Schlagwort: Angemessenheitsbeschluss

Großbritannien will sich von DSGVO lösen

30. August 2021

Letzten Donnerstag kündigte die britische Regierung an, sich zukünftig von den wesentlichen Inhalten der DSGVO trennen und ein neues Gesetz einführen zu wollen. Der Datenschutz solle weniger bürokratisch sein und einige Vorschriften sollen abgeschafft werden. Konkret als Beispiele wurden dabei die Cookie-Banner genannt, die von Minister Oliver Dowden in vielen Fällen als ‚sinnlos‘ angesehen werden. Diese Banner, die vom Webseiten-Besucher eine Einwilligung in das Speichern seiner Daten durch Cookies verlangen, sollen nach dem Willen der britischen Regierung zukünftig nur noch erforderlich sein, wenn ein hohes Risiko für die Privatsphäre der Besucher besteht. Dabei sollen vor allem kleine Unternehmen und Wohltätigkeitsorganisationen entlastet werden. Nach der Aussage von Oliver Dowden soll von diesen nicht dasselbe verlangt werden, wie von riesigen Social-Media-Unternehmen.

Auch freiere internationale Datenflüsse sind geplant. Dazu will Großbritannien Datenschutzvereinbarungen mit weiteren Staaten abschließen, u.a. den USA und Dubai. Die Abkommen sollen dabei z.B. Online-Banking und die Strafverfolgung regeln.

Eingerichtet werden soll auch ein ExpertInnen-Rat, der “International Data Transfers Expert Council”. Dieser Rat soll Vereinbarungen treffen und gleichzeitig auf die Einhaltung des Datenschutzes achten.

Der Vorschlag für das neue Gesetz soll im Laufe des Septembers veröffentlich werden. Die EU-Kommission plant dann eine sofortige Überprüfung, ob das geplante Gesetz dem Datenschutzniveau der EU entspricht. Sollte dies nicht der Fall sein, hätte dies Folgen für den erst seit zwei Monaten bestehenden Angemessenheitsbeschluss. Dieser kann jederzeit ausgesetzt und beendet werden, bekräftigte ein Kommissionsprecher. Dann würde die Datenübertragung zwischen Großbritannien und der EU wieder wesentlich komplizierter. Da Datentransfers sodann einer erneuten Überprüfung unterliegen und zum Beispiel Standardvertragsklauseln geschlossen werden müssen. Großbritanniens Minister Dowden versichert hingegen, das Datenschutzniveau der EU würde beibehalten.

Es ist das erste Mal seit dem Austritt Großbritanniens aus der EU, dass die britische Regierung europäische Regeln verwerfen will. Die weitere Entwicklung bliebt abzuwarten und wird maßgeblich von dem Inhalt des Gesetzesentwurfes abhängen.

EU Kommission nimmt Angemessenheitsbeschluss zum Vereinigten Königreich an

5. Juli 2021

Die Europäische Kommission hat am 28. Juni 2021 den Angemessenheitsbeschluss im Rahmen der Datenschutzgrundverordnung angenommen. Das Datenschutzniveau in Großbritannien wurde damit von der Kommission als angemessen für europäische Standards anerkannt und personenbezogene Daten können nun trotz Brexit ungehindert aus der Europäischen Union in das Vereinigte Königreich übermittelt werden.

Zur Begründung führte die Kommission aus, dass das Vereinigte Königkreich weiterhin auf den selben Regeln basiert, die galten als es noch Mitglied der EU war. Auch die Grundsätze, Rechte und Pflichten der DSGVO seien vollständig in das seit dem Brexit geltende Rechtssystem übernommen worden.

Im Vorfeld war der Angemessenheitsbeschluss häufig wegen des ungehinderten und unkontrollierten Zugriffs britischer Geheimdienste auf personenbezogene Daten in Kritik geraten. Zudem hatte der Europäische Gerichtshof für Menschenrechte (EGMR) im Mai erst ein Urteil erlassen, indem es die Massenüberwachung durch britische Geheimdienste als Verstoß gegen die Menschenrechte gewertet hatte. Auch dieser Kritik begegnete der Beschluss, indem er dem Vereinigten Königreich in Bezug auf den Zugriff auf personenbezogene Daten starke Garantien zusprach. Ein wichtiges Element des Beschlusses ist daher, dass insbesondere die Geheimdienste bei Datenerhebungen der vorherigen Genehmigung durch ein unabhängiges Rechtsorgan unterliegen. Ebenso, dass alle ergriffenen Maßnahmen notwendig und verhältnismäßig sein müssen.

Neu an dem Angemessenheitsbeschluss ist auch, dass dieser erstmals eine sog. Verfallsklausel (“sunset clause”) enthält, durch den die Geltungsdauer des Beschlusses auf vier Jahre begrenzt wird. Während dieser Zeit hat die Kommission angekündigt, dass Datenschutzniveau im Vereinigten Königreich ständig im Blick zu behalten und im Falle von Abweichungen entsprechend einzugreifen. Sollte nach Ablauf der vier Jahre weiterhin ein angemessenes Datenschutzniveu vorliegen, kann der Beschluss auch verlängert werden.

Durch den Angemessenheitsbeschluss hat die Europäische Kommission eine Rechtsgrundlage für Datenübermittlungen in das Vereinigte Königreich für die nächsten vier Jahre geschaffen. Sollte der Beschluss nicht zufrieden stimmen, sind Klagen gegen diesen – ähnlich wie dies mit dem Privacy-Shield im Schrems-II-Urteil geschah – möglich.

Freier Datenverkehr zwischen Südkorea und der EU

1. April 2021

EU-Justizkommissar Didier Reynders und der Vorsitzende der Kommission für den Schutz personenbezogener Daten Yoon Jong In haben den erfolgreichen Abschluss der Angemessenheitsgespräche bekannt gegeben. Die Gespräche begannen bereits 2017. Beim Thema Datenschutz herrsche ein hohes Maß an Übereinstimmung zwischen der EU und der Republik Korea. Beide Seiten einigten sich auf einige zusätzliche Garantien, um das Schutzniveau in Südkorea noch einmal zu stärken. Zuvor wurden im südkoreanischen Datenschutzgesetz entscheidende Änderungen beschlossen, u.a. eine Stärkung der Ermittlungs- und Durchsetzungsbefugnisse der PIPC, der unabhängigen Datenschutzbehörde der Republik Korea.

Bis es zum freien Datenfluss kommen kann, muss die EU-Kommission das Verfahren zur Annahme ihrer Angemessenheitsfeststellung einleiten. In diesem Verfahren muss der Europäische Datenschutzausschuss eine Stellungnahme abgeben und ein Ausschuss, der sich aus Vertretern der EU-Mitgliedstaaten zusammensetzt, zustimmen. Anschließend stellt sie die Angemessenheit fest.

Die EU-Kommission kann gemäß Art. 45 Abs. 3 DSGVO beschließen, dass ein Drittland ein “angemessenes Schutzniveau” bietet, also der Schutz personenbezogener Daten im Wesentlichen mit dem in der EU vergleichbar ist. Auf Grundlage dieser Angemessenheitsbeschlüsse dürfen personenbezogene Daten aus der EU in das Drittland übermittelt werden, ohne das weitere Schutzmaßnahmen ergriffen werden müssen. Südkorea wird das 13. Land sein, in das personenbezogene Daten auf der Grundlage eines Angemessenheitsbeschlusses übermittelt werden dürfen.

Brexit und Datentransfers: Einigung auf Übergangsregelungen

5. Januar 2021

Zum 01.01.2021 wurde der Brexit nun “endlich” offiziell vollzogen, und noch rechtzeitig vor Ablauf der Übergangsfrist konnten sich die EU und das Vereinigte Königreich (UK) auf ein Handels- und Kooperationsabkommen einigen. Dieses ist zwar bisher lediglich provisorisch in Kraft – es fehlt noch die Bestätigung der verschiedenen Institutionen und Mitgliedsstaaten – jedoch dürfte es sich dabei nur noch um eine Formalie handeln.

Vereinigte Königreich nun ein “Drittstaat”

Mit dem Austritt aus der EU ist das Vereinigte Königreich aus datenschutzrechtlicher Sicht nun ein sog. Drittstaat. Dies bedeutet, dass Datentransfers ins Vereinigte Königreich besonders gerechtfertigt werden müssen. Zu diesem Zweck kommt ein Angemessenheitsbeschluss der Kommission in Betracht (Art. 45 DS-GVO), durch welchen bestätigt wird, dass die Datenschutzbestimmungen des Vereinigten Königreichs ein angemessenes Schutzniveau für die übermittelten Daten gewährleisten. Fehlt es an einem solchen Beschluss, kommen die in Art. 46 Abs. 2 DS-GVO genannten Möglichkeiten zur Rechtfertigung in Betracht. Hier würde wie bei Datentransfers in die USA wohl überwiegend auf die sog. Standardvertragsklauseln zurückgegriffen werden, wobei angesichts der Schrems-II-Entscheidung (wir berichteten) fraglich sein könnte, ob diese allein ausreichend sind.

Angemessenheitsbeschluss in Arbeit

Für Rechtssicherheit auf Seiten der betroffenen Unternehmen – und auch für bürokratische Entlastung – würde demnach ein Angemessenheitsbeschluss sorgen. Bereits seit März 2020 arbeitet die Kommission nach eigenen Angaben an einem solchen Beschluss, bisher wurde dieser jedoch noch nicht erlassen. Selbst wenn die Kommission den Beschluss zeitnah erlässt, würde für zusätzliche Verzögerung sorgen, dass dieser auch noch durch den Europäischen Datenschutzausschuss (EDSA) sowie durch die 27 Mitgliedsstaaten bestätigt werden muss.

Weil zwischen dem Ausstritt des Vereinigten Königreichs und dem (möglichen) Erlass des Angemessenheitsbeschlusses eine Lücke entstanden ist, wurde in das Handels- und Kooperationsabkommen eine Übergangsregelung aufgenommen. Diese ermöglicht für die kommenden vier Monate, dass personenbezogene Daten auch ohne ein in den Art. 45 ff. DS-GVO genanntes Instrument übermittelt werden können. Sofern erforderlich und falls keine der beiden Parteien widerspricht, kann sich die Übergangsfrist um weitere zwei Monate – also bis zum 01.07.2021 – verlängern. Bis zu diesem Zeitpunkt ist also für Rechtssicherheit gesorgt.

Und nach Ablauf der Übergangsregelungen?

Was aber passiert, wenn bis zu diesem Datum kein Angemessenheitsbeschluss erlassen wurde? Unmöglich erscheint dies nicht, berücksichtigt man die durch den EuGH gestellten Anforderungen an die Wirksamkeit eines solchen Beschlusses. Auch scheint fraglich, ob die Kommission ein erneutes Szenario wie beim Privacy-Shield riskieren will, also das Abkommen durch den EuGH gekippt wird und dies für erhöhte Rechtsunsicherheit sorgt. Insofern sollten sich die betroffenen Unternehmen auch auf den Worst Case vorbereiten: Dass ab dem 01.07.2021 Instrumente wie die Standardvertragsklauseln herangezogen werden müssen, um Datentransfers in das Vereinigte Königreich rechtfertigen zu können.

Was sieht der Brexit-Deal im Hinblick auf Datenschutz vor?

16. November 2018

Nachdem sich die EU mit Großbritannien letztendlich auf einen Entwurfstext für ein Austrittsabkommen geeinigt haben, rückt der Austritt am 29. März 2019 immer näher. Demnach stellt sich die Frage wie sich der Datenschutz in Großbritannien gestalten wird.

EU und Großbritannien haben sich nun in 5 kurzen Artikeln verständigt, dass das europäische Datenschutzrecht während der Übergangsphase weiterhin im Wesentlichen gelten soll. In Artikel 71 (1) des Abkommens wird dabei zwischen den Daten, die bis zum Ablauf des Übereinkommens verarbeitet werden und solchen, die danach verarbeitet unterschieden. Bis zum Ende der Übergangsphase gilt weiterhin EU-Recht. In Artikel 71 (2) hat Großbritannien die Möglichkeit ein nationales Datenschutzgesetz zu beschließen und dafür einen Angemessenheitsbeschluss mit der EU auszuhandeln. Artikel 73 des Abkommens schreibt nieder, dass Daten aus Großbritannien wie Daten aus den Mitgliedsländern behandelt werden.

Spannend bleibt, ob dieses Übereinkommen überhaupt Wirkung entfalten wird, da das britische Parlament ein Strich durch diese Rechnung machen könnte.

Gesetzt den Fall es gäbe keinen Deal, würde es keinen Angemessenheitsbeschluss nach Art. 45 DSGVO geben. Großbritannien müsste demnach wie ein Drittland behandelt werden.

Vereinigtes Königreich ist ab 30.03.2019 ein Drittland

12. Januar 2018

Die Europäische Kommission verkündete in einer Mitteilung vom 09.01.2018, dass das Vereinigte Königreich ab dem 30.03.2019 (00:00 Uhr CET) – vorbehaltlich eines anderslautenden Datums in einem Austrittsabkommen – als “Drittland” im Sinne der Datenschutz-Grundverordnung (DSGVO) einzustufen ist. Durch den “Brexit” wird das Primär- und Sekundärrecht der Europäischen Union zu diesem Datum nicht mehr anwendbar sein. Großbritannien und Nordirland sind datenschutzrechtlich damit so zu behandeln wie die USA, Russland oder China.

Während die Einstufung als Drittland als Konsequenz des Ausstiegs des Vereinigten Königreichs aus der EU noch zu erwarten war, vermag die Aussage der Kommission jene Beobachter zu enttäuschen, die auf eine Anerkennung des Datenschutzniveaus im Vereinigten Königreich hofften. Immerhin gilt die DSGVO dort bis zum Austritt aus der EU. Eine automatische Anerkennung des Schutzniveaus gibt es jedoch nicht.

Was bedeutet es für die Praxis, wenn Daten nach dem Stichtag in das Vereinigte Königreich übermittelt werden sollen? Mangels Angemessenheitsbeschluss der Kommission sind die Instrumente des Art. 46 DSGVO anzuwenden. Verantwortliche und Autragsverarbeiter werden wohl vorrangig auf EU-Standardvertragsklauseln zurückgreifen. Weiter könnten genehmigte Verhaltensregeln (“Code of Conduct”) und Zertifizierungsmechanismen als Übermittlungsgrundlage dienen.

Unternehmen in der EU sollten sich also frühzeitig um die rechtssichere Ausgestaltung ihrer Datentransfers in das Vereinigte Königreich bemühen.

Datenschutz-Grundverordnung in Großbritannien trotz Brexit?

8. August 2017

Auch aus datenschutzrechtlicher Sicht ist bereits viel diskutiert worden, welche Folgen der Ausstieg des Vereinigten Königreichs aus der EU haben wird. Die britische Regierung hat nun aber verlauten lassen, trotz oder gerade wegen der Austrittsverhandlungen eine Anpassung des UK-Datenschutzrechts an die neuen EU-Maßstäbe der Datenschutz-Grundverordnung vornehmen zu wollen. Hierzu wurde die Pressemitteilung “Government to strengthen UK data protection law” veröffentlicht.

Die EU-Datenschutz-Grundverordnung gilt ab dem 25.05.2018 unmittelbar und zwingend in jedem EU-Mitgliedsstaat, lässt durch sogenannte Öffnungsklauseln aber zum Teil Spielraum für national individuelle Gestaltung. Als erster Mitgliedsstaat hat Deutschland hiervon Gebrauch gemacht und ein neues Bundesdatenschutzgesetz konzipiert, das die bestehenden Spielräume für sich nutzt. Dieses Vorgehen plant nun auch die britische Regierung und will die Regelungen der Datenschutz-Grundverordnung in die Zeit nach der Durchführung des Brexit “retten”. Durch ein an die EU-Verordnung angepasstes Datenschutzrecht soll der ungehinderte Datenfluss zwischen Großbritannien und den kontinentaleuropäischen Staaten über den Brexit hinaus sichergestellt werden. Dass man durch ein neues Gesetz die Datenschutz-Grundverordnung in britisches Recht überführe, sei ein wichtiger Baustein für eine erfolgreiche Durchführung des Brexits, so die Pressemeldung.

Für die Zulässigkeit der Datenübermittlung an Stellen außerhalb der EU (sogenanntes “Drittland”) verlangt die Datenschutz-Grundverordnung in Art. 45 ein “angemessenes Schutzniveau” in der betreffenden Region, welches von der Europäischen Kommission festgestellt werden kann. Hintergrund der geplanten Auferlegung der EU-Datenschutzregeln durch die britische Regierung dürfte daher sein, den Weg für einen entsprechenden Angemessenheitsbeschluss frühzeitig zu ebnen.

EU-Kommission stellt Legislativpakt zum Privacy Shield vor

2. März 2016

Zu Beginn dieser Woche veröffentlichte die EU-Kommission in einer Pressemitteilung verschiedene Dokumente hinsichtlich des EU-US Privacy Shields`.
Nachdem der EuGH in seinem Urteil vom 06.10.2015 das Safe-Harbor-Abkommen für ungültig erklärte, obliegt es dem europäischen Gesetzgeber eine neue Rechtsgrundlage zu entwerfen, die den Datentransfer zwischen den EU-Mitgliedsstaaten und den USA legitimiert und dessen Grundsätze und Voraussetzungen regelt. Wie in einem früheren Blogbeitrag berichtet, stellte die EU-Kommission Anfang Februar die Rahmenbedingungen des neuen Regelungswerks – namentlich des EU-US Privacy Shields` – vor.
Das Privacy Shield enthält zum einen strenge Regularien für US-Unternehmen. Diese sollen demnach unter anderem verpflichtet werden, sich regelmäßig ihre Datenschutzkonformität zu bescheinigen, ihre Datenschutzerklärung im Internet zur Verfügung zu stellen und innerhalb von 45 Tagen auf Beschwerden zu reagieren. Bei Verstößen oder Nichtbeachtung drohen Sanktionen. Weiterhin sollen EU-Bürgen zukünftig auf verschiedenen Wegen Rechtsschutz garantiert werden, so dass sie bei Verletzung ihrer Datenschutzrechte gegen US- Behörden und Unternehmen gerichtlich und außergerichtlich vorgehen können. Ein weiteres neues Element in des Privacy Shields´ sind Verbote dahingehend, dass US-Behörden nur unter festgelegten Voraussetzungen personenbezogene Daten speichern dürfen.
Die EU-Kommission nahm außerdem einen sogenannten Angemessenheitsbeschluss an. Der Angemessenheitsbeschluss bescheinigt, dass die USA den Schutz von personenbezogenen Daten überzeugend zugesichert haben. In verschiedenen Dokumenten versichert die US-Regierung (Annexe I-VII), dass konkrete Auflagen für US-Unternehmen gelten und diese konsequent durchgesetzt werden, der Zugriff auf Daten von EU-Bürgern durch US-Behörden eindeutigen Beschränkungen unterliegen, EU-Bürger ihre Datenschutzrechte sowohl gegen US-Unternehmen als auch US-Behörden geltend machen können und somit hinreichend Rechtsschutz gewährleistet ist. Die Einhaltung und Umsetzung des Privacy Shields‘ wird zudem überwacht und regelmäßig geprüft.
Für EU-Bürger sollen durch diese Mechanismen vor allem mehr Transparenz hinsichtlich des Datentransfers sowie ein besserer Schutz ihrer Daten und eine vereinfachte Durchsetzung ihrer Rechte entstehen.
In den USA hat zwischenzeitlich der US-Präsident Obama den Judicial Redress Act unterzeichnet. Dieser garantiert EU-Bürgern Rechtsschutz in den USA. Außerdem werden in den USA nun weitere Vorkehrungen getroffen werden, um die vereinbarten Maßnahmen zu realisieren. Auf europäischer Seite wird nun die Artikel-29-Datenschutzgruppe zu den von der EU-Kommission vorgelegten Dokumenten beraten, bevor abschließend über das EU-US Privacy Shield entschieden wird.
Ob die vereinbarten Maßnahmen und deren Umsetzung tatsächlich zu einem besseren Datenschutzniveau beitragen werden, bleibt abzuwarten.