Ein Problem weniger, so sollte man denken. Die Europäische Kommission hat am 28.06.2021 einen Angemessenheitsbeschluss gem. Art. 45 DSGVO gefällt LINK. Somit herrscht im UK ein datenschutzrechtliches angemessenes Schutzniveau, welches einen Datentransfer gem. Art 45 Abs. 1 DSGVO ermöglich. Wir haben im Folgenden die dringlichsten Fragen kurz zusammengestellt, die sich mit diesem Thema befassen.
Frage 1: Dürfen Unternehmen jetzt “blind” Daten mit UK-Dienstleistern austauschen?
Nein. Der Angemessenheitsbeschluss ersetzt die Vorrausetzungen einer sorgfältigen Auswahl und vertraglichen Verpflichtung mit einem Dienstleister (Auftrags-Verarbeitungs-Vertrag AVV) nicht. Weiterhin gelten alle Voraussetzungen der DSGVO.
Frage 2: Mein Dienstleister befindet sich in UK. Muss ich einen AVV schließen?
Ja, ein AVV ist weiterhin Voraussetzung des datenschutzrechtlichen Transfers. Durch den Angemessenheitsbeschluss entfällt jedoch die Notwendigkeit, einen Vertrag mit sogenannten Standardvertragsklauseln (SDK oder SCC (en)) zu schließen. Diese Verträge generieren in der Prüfung und Erstellung einen erheblichen Aufwand.
Frage 3: Ist die DSGVO jetzt bei Verträgen mit UK-Unternehmen anwendbar?
Die DSGVO war und ist für Unternehmen mit Sitz in der EU anwendbar. Daran hat der Angemessenheitsbeschluss der EU-Kommission nichts geändert.
Frage 4: Warum ist UK jetzt “sicher” und warum sind es die USA weiterhin nicht?
Diese Frage führt hier vielleicht etwas zu weit, ist aber durchaus berechtigt. Aus den zur Verfügung stehenden Unterlagen ist bekannt, dass die britischen Geheimdienste beim Zugriff auf Daten überhaupt nicht zimperlich sind. Hierzu aber der Angemessenheitsbeschluss (S. 104):
(275) Schließlich vertritt die Kommission auf der Grundlage der verfügbaren Informationen
über die Rechtsordnung des Vereinigten Königreichs die Auffassung, dass jeder
Eingriff britischer Behörden in die Grundrechte der Personen, deren
personenbezogene Daten aus der Europäischen Union in das Vereinigte Königreich zu
Zwecken des öffentlichen Interesses, insbesondere zu Zwecken der Strafverfolgung
und der nationalen Sicherheit, übermittelt werden, auf das zur Erreichung des
betreffenden rechtmäßigen Ziels unbedingt erforderliche Maß beschränkt ist und dass
ein wirksamer Rechtsschutz gegen derartige Eingriffe besteht.
Wie die Kommission hat hierzu folgende Rechtsbehelfe erkannt, die den Betroffenen zur Verfügung stehen:
Erstens hat eine betroffene Person nach Paragraf 165 DPA 2018 das Recht auf
Beschwerde beim Information Commissioner, wenn sie der Ansicht ist, dass im
Zusammenhang mit sie betreffenden personenbezogenen Daten ein Verstoß gegen
Teil 3 des DPA 2018 vorliegt.251(171) Zweitens besteht gemäß dem DPA 2018 das Recht auf einen Rechtsbehelf gegen den
Information Commissioner, wenn dieser eine Beschwerde der betroffenen Person nicht
angemessen bearbeitet.(172) Drittens können Einzelpersonen direkt vor Gericht Rechtsbehelfe gegen
Verantwortliche und Auftragsverarbeiter einlegen.Viertens kann jede Person, die der Ansicht ist, dass ihre Rechte, einschließlich der
Rechte auf Privatsphäre und Datenschutz, von einer Behörde verletzt wurden, vor den
Gerichten des Vereinigten Königreichs gemäß dem Human Rights Act 1998 einen
Rechtsbehelf einlegen256;(174) Natürliche Personen können bei Verstößen gegen den IPA 2016 vor dem Gericht für
Ermittlungsbefugnisse (Investigatory Powers Tribunal) Rechtsbehelfe einlegen.
In wie weit diese Rechtsbehelfe tatsächlich wirksam sind, bleibt abzuwarten.
Recent Comments