Angemessenheitsbeschluss für UK: Ja, nein, vielleicht?!
Auch wenn zurzeit eher der „Digitale Omnibus“ zur Vereinfachung der Digitalgesetzgebung durch die Presse geistert, könnte ein anderes Thema größere Praxisrelevanz entfalten, nämlich die Frage, wie es mit dem Angemessenheitsbeschluss für Großbritannien weitergeht.
Dieser Beschluss wurde nach dem Brexit nötig, weil Großbritannien nicht mehr Teil der EU und somit aus deren Sicht ein Drittland ist. Um Daten in solche Drittländer übertragen zu dürfen, braucht es zusätzliche Garantien, um das durch die DSGVO gewährleistete Schutzniveau nicht zu unterhöhlen. Eine solche Garantie kann ein sogenannter Angemessenheitsbeschluss sein, durch den einem Land ein adäquates Datenschutzniveau bescheinigt wird. Am bekanntesten ist das Prinzip vom transatlantischen Safe Harbor, dann Privacy Shield und nun DPF mit den USA. Warum besteht also nun Handlungsbedarf wegen UK?
Weil die EU-Kommission UK vorerst nur bis Ende Juni einen Angemessenheitsbeschluss erteilt hatte und diesen wegen verschiedener Anpassungen im Datenschutzrecht, die die EU-Kommission genau prüfen wollte, zwar noch bis zum 27. Dezember verlängert hat, aber der ist ja auch schon bald … Immerhin, die Weichen sind gestellt: Die EU-Kommission legte einen Entwurf für einen neuen UK-Angemessenheitsbeschluss bis 2031 vor. Weil es aber einige Details zu prüfen gab, bat die Kommission den Europäischen Datenschutzausschuss (EDSA) um eine Stellungnahme. Die liegt zwischenzeitlich vor und der EDSA erkennt an, dass UK grundsätzlich einen weitgehend mit der DSGVO vereinbaren Datenschutzrahmen bietet, wenngleich es strukturelle Divergenzen geben könne. Hier empfiehlt der EDSA der EU-Kommission eine wirksame Überwachung. Nachdem diese Hürde also genommen ist, haben nun die Vertreter der EU-Länder zuzustimmen. Anschließend kann die EU-Kommission den Beschluss annehmen.
Warum ist das relevant für Sie? Liest man sich die Stellungnahmen des EDSA genau durch, ist die Verlängerung des Angemessenheitsbeschlusses zwar grundsätzlich möglich, aber kein Selbstläufer. Sollte die EU-Kommission eine schrittweise Flexibilisierung des Datenschutzniveaus in UK feststellen, wäre der Angemessenheitsbeschluss evtl. schnell wieder vom Tisch. Für Sie heißt das, dass Sie prüfen sollten, ob es in Ihrem Unternehmen Datentransfers nach Großbritannien gibt – und wenn dem so sein sollte, die Nachrichtenlage zum Angemessenheitsbeschluss im Auge behalten – oder auf uns zukommen sollten.
Auch wenn zurzeit eher der „Digitale Omnibus“ zur Vereinfachung der Digitalgesetzgebung durch die Presse geistert, könnte ein anderes Thema größere Praxisrelevanz entfalten, nämlich die Frage, wie es mit dem Angemessenheitsbeschluss für Großbritannien weitergeht.
Dieser Beschluss wurde nach dem Brexit nötig, weil Großbritannien nicht mehr Teil der EU und somit aus deren Sicht ein Drittland ist. Um Daten in solche Drittländer übertragen zu dürfen, braucht es zusätzliche Garantien, um das durch die DSGVO gewährleistete Schutzniveau nicht zu unterhöhlen. Eine solche Garantie kann ein sogenannter Angemessenheitsbeschluss sein, durch den einem Land ein adäquates Datenschutzniveau bescheinigt wird. Am bekanntesten ist das Prinzip vom transatlantischen Safe Harbor, dann Privacy Shield und nun DPF mit den USA. Warum besteht also nun Handlungsbedarf wegen UK?
Weil die EU-Kommission UK vorerst nur bis Ende Juni einen Angemessenheitsbeschluss erteilt hatte und diesen wegen verschiedener Anpassungen im Datenschutzrecht, die die EU-Kommission genau prüfen wollte, zwar noch bis zum 27. Dezember verlängert hat, aber der ist ja auch schon bald … Immerhin, die Weichen sind gestellt: Die EU-Kommission legte einen Entwurf für einen neuen UK-Angemessenheitsbeschluss bis 2031 vor. Weil es aber einige Details zu prüfen gab, bat die Kommission den Europäischen Datenschutzausschuss (EDSA) um eine Stellungnahme. Die liegt zwischenzeitlich vor und der EDSA erkennt an, dass UK grundsätzlich einen weitgehend mit der DSGVO vereinbaren Datenschutzrahmen bietet, wenngleich es strukturelle Divergenzen geben könne. Hier empfiehlt der EDSA der EU-Kommission eine wirksame Überwachung. Nachdem diese Hürde also genommen ist, haben nun die Vertreter der EU-Länder zuzustimmen. Anschließend kann die EU-Kommission den Beschluss annehmen.
Warum ist das relevant für Sie? Liest man sich die Stellungnahmen des EDSA genau durch, ist die Verlängerung des Angemessenheitsbeschlusses zwar grundsätzlich möglich, aber kein Selbstläufer. Sollte die EU-Kommission eine schrittweise Flexibilisierung des Datenschutzniveaus in UK feststellen, wäre der Angemessenheitsbeschluss evtl. schnell wieder vom Tisch. Für Sie heißt das, dass Sie prüfen sollten, ob es in Ihrem Unternehmen Datentransfers nach Großbritannien gibt – und wenn dem so sein sollte, die Nachrichtenlage zum Angemessenheitsbeschluss im Auge behalten – oder auf uns zukommen sollten.
