Affiliate-Marketing
Afterbuy
Amazon
Apotheken-Online-Shop
Apps (Datenschutzerklärung)
Argato
Avocadostore
Azoo
Booklooker
branchbob
BrickLink
Cardmarket
Cdiscount.com
Chrono24
commerce:seo
conrad.de
CosmoShop
Delcampe
Dienstleistungen
Discogs
Dropshipping-Marktplatz.de
eBay
eBay-Kleinanzeigen
ecwid
eGun
Einkaufsbedingungen (B2B)
ePages
Etsy
Facebook
FairFox
Fairmondo.de
galeria.de
Gambio
Gambio-Cloud
Gastro-Lieferservice (Restaurants)
GTC for Shopify
Handmade at Amazon
Homepages
Hood
Hosting-B2B
Hosting-B2B-B2C
Idealo-Direktkauf
Instagram
Jimdo
Joomla
JTL
Kasuwa
Kaufland.de
Kauflux
kayamo
Lightspeed
LinkedIn
Lizenzo
Magento 1 und Magento 2
manomano
Mediamarkt.de
meinOnlineLager
metro.de
modified eCommerce-Shops
Mädchenflohmarkt
Online-Shop
Online-Shop (Verkauf digitaler Inhalte)
Online-Shop - B2B
OpenCart
Otto.de
Oxid-Shops
Palundu
Pinterest
placeforvegans.de
plentymarkets
Praktiker.de
Prestashop
PriceMinister.com
productswithlove
RAIDBOXES
Restposten
restposten24.de
Ricardo.ch
Seminare
Shop - Online-Kurse (live/on demand)
Shop - Verkauf von eigener Software
Shop - Verkauf von fremder Software
Shop - Vermietung von Waren
Shopgate
shopify
Shopware
Shpock+
shöpping.at
smartvie
Squarespace
STRATO
Teilehaber.de
TikTok-Präsenzen
Tumblr
Twitch
Twitter
TYPO3
Verkauf von Veranstaltungstickets
Verkauf über individuelle Kommunikation (B2B + B2C)
Verkauf über individuelle Kommunikation (B2B)
Verkauf über Printkataloge
Verkauf über stationären Handel
Vermietung Ferienwohnungen
Vermietung von Shops (inkl. Hosting)
VersaCommerce
VirtueMart
webador
Werky
Wix
WooCommerce
WooCommerce German Market
WooCommerce Germanized
WordPress
Wordpress-Shops
wpShopGermany
Xanario
XING
xt:Commerce
Yatego
YouTube
Zen-Cart
ZVAB
Österreichische Datenschutzerklärung
von RA Phil Salewski

DSGVO: Angemessenheitsbeschluss für das Vereinigte Königreich (UK) erlassen

News vom 29.06.2021, 10:16 Uhr | Keine Kommentare

Anlässlich des zum 30.12.2020 vollzogenen Brexit war Großbritannien eine Übergangsfrist bis zum 01.07.2021 eingeräumt worden, unter der es datenschutzrechtlich noch als Teil der EU gilt. Bis zum Fristablauf sollte ein Angemessenheitsbeschluss für den Inselstaat verabschiedet werden, um für das Vereinigte Königreich die hohen datenschutzrechtlichen Anforderungen an Drittstaatentransfers abzuwenden. Nachdem am 20.05.2021 die Beschlussfassung zunächst im EU-Parlament scheiterte, ist nun am 28.06.2021 ein Angemessenheitsbeschluss von der EU gebilligt worden. Damit gilt Großbritannien ab sofort datenschutzrechtlich weitestgehend als „sicheres Drittland“.

I. Ab dem 01.07.2021: UK als Drittland

Auch wenn Großbritannien aus europarechtlicher Sicht seit Ablauf des 31.12.2020 nicht mehr als Mitgliedsstaat anzusehen und insofern in handels- und steuerrechtlichen Sachverhalten grundsätzlich als Drittland zu behandeln ist, galt datenschutzrechtlich bislang etwas anderes:

Gemäß Art. FINPROV 10A des Brexit-Abkommens vom 31.12.2021 (S. 468 ff) galt Großbritannien für einen Zeitraum von 4 Monaten ab dem 01.01.2021, also zunächst und vorerst bis zum 30.04.2021, nicht als „Drittland“ im Sinne der DSGVO.

Kurz vor Fristablauf ratifizierte das EU-Parlament allerdings das Brexit-Handelsabkommen mit der Folge, dass sich die datenschutzrechtliche „EU-Fiktion“ Großbritanniens um weitere zwei Monate, also bis zum 30.06.2021, verlängerte.

Zum 01.07.2021 wird das Vereinigte Königreich damit im Sinne der DSGVO endgültig als Drittland gelten.

Diese Einstufung ist insofern von zentraler Bedeutung für den Handel und sonstige Wirtschaftsbeziehungen zwischen der EU und dem Inselstaat, als Datentransfers nach UK ab dem Zeitpunkt grundsätzlich nur unter strengen Voraussetzungen möglich sind. Die DSGVO fordert nämlich gemäß den Art. 45 ff. geeignete Datensicherheitsgarantien für Drittstaatentransfers und verpflichtet die Beteiligten unter Umständen zur Vereinbarung und Einhaltung strenger Auflagen.

asd

II. UK-Angemessenheitsbeschluss ab 28.06.2021

Die Notwendigkeit aufwendiger individueller Datensicherheitsgarantien für Datentransfers in den Inselstaat sollte nach Willen der Brexit-Vertragsparteien durch Fassung eines sogenannten Angemessenheitsbeschlusses vermieden werden.

Ein solcher Beschluss, bereits im Brexit-Vertrag anberaumt, gilt gemäß Art. 45 DSGVO als Alternative zur Einrichtung von Datensicherheitsgarantien, indem er einem Drittstaat ein mit europäischen Standards vergleichbares Datenschutzniveau bescheinigt und Datentransfers auf dieser Grundlage allgemein legitimiert.

Ziel eines Angemessenheitsbeschlusses ist es also gerade, Datenverantwortliche von der Einrichtung und Durchsetzung individueller Datensicherheitsmaßnahmen zu befreien.

Ein Angemessenheitsbeschluss qualifiziert den betroffenen Staat als datenschutzrechtliches sicheres Drittland und legitimiert Datentransfers zwischen ihm und der EU allgemein, ohne dass es einer individuellen Prüfung oder weiterer Maßnahmen der einzelnen Datenverantwortlichen bedürfte.

Nachdem die EU-Kommission im Februar 2021 das Verfahren zur Annahme einer Angemessenheitsfeststellung für das Vereinigte Königreich eingeleitet hatte, scheiterte die Verabschiedung eines Angemessenheitsbeschlusses zunächst am 20.05.2021 mit knapper Mehrheit im EU-Parlament.

Grund hierfür waren Bedenken an der Datensicherheit in UK im Hinblick auf Folgetransfers von der Insel in andere Drittstaaten. Auch die weitgehenden Überwachungsbefugnisse britischer Geheimdienste wurden als Hemmnis für ein angemessenes Datenschutzniveau gesehen.

Diese Bedenken konnten innerhalb der EU-Organe nun allerdings durch eine Modifizierung der Angemessenheitsentscheidung und einer Einschränkung ihres Anwendungsbereichs so ausgeräumt werden, dass am 28.06.2021 der geplante Angemessenheitsbeschluss für das Vereinigte Königreich in seiner konsolidierten Fassung erlassen wurde.

Damit sind Datentransfers von der EU auf den Inselstaat weitestgehend als „sicher“ im Sinne von Art. 45 DSGVO qualifiziert, besondere Genehmigungs- oder Schutzpflichten der Datenverantwortlichen erübrigen sich.

Der Angemessenheitsbeschluss behält seine Gültigkeit vorerst bis zum 27.06.2025. Zum Ablauf dieses Zeitraums muss die EU-Kommission selbstständig neu prüfen, ob die Angemessenheit des UK-Datenschutzniveaus auch weiterhin gewährleistet ist.

III. Datenverarbeitungen zur Zwecke der Einwanderungskontrolle ausgeklammert

Eine besondere Einschränkung macht der aktuelle Angemessenheitsbeschluss für Datenverarbeitungen zur Zwecke der Einwanderungskontrolle.

Besorgnis bestand bei den europäischen Datenschutzhütern, weil die UK-Gesetze hierfür weite Ausnahmeregelungen vorsehen, die nach EU-Ansicht Betroffenenrechte unbillig beschneiden.

Aus diesem Grund sind Datenübermittlungen in das Vereinigte Königreich zu Zwecken der Eiwanderungskontrolle vom Anwendungsbereich des Angemessenheitsbeschlusses ausgeklammert. Er entfaltet dafür also keine legitimierende Wirkung.
Sollten personenbezogene Daten zu diesem Zweck nach Großbritannien übertragen werden, sind die Verantwortlichen also auch weiterhin gehalten, eigenständig geeignete Garantien gemäß Art. 46 DSGVO zu implementieren.

IV. Fazit

Seit dem 28.06.2021 gilt das Vereinigte Königreich in weiten Teilen möglicher Datenübermittlungen aufgrund eines nun erlassenen Angemessenheitsbeschlusses als sicheres Drittland. Für die meisten Wirtschaftsakteure mit Handelsbeziehungen zu Großbritannien ist diese Adäquanzentscheidung ein Grund zum Aufatmen. Immerhin befreit sie von der Pflicht, eigenständig geeignete Datensicherheitsgarantien einzurichten und anzuwenden.

Eine maßgebliche Einschränkung sieht der Angemessenheitsbeschluss für Datenübermittlungen zu Zwecken der Einwanderungskontrolle vor, wo er nicht zur Anwendung kommt und wo insofern die strengen Anforderungen der Art. 46 ff. DSGVO von Verantwortlichen zu beachten sind.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.

Autor:
Phil Salewski
Rechtsanwalt

Besucherkommentare

Bisher existieren keine Kommentare.

Vielleicht möchten Sie der Erste sein?

© 2005-2021 · IT-Recht Kanzlei Keller-Stoltenhoff, Keller