO) und erstmals auch dem durch die Richtlinie zum Datenschutz bei der Strafverfolgung gewährleisteten Schutzniveau im Wesentlichen gleichwertig ist.
Věra Jourová, Vizepräsidentin für Werte und Transparenz, erklärte hierzu: "Die Sicherstellung eines freien und sicheren Verkehrs personenbezogener Daten ist von wesentlicher Bedeutung für die Unternehmen und die Bürgerinnen und Bürger auf beiden Seiten des Ärmelkanals. Das Vereinigte Königreich ist zwar aus der EU ausgetreten, nicht jedoch aus der europäischen Datenschutzfamilie. Gleichzeitig müssen wir dafür Sorge tragen, dass unsere Entscheidung zukunftsfähig ist. Daher haben wir klare und strenge Überwachungs- und Überprüfungsverfahren sowie die Möglichkeit zur Aussetzung oder Aufhebung derartiger Beschlüsse vorgesehen, damit, falls sich nach der möglichen Zuerkennung der Angemessenheit etwaige problematische Entwicklungen im System des Vereinigten Königreichs ergeben, angemessen darauf reagiert werden kann.”
Didier Reynders, Kommissar für Justiz, fügte hinzu: "Ein sicherer Datenfluss zwischen der EU und dem Vereinigten Königreich ist von entscheidender Bedeutung für die Aufrechterhaltung enger Handelsbeziehungen und eine wirksame Zusammenarbeit bei der Kriminalitätsbekämpfung. Das heute eingeleitete Verfahren zielt genau darauf ab. Wir haben das System zum Schutz der Privatsphäre, das im Vereinigten Königreich nach dem Austritt aus der EU gilt, gründlich geprüft. Nun werden die europäischen Datenschutzbehörden die Beschlussentwürfe gründlich prüfen. Das Grundrecht der EU-Bürgerinnen und -Bürger auf Datenschutz darf nicht beeinträchtigt werden, wenn ihre Daten über den Ärmelkanal übermittelt werden. Durch die Angemessenheitsbeschlüsse würde dies sogleich nach ihrer Annahme sichergestellt."
Im Gegensatz zu anderen Drittstaaten, in denen die Konvergenz im Rahmen des Verfahrens zur Sicherstellung der Angemessenheit oftmals voneinander abweichender Systeme weiterentwickelt wird, hat die EU das Datenschutzrecht des Vereinigten Königreichs jahrzehntelang mitgeprägt. Da das Vereinigte Königreich nun jedoch nicht mehr durch die Datenschutzschutzvorschriften der EU gebunden ist, ist es umso wichtiger, dass alle Angemessenheitsbeschlüsse zukunftssicher sind. Die angenommenen Beschlüsse sollen daher vorerst für zunächst vier Jahre gültig sein. Nach diesen vier Jahren könnten sie verlängert werden, wenn das Schutzniveau im Vereinigten Königreich weiterhin angemessen wäre.
Bis es soweit ist, gehen die Datenströme zwischen dem Europäischen Wirtschaftsraum und dem Vereinigten Königreich weiter, wobei ihre Sicherheit durch eine bedingte Übergangsregelung sichergestellt ist, die im Rahmen des Handels- und Kooperationsabkommens zwischen der EU und dem Vereinigten Königreich vereinbart wurde. Der Übergangszeitraum endet am 30. Juni 2021.
Nächste Schritte
Nach der Prüfung der Stellungnahme des Europäischen Datenschutzausschusses wird die Kommission die Vertreter der Mitgliedstaaten im Rahmen des sogenannten Ausschussverfahrens um Zustimmung ersuchen. Anschließend könnte die Europäische Kommission die endgültigen Angemessenheitsbeschlüsse zum Vereinigten Königreich annehmen.
Hintergrund
Gemäß Artikel 45 Absatz 3 DSGVO und Artikel 36 Absatz 3 der Richtlinie zum Datenschutz bei der Strafverfolgung kann die Kommission im Wege eines Durchführungsrechtsakts beschließen, dass ein Drittland ein "angemessenes Schutzniveau" bietet, d. h. einen Schutz personenbezogener Daten, der dem in der EU gebotenen Schutz im Wesentlichen gleichwertig ist. Wenn einem Drittland ein solches "angemessenes Schutzniveau" bescheinigt wird, dürfen personenbezogene Daten aus der EU ohne weitere Bedingungen in dieses Drittland übermittelt werden.
Im Vereinigten Königreich erfolgt die Datenverarbeitung nach Maßgabe der Datenschutzgrundverordnung des Vereinigten Königreichs ("UK GDPR") und des Datenschutzgesetzes von 2018 ("Data Protection Act"), die beide auf der DSGVO der EU und der Richtlinie zum Datenschutz bei der Strafverfolgung basieren. Beide sehen ähnliche Garantien, individuelle Rechte, Pflichten der Verantwortlichen und Auftragsverarbeiter, Vorschriften für grenzüberschreitende Datenübermittlungen, Überwachungssysteme und Rechtsbehelfe wie das EU-Recht vor. Die Beschlussentwürfe enthalten auch eine detaillierte Bewertung der Bedingungen und Beschränkungen sowie der Aufsichtsmechanismen und Rechtsbehelfe, die im Fall eines Datenzugriffs durch Behörden des Vereinigten Königreichs, insbesondere zu den Zwecken der Strafverfolgung und der nationalen Sicherheit, gelten.
Das Vereinigte Königreich hat sich ferner verpflichtet, weiterhin Vertragspartei der Europäischen Konvention zum Schutz der Menschenrechte und der Konvention Nr. 108 des Europarats, dem einzigen bindenden multilateralen Datenschutzinstrument, zu bleiben. Das Vereinigte Königreich bleibt also trotz seines Austritts aus der EU Mitglied der europäischen "Datenschutzfamilie". Für die Stabilität und Beständigkeit der vorgeschlagenen Angemessenheitsbeschlüsse ist es von besonderer Bedeutung, dass es Vertragspartei derartiger internationaler Übereinkommen bleibt.
Die heute an den EDSA übermittelten Entwürfe von Angemessenheitsbeschlüssen betreffen den Datenfluss aus der EU in das Vereinigte Königreich. Der Datenfluss in die umgekehrte Richtung – also aus dem Vereinigten Königreich in die EU – wird durch die einschlägigen, seit dem 1. Januar 2021 geltenden Rechtsvorschriften des Vereinigten Königreichs geregelt. Das Vereinigte Königreich hat bereits entschieden, dass die EU ein gleichwertiges Schutzniveau gewährleistet und Daten daher nunmehr frei aus dem Vereinigten Königreich in die EU übermittelt werden dürfen.
(Europäische Kommission: ra)
eingetragen: 11.03.21
Newsletterlauf: 07.05.21
Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>