Die EU anerkennt die Angemessenheit des Datenschutzniveaus im Vereinigten Königreich


Ihr Kontakt

Infolge des EU-Ausritts des Vereinigten Königreichs («Brexit»), musste neu über die Angemessenheit des UK-Datenschutzniveaus entschieden werden. Mit dem Erlass der Angemessenheitsbeschlüsse für die Übermittlung personenbezogener Daten an das Vereinigte Königreich im Rahmen der EU-Datenschutz-Grundverordnung (DSGVO) sowie der Strafverfolgungsrichtlinie, schloss die europäische Kommission das Ausschussverfahren am 28. Juni 2021 ab: Danach gilt das britische Datenschutzniveau aus Sicht der EU bzw. des EWR (weiterhin) als angemessen. Auffallend ist, dass in den Angemessenheitsbeschlüssen zum ersten Mal eine Verfallsklausel verankert ist, welche vorsieht, dass die Beschlüsse vier Jahre nach Inkrafttreten auslaufen. Es muss danach neu über die Angemessenheit des britischen Datenschutzniveaus entschieden werden. Bis dahin bringen die Beschlüsse aber eine wichtige Erleichterung für den grenzüberschreitenden Datenaustausch zwischen EU- und UK-Unternehmen mit sich. Auch für Schweizer Unternehmen sind die Beschlüsse von Bedeutung, weil davon auszugehen ist, dass der EDÖB und künftig wohl auch der Bundesrat das Datenschutzniveau im UK ebenfalls (weiterhin) als angemessen ansieht. Für die grenzüberschreitende Übermittlung von Personendaten in das UK werden deshalb nach wie vor keine zusätzlichen Garantien implementiert werden müssen.

EU anerkennt Angemessenheit des Datenschutzniveaus des Vereinigten Königreichs

Die Europäische Kommission hat am 28. Juni 2021 zwei Angemessenheitsbeschlüsse für die Übermittlung personenbezogener Daten an das Vereinigte Königreich im Rahmen der DSGVO und der Strafverfolgungsrichtlinie angenommen.

Auslöser für die Prüfung der Angemessenheit des Datenschutzniveaus im UK war der Brexit, weil durch diesen die EU-DSGVO für das UK nicht mehr verbindlich war (vgl. dazu bereits MLL-News vom 24.2.2021). Die beiden Angemessenheitsbeschlüsse gehen sodann auf den 19. Februar 2021 zurück, als die europäische Kommission die Entwürfe der Angemessenheitsbeschlüsse veröffentlicht hatte und ein Verfahren zur Annahme einleitete. Nach einer gründlichen Bewertung der Rechtsvorschriften sowie der Praktiken des Vereinigten Königreichs holte die europäische Kommission im Rahmen eines Ausschussverfahrens die Zustimmung der Vertreter der Mitgliedstaaten ein.

Wichtige Folgen der Annahme der Angemessenheitsbeschlüsse

Infolge der angenommenen Angemessenheitsbeschlüsse gilt im Vereinigten Königreich ein Schutzniveau für personenbezogene Daten, welches aus Sicht der EU dem Schutzniveau des EU-Rechts gleichwertig ist. Folglich können personenbezogene Daten aus der Europäischen Union weiterhin ohne die Implementierung von zusätzlichen Garantien in das Vereinigte Königreich transferiert werden (vgl. Artikel 45 Absatz 3 DSGVO und Artikel 36 Absatz 3 der Richtlinie zum Datenschutz bei der Strafverfolgung).

Darüber hinaus erleichtern die beiden Angemessenheitsbeschlüsse die Umsetzung des Handels- und Kooperationsabkommens zwischen der EU und dem Vereinigten Königreich. Dieses Abkommen beinhaltet eine Selbstverpflichtung beider Parteien zur Aufrechterhaltung eines hohen Datenschutzstandards. Die Vertragsparteien müssen zudem dafür sorgen, dass eine durchzuführende Datenübermittlung im Sinne der massgeblichen Datenschutzvorschriften der übermittelnden Vertragspartei erfolgt (auf der Seite der EU betrifft dies die DSGVO sowie die Richtlinie zum Datenschutz bei der Strafverfolgung). Demgegenüber erstreckt sich das Abkommen nicht auf die Angemessenheit der Datenschutzregelung des Vereinigten Königreichs. Aufgrund dessen ist die Anerkennung der Angemessenheitsbeschlüsse ein wichtiger Schritt, um eine ordnungsgemässe Anwendung des Handels- und Kooperationsabkommens zwischen der EU und dem Vereinigten Königreich sicherzustellen (vgl. MLL-News vom 24.02.2021).

Begründung der EU-Kommission und wichtigste Punkte des Angemessenheitsbeschlusses

Ein entscheidender Punkt zur Anerkennung des britischen Rechtssystems als angemessen war gemäss EU-Kommission, dass die britische Rechtsordnung zum Schutz personenbezogener Daten nach wie vor dieselbe sei, wie bereits vor dem EU-Austritt. Seitens des EU-Parlaments sowie des Europäischen Datenschutzausschusses wurden dennoch gewisse Bedenken vorgebracht. Diese Bedenken betrafen insbesondere die Möglichkeit einer künftigen Abweichung von den europäischen Datenschutz-Standards des Vereinigten Königreichs. Die EU-Kommission führt dazu an, man sei sich bewusst, dass es sich beim Schutz von personenbezogenen Daten – als Ausfluss des Schutzes der Privatsphäre – um Grundrechte der EU-Bürger handle, welche zu schützen seien. Der hohe Standard der EU bezüglich des Schutzes personenbezogener Daten dürfe auch dann nicht beeinträchtigt werden, wenn personenbezogene Daten ins Ausland übertragen werden. Zurzeit sei ein angemessener Schutz der personenbezogenen Daten im UK aber gegeben. Für den Fall, dass sich auf der Seite des Vereinigten Königreichs etwas am zurzeit umgesetzten angemessenen Datenschutzniveau ändere, werde die EU-Kommission eingreifen.

Vor diesem Hintergrund enthalten die Angemessenheitsbeschlüsse für das Vereinigte Königreich zum ersten Mal eine sogenannte «Sunset-Clause». Dabei handelt es sich um eine Verfallsklausel, welche festhält, dass die Angemessenheitsbeschlüsse vier Jahre nach dem Inkrafttreten ohne weiteres auslaufen. Hat das Vereinigte Königreich nach diesen vier Jahren nach wie vor ein angemessenes Datenschutzniveau, können die Beschlüsse erneuert werden. Während der vier Jahre Laufzeit der aktuellen Angemessenheitsbeschlüsse bleibe die EU-Kommission allerdings keineswegs untätig, sondern behalte das Vereinigte Königreich weiterhin im Blick, um einzugreifen, falls dieses vom momentan angemessenen Datenschutzniveau abweicht bzw. dieses unterschreitet.

Schliesslich war für den Erlass der Angemessenheitsbeschlüsse u.a. auch ausschlaggebend, dass das System des Vereinigten Königreichs in Bezug auf den Zugriff auf personenbezogene Daten durch Behörden starke Schutzmassnahmen vorsehe. Namentlich unterliege die Datenerhebung durch Nachrichtendienste einer vorausgehenden Genehmigung durch ein unabhängiges Rechtsorgan. Zudem müssen Überwachungsmassnahmen im Hinblick auf das verfolgte Ziel verhältnismässig sein. Im Fall eines unverhältnismässigen Eingriffs, könne Klage beim Investigatory Powers Tribunal erhoben werden. Schliesslich unterliege das Vereinigte Königreich der Rechtsprechung des Europäischen Gerichtshofs für Menschenrechte, der Europäischen Menschenrechtskonvention sowie dem Übereinkommen des Europarats zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten.

Bedeutung der Angemessenheitsbeschlüsse für Schweizer Unternehmen

Die Angemessenheitsbeschlüsse der EU-Kommission sind auch für Schweizer Unternehmen von Bedeutung. In erster Linie gilt das Vereinigte Königreich aus Sicht der EU nun als Land mit angemessenem Datenschutzniveau, sodass bei Datentransfers von der EU in den UK keine weiteren Garantien erforderlich sind (vgl. dazu bereits MLL-News vom 23.04.2020). Aus Sicht der Schweiz und gemäss der aktuellen «Länderliste» des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB), welche festhält, ob in einem bestimmten Land ein angemessenes Datenschutzniveau besteht, gilt das UK nach wie vor als Land mit angemessenem Datenschutzniveau. Das bedeutet, dass auch für Transfers von Personendaten von der Schweiz in das UK keine zusätzlichen Garantien implementiert werden müssen.

Ab Inkrafttreten des revidierten Schweizer Datenschutzgesetzes wird diese Beurteilung neu vom Bundesrat vorgenommen. Nach dem Angemessenheitsbeschluss für das Vereinigte Königreich durch die EU-Kommission, ist es wahrscheinlich, dass der Bundesrat der Einschätzung der EU folgen wird und das UK auch unter dem revidierten Schweizer Datenschutzgesetz bis auf weiteres als Land mit angemessenem Datenschutz gelten dürfte.

Obwohl sich durch den Brexit bezüglich der Datentransfers in das Vereinigte Königreich keine Veränderung ergibt, gilt es für Schweizer Unternehmer eine zentrale Pflicht aus der britischen Datenschutzgesetzgebung zu beachten. Denn Schweizer Unternehmen, welche vom Anwendungsbereich des UK-GDPRs (Datenschutzgrundverordnung des Vereinigten Königreichs) erfasst werden, müssen einen Vertreter im Vereinigten Königreich benennen. Diese Pflicht besteht zusätzlich zu jener, einen Vertreter in der EU zu benennen (vgl. MLL-News vom 24.02.2021).

Weitere Informationen:


Artikel teilen



meistgelesen


Highlights

MLL Meyerlustenberger Lachenal Froriep

MLL ist eine der führenden Anwaltskanzleien in der Schweiz mit Büros in Zürich, Genf, Zug, Lausanne, London und Madrid. Wir beraten unsere Klienten in allen Bereichen des Wirtschaftsrechts und zeichnen uns insbesondere durch unsere erstklassige Branchenexpertise in technisch-innovativen Spezialgebieten, aber auch in regulierten Branchen aus.

MLL Meyerlustenberger Lachenal Froriep

Newsletter

MLL-News 02/22 mit Beiträgen zur Revision des EU-Vertriebskartellrechts, zum EU-Data-Act, zu den neuen deutschen Vorschriften für den Einsatz von Cookies, der zukünftigen Nutzung von Google Analytics und zur Auslagerung von Personendaten.

Zugang MLL-News 02/22

Jetzt anmelden!

Unsere Geschichte

MLL ist eine führende Schweizer Anwaltskanzlei, deren Geschichte bis ins Jahr 1885 zurückreicht. Die Kanzlei ist sowohl organisch als auch durch strategische Fusionen gewachsen, von denen die Jüngste am 1. Juli 2021 zwischen Meyerlustenberger Lachenal und FRORIEP vollzogen wurde.

Durch diesen Zusammenschluss hat sich MLL zu einer der grössten Wirtschaftskanzleien der Schweiz mit über 150 Anwältinnen und Anwälten in vier Büros in der Schweiz entwickelt. Auch zwei Büros im Ausland, in London und Madrid, bieten Anlaufstellen vor Ort für Klientinnen und Klienten, die Beratung im Schweizer Wirtschaftsrecht suchen.

Die Kanzlei verfügt heutzutage über ein starkes internationales Profil und ein langjährig aufgebautes globales Netzwerk. MLL vereint anerkannte Führungsqualitäten und Fachwissen in allen Bereichen des Schweizer und internationalen Wirtschaftsrechts.

Über uns

Publikationen

Hier geht’s zu unseren neuesten Publikationen

COVID-19

Lesen Sie alle unsere rechtlichen Updates zu den Auswirkungen von COVID-19 für Unternehmen.

COVID-19 Information

Offene Stellen

Sind Sie auf der Suche nach einer neuen Herausforderung?

Unsere talentierten und ambitionierten Teams sind von einer gemeinsamen Vision motiviert, erfolgreich zu sein. Wir schätzen eine offene und unkomplizierte Kommunikation über alle Ebenen der Organisation hinweg in einem unterstützenden Arbeitsumfeld.

Offene Stellen

Real Estate Legal Update

Hier gehts zum Real Estate Legal Update 02/22 mit Fokus auf der Energiewende. Wir beschäftigen uns mit der Anpassung des Energiegesetzes und der Umsetzung in den Kantonen Genf und Zürich. Abgerundet wird das Thema mit einem Beitrag zu Solaranlagen. Ergänzt wird unser Update durch Beiträge zum Bauarbeitengesetz, zum L-QIF und zu steuerlichen Überlegungen zu Umstrukturierungen von Immobilienportfolios.

Registrieren Sie sich hier, um unser 2 x jährlich erscheinendes Real Estate Legal Update zu erhalten.

Unser Team

Unsere über 150 Anwältinnen und Anwälte unterstützen Sie dabei, den regulatorischen und technologischen Anforderungen im modernen globalen Wirtschaftsleben erfolgreich zu begegnen und ihre wirtschaftlichen Chancen zu nutzen.

Unser Team

Revision DSG

Auf unserer Themenseite rund um die Revision des Schweizerischen Datenschutzgesetzes finden Sie regelmässig aktualisierte und umfassende Informationen und Hilfsmittel. Es ist uns ein Anliegen, Sie bei der Implementierung der neuen Vorgaben zu unterstützen.

Revision DSG Themenseite

MLL on Social Media

Folgen  Sie uns auf LinkedIn und Twitter.