Wie an dieser Stelle bereits berichtet, herrscht seit dem 01. Januar 2021 eine gewisse Rechtsunsicherheit, was den Datentransfer nach Großbritannien anbelangt. Zum 01. Januar 2020 ist das Land offiziell aus der EU ausgetreten und damit datenschutzrechtliches Drittland. Bis zum 31. Dezember 2020 galt als Übergangsregelung das bestehende Datenschutzrecht fort, so dass sich zunächst nicht änderte.
Da der berühmt/berüchtigte „Deal“ zum Austritt Großbritanniens erst in letzter Minute zustande kam, war eine Neuregelung des Datentransfers für die Zeit ab dem 01. Januar 2021 nicht mehr zu bewerkstelligen. Deshalb hatte die EU-Kommission eine viermonatige Übergangsfrist mit der Option einer nochmals zweimonatigen Verlängerung geschaffen. In dieser Zeit ist ein Datentransfer weiterhin in der gewohnten Form möglich, es sollte aber auch eine finale Lösung des Problems vonseiten der EU geschaffen werden. Diese zeichnet sich nun ab – oder auch nicht:
Wie der Nachrichtendienst Heise berichtete, hat mm 19. Februar die EU-Kommission beschlossen, das vereinigte Königreich als sicheres Drittland anzuerkennen, ihm also ein der EU adäquates Datenschutzniveau zuzusprechen. Damit kann können dann weiterhin Daten übermittelt werden, wie es innerhalb der EU möglich ist; die Regelungen für eine Übermittlung in Drittländer müssen weiterhin nicht angewendet werden.
Allerdings ist dieser Beschluss, der Großbritannien als „Teil der europäischen Datenschutzfamilie“ (Věra Jourová, Kommissionspräsidenten für Werte und Transparenz und damit zuständig für den Datenschutz) hält, nicht unumstritten. In Großbritannien haben In- und Auslandsgeheimdienst, letzterer in enger Kooperation mit der befreundeten NSA (USA) weitreichende Befugnisse zur Massenüberwachung bis hin zu „massiven Eingriffen in technische Gerätschaften“ (Heise). Eben das führte im „Schrems-II-Urteil“ des EuGH zur Nichtigerklärung des EU-Us-Privacy-Shields mit den bekannten Folgen für Datenübermittlungen in die USA. Der damalige Kläger und Datenschutz-Aktivist Max Schrems soll bereits angekündigt haben, den neuen EU-Angemessenheitsbeschluss kritisch unter die Lupe zu nehmen. Bedenken hat offenbar die EU-Kommission selbst, hat sie doch den Beschluss auf vier Jahre befristet und möchte dann erneut prüfen. Befeuert werden könnte das durch Äußerungen des britischen Premierministers Boris Johnson, der offenbar wenig von der „Europäischen Datenschutzfamilie“ hält und ein eigens Datenschutzrecht als eine „von der EU losgelöste und unabhängige Linie“ verfolgen möchte. Andererseits hat Großbritannien seinerseits den Datentransfer in die EU bereits freigegeben.
Vor dem Wirksamwerden des Angemessenheitsbeschlusses müssen noch der Europäische Datenschutzausschuss und die Mitgliedsstaaten zustimmen. Dann heißt es: Fortsetzung (spätestens) in vier Jahren!