Wieder Neuigkeiten von der Insel. Unser Lieblingsthema rund um den Brexit hat eine neue Schlagzeile hervorgebracht. Die EU-Kommission hat am 28. Juni 2021 nach langer Beratung den neuen Angemessenheitsbeschluss für die Briten erlassen. Die Beantwortung der Fragen: Was das konkrete Problem war, was es mit so einem Beschluss auf sich hat und weitere interessante Fragen, sollen das Ziel dieses kurzen Beitrags sein. 

Der Austritt des Vereinigten Königreichs aus der EU hat auf vielen Gebieten Auswirkung – die DS-GVO nicht ausgenommen. Durch den vollzogenen Brexit gilt UK nun als Drittland.In Hinsicht auf den Datenaustausch wurde England eine Übergangsfrist bis einschließlich heute, den 30. Juni 2021, eingeräumt. Verständlich, dass man nun handeln musste, um den Austausch für Datenexporteure und -Importeure zu erleichtern. 

Innerhalb der Union ist die Verarbeitung von personenbezogenen Daten im Sinne eines Auftrags gem. Art 28 soweit erleichtert, dass ein Auftragsverarbeitungsvertrag (AVV) ohne Weiteres zwischen den Parteien  abgeschlossen werden kann. Kommt jedoch der Datenimporteur aus einem Drittland sieht der Sachverhalt etwas anders aus. Da in der Union die informationelle Selbstbestimmung durch die DS-GVO einheitlich gesichert ist, müssen Vorkehrungen getroffen werden, um dies auch für EU-Ausland zu garantieren. Die für die Praxis relevantesten Tools sind hierbei die sog. Angemessenheitsbeschlüsse und die Standardvertragsklauseln (SCC). Zweiteres wird womöglich in einem späteren Beitrag näher erläutert.

Ein Angemessenheitsbeschluss ist salopp gesagt die „Créme de la Créme“ für die Übermittlung personenbezogener Daten an Drittländer. 

Die Kommission überwacht fortlaufend die Entwicklungen in Drittländern. Kommt sie zum Entschluss, dass ein Land ein ähnliches Datenschutzniveau wie die EU hat, wird das Land als „sicheres Land“ eingestuft. Dadurch wird das Abschließen von AVV gem. Art 28 soweit erleichtert, dass keine weiteren Verträge oder Einwilligungen abgeschlossen bzw. eingeholt werden müssen. 

Genau zu diesem Ergebnis ist die Eu-Kommission gekommen. Durch den Beschluss am 28. Juni gilt UK als solch ein sicheres Land. Nun können AVV weiterhin problemlos abgeschlossen werden. 

Jedoch darf man die Entscheidung der Kommission kritisch hinterfragen. Fast schon amüsant war hierbei der Weg zum Erlass. Dem Europäischen Parlament wurde der Entwurf zur Abstimmung vorgelegt. Am 21. Mai 2021 wurde er mehrheitlich abgelehnt. Kritikpunkte aus der Entschließung P9_TA (2021) 0262 sind unter anderem, die durch Edward Snowden aufgedeckte, Massenüberwachung und mangelnde Umsetzungen von datenschutzrechtlichen Vorgaben (selbst als UK noch Unionsmitglied war). Trotz vorliegenden Bedenken entschloß sich die Kommission ihr Vorhaben durchzubringen. Ob die Befürchtungen des Parlamentes sich bewahrheiten werden, bleibt abzuwarten.

Zusammenfassend lässt sich folgendes festhalten: Der Angemessenheitsbeschluss sorgt jedenfalls für Erleichterung für alle Datenexporteure (bspw. deutsche Unternehmen) und Datenimporteure (Englische Unternehmen). Sie können weiterhin ihre Datenverarbeitung im Auftrag auf Basis einer einfachen AVV gem. Art 28 DS-GVO fortsetzen. Nichtsdestotrotz sind Unternehmen gut beraten diese AVV in Hinblick auf die Anforderungen aus Art. 28 noch mal zu überprüfen. 

Haben Sie bereits Erfahrungen mit dem Thema Angemessenheitsbeschluss gemacht? Unter welchen Herausforderungen standen Sie dabei? Schreiben Sie es in die Kommentare, als Community können wir voneinander lernen!