Ihre Kontakte
Infolge des EU-Ausritts des Vereinigten Königreichs («Brexit»), musste neu über die Angemessenheit des UK-Datenschutzniveaus entschieden werden. Mit dem Erlass der Angemessenheitsbeschlüsse für die Übermittlung personenbezogener Daten an das Vereinigte Königreich im Rahmen der EU-Datenschutz-Grundverordnung (DSGVO) sowie der Strafverfolgungsrichtlinie, schloss die europäische Kommission das Ausschussverfahren am 28. Juni 2021 ab: Danach gilt das britische Datenschutzniveau aus Sicht der EU bzw. des EWR (weiterhin) als angemessen. Auffallend ist, dass in den Angemessenheitsbeschlüssen zum ersten Mal eine Verfallsklausel verankert ist, welche vorsieht, dass die Beschlüsse vier Jahre nach Inkrafttreten auslaufen. Es muss danach neu über die Angemessenheit des britischen Datenschutzniveaus entschieden werden. Bis dahin bringen die Beschlüsse aber eine wichtige Erleichterung für den grenzüberschreitenden Datenaustausch zwischen EU- und UK-Unternehmen mit sich. Auch für Schweizer Unternehmen sind die Beschlüsse von Bedeutung, weil davon auszugehen ist, dass der EDÖB und künftig wohl auch der Bundesrat das Datenschutzniveau im UK ebenfalls (weiterhin) als angemessen ansieht. Für die grenzüberschreitende Übermittlung von Personendaten in das UK werden deshalb nach wie vor keine zusätzlichen Garantien implementiert werden müssen.
EU anerkennt Angemessenheit des Datenschutzniveaus des Vereinigten Königreichs
Die Europäische Kommission hat am 28. Juni 2021 zwei Angemessenheitsbeschlüsse für die Übermittlung personenbezogener Daten an das Vereinigte Königreich im Rahmen der DSGVO und der Strafverfolgungsrichtlinie angenommen.
Auslöser für die Prüfung der Angemessenheit des Datenschutzniveaus im UK war der Brexit, weil durch diesen die EU-DSGVO für das UK nicht mehr verbindlich war (vgl. dazu bereits MLL-News vom 24.2.2021). Die beiden Angemessenheitsbeschlüsse gehen sodann auf den 19. Februar 2021 zurück, als die europäische Kommission die Entwürfe der Angemessenheitsbeschlüsse veröffentlicht hatte und ein Verfahren zur Annahme einleitete. Nach einer gründlichen Bewertung der Rechtsvorschriften sowie der Praktiken des Vereinigten Königreichs holte die europäische Kommission im Rahmen eines Ausschussverfahrens die Zustimmung der Vertreter der Mitgliedstaaten ein.
Wichtige Folgen der Annahme der Angemessenheitsbeschlüsse
Infolge der angenommenen Angemessenheitsbeschlüsse gilt im Vereinigten Königreich ein Schutzniveau für personenbezogene Daten, welches aus Sicht der EU dem Schutzniveau des EU-Rechts gleichwertig ist. Folglich können personenbezogene Daten aus der Europäischen Union weiterhin ohne die Implementierung von zusätzlichen Garantien in das Vereinigte Königreich transferiert werden (vgl. Artikel 45 Absatz 3 DSGVO und Artikel 36 Absatz 3 der Richtlinie zum Datenschutz bei der Strafverfolgung).
Darüber hinaus erleichtern die beiden Angemessenheitsbeschlüsse die Umsetzung des Handels- und Kooperationsabkommens zwischen der EU und dem Vereinigten Königreich. Dieses Abkommen beinhaltet eine Selbstverpflichtung beider Parteien zur Aufrechterhaltung eines hohen Datenschutzstandards. Die Vertragsparteien müssen zudem dafür sorgen, dass eine durchzuführende Datenübermittlung im Sinne der massgeblichen Datenschutzvorschriften der übermittelnden Vertragspartei erfolgt (auf der Seite der EU betrifft dies die DSGVO sowie die Richtlinie zum Datenschutz bei der Strafverfolgung). Demgegenüber erstreckt sich das Abkommen nicht auf die Angemessenheit der Datenschutzregelung des Vereinigten Königreichs. Aufgrund dessen ist die Anerkennung der Angemessenheitsbeschlüsse ein wichtiger Schritt, um eine ordnungsgemässe Anwendung des Handels- und Kooperationsabkommens zwischen der EU und dem Vereinigten Königreich sicherzustellen (vgl. MLL-News vom 24.02.2021).
Begründung der EU-Kommission und wichtigste Punkte des Angemessenheitsbeschlusses
Ein entscheidender Punkt zur Anerkennung des britischen Rechtssystems als angemessen war gemäss EU-Kommission, dass die britische Rechtsordnung zum Schutz personenbezogener Daten nach wie vor dieselbe sei, wie bereits vor dem EU-Austritt. Seitens des EU-Parlaments sowie des Europäischen Datenschutzausschusses wurden dennoch gewisse Bedenken vorgebracht. Diese Bedenken betrafen insbesondere die Möglichkeit einer künftigen Abweichung von den europäischen Datenschutz-Standards des Vereinigten Königreichs. Die EU-Kommission führt dazu an, man sei sich bewusst, dass es sich beim Schutz von personenbezogenen Daten – als Ausfluss des Schutzes der Privatsphäre – um Grundrechte der EU-Bürger handle, welche zu schützen seien. Der hohe Standard der EU bezüglich des Schutzes personenbezogener Daten dürfe auch dann nicht beeinträchtigt werden, wenn personenbezogene Daten ins Ausland übertragen werden. Zurzeit sei ein angemessener Schutz der personenbezogenen Daten im UK aber gegeben. Für den Fall, dass sich auf der Seite des Vereinigten Königreichs etwas am zurzeit umgesetzten angemessenen Datenschutzniveau ändere, werde die EU-Kommission eingreifen.
Vor diesem Hintergrund enthalten die Angemessenheitsbeschlüsse für das Vereinigte Königreich zum ersten Mal eine sogenannte «Sunset-Clause». Dabei handelt es sich um eine Verfallsklausel, welche festhält, dass die Angemessenheitsbeschlüsse vier Jahre nach dem Inkrafttreten ohne weiteres auslaufen. Hat das Vereinigte Königreich nach diesen vier Jahren nach wie vor ein angemessenes Datenschutzniveau, können die Beschlüsse erneuert werden. Während der vier Jahre Laufzeit der aktuellen Angemessenheitsbeschlüsse bleibe die EU-Kommission allerdings keineswegs untätig, sondern behalte das Vereinigte Königreich weiterhin im Blick, um einzugreifen, falls dieses vom momentan angemessenen Datenschutzniveau abweicht bzw. dieses unterschreitet.
Schliesslich war für den Erlass der Angemessenheitsbeschlüsse u.a. auch ausschlaggebend, dass das System des Vereinigten Königreichs in Bezug auf den Zugriff auf personenbezogene Daten durch Behörden starke Schutzmassnahmen vorsehe. Namentlich unterliege die Datenerhebung durch Nachrichtendienste einer vorausgehenden Genehmigung durch ein unabhängiges Rechtsorgan. Zudem müssen Überwachungsmassnahmen im Hinblick auf das verfolgte Ziel verhältnismässig sein. Im Fall eines unverhältnismässigen Eingriffs, könne Klage beim Investigatory Powers Tribunal erhoben werden. Schliesslich unterliege das Vereinigte Königreich der Rechtsprechung des Europäischen Gerichtshofs für Menschenrechte, der Europäischen Menschenrechtskonvention sowie dem Übereinkommen des Europarats zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten.
Bedeutung der Angemessenheitsbeschlüsse für Schweizer Unternehmen
Die Angemessenheitsbeschlüsse der EU-Kommission sind auch für Schweizer Unternehmen von Bedeutung. In erster Linie gilt das Vereinigte Königreich aus Sicht der EU nun als Land mit angemessenem Datenschutzniveau, sodass bei Datentransfers von der EU in den UK keine weiteren Garantien erforderlich sind (vgl. dazu bereits MLL-News vom 23.04.2020). Aus Sicht der Schweiz und gemäss der aktuellen «Länderliste» des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB), welche festhält, ob in einem bestimmten Land ein angemessenes Datenschutzniveau besteht, gilt das UK nach wie vor als Land mit angemessenem Datenschutzniveau. Das bedeutet, dass auch für Transfers von Personendaten von der Schweiz in das UK keine zusätzlichen Garantien implementiert werden müssen.
Ab Inkrafttreten des revidierten Schweizer Datenschutzgesetzes wird diese Beurteilung neu vom Bundesrat vorgenommen. Nach dem Angemessenheitsbeschluss für das Vereinigte Königreich durch die EU-Kommission, ist es wahrscheinlich, dass der Bundesrat der Einschätzung der EU folgen wird und das UK auch unter dem revidierten Schweizer Datenschutzgesetz bis auf weiteres als Land mit angemessenem Datenschutz gelten dürfte.
Obwohl sich durch den Brexit bezüglich der Datentransfers in das Vereinigte Königreich keine Veränderung ergibt, gilt es für Schweizer Unternehmer eine zentrale Pflicht aus der britischen Datenschutzgesetzgebung zu beachten. Denn Schweizer Unternehmen, welche vom Anwendungsbereich des UK-GDPRs (Datenschutzgrundverordnung des Vereinigten Königreichs) erfasst werden, müssen einen Vertreter im Vereinigten Königreich benennen. Diese Pflicht besteht zusätzlich zu jener, einen Vertreter in der EU zu benennen (vgl. MLL-News vom 24.02.2021).
Weitere Informationen:
- MLL-News vom 24.02.2021: «Brexit und Datenschutz – die datenschutzrechtlichen Folgen des Brexit-Deals»
- MLL-News vom 23.04.2020: «EDÖB zum Brexit: Datenschutzniveau im Vereinigten Königreich weiterhin angemessen»
- Durchführungsbeschluss zur Angemessenheit des Schutzes personenbezogener Daten durch das Vereinigte Königreich – Datenschutz-Grundverordnung
- Durchführung zur Angemessenheit des Schutzes personenbezogener Daten durch das Vereinigte Königreich – Polizeirichtlinie
- Ausschussverfahren
- Das Handels- und Kooperationsabkommen zwischen der EU und dem Vereinigten Königreich
- The Investigatory Powers Tribunal
- Die Datenschutzgrundverordnung des Vereinigten Königreichs (UK-GDPR)
- EU-Datenschutzgrundverordnung (DSGVO)
- Richtlinie zum Datenschutz bei der Strafverfolgung