Entwicklung des „Brexits“ vom Referendum bis zum Austritt
In einem Referendum hatten am 26. Juni 2016 die zur Entscheidung berechtigten Bürger des Vereinigten Königreichs Großbritannien und Nordirland über die Frage des Verbleibs in bzw. des Austritts aus der Europäischen Union (EU) abgestimmt. Mehrheitlich entschieden sie sich für den als „Brexit“ bezeichneten Austritt mit der Folge, dass durch die britische Regierung für den 29. März 2019 eine Loslösung des Vereinigten Königreichs von der EU durchzuführen war.
Zur Regelung des Ablaufs dieses Austritts war zunächst zwischen der britischen Regierung und Vertretern der EU ein Abkommen ausgehandelt worden, welches jedoch im Vereinigten Königreich mit deutlicher Mehrheit abgelehnt und daher nicht umgesetzt werden konnte. Weitergehende Verhandlungen der Verfahrensbeteiligten führten dann zur Festlegung des letztlichen Austrittstermins mit Ablauf des 31. Dezember 2020.
Im Zuge der Beratungen war abzusehen, dass die beabsichtigte Loslösung von der EU aufgrund der vielfältigen Verflechtungen der beteiligten Staaten eine Vereinbarung über das zukünftige Miteinander dringend erforderlich machte. Darüber hinaus bestand der Bedarf an verbindlichen rechtlichen Regelungen für den Umgang und den Waren- und Datenaustausch miteinander.
Datenschutzrechtlich wirkte sich das Verlassen der EU durch das Vereinigte Königreich dahingehend aus, dass die Europäische Datenschutz-Grundverordnung (DSGVO) nicht mehr direkt anwendbar war.
Die weiteren Beratungen mündeten in ein Handels- und Kooperationsabkommen. Darin verständigten sich die Vertreter der EU und des Vereinigten Königreichs u. a. darauf, dass Transfers personenbezogener Daten zwischen der EU und dem Vereinigten Königreich für einen Übergangszeitraum von bis zu 6 Monaten ab dem 1. Januar 2021 nicht als Transfers in ein Drittland im Sinne von Art. 44 DSGVO angesehen werden sollten. Als Vorbedingung wurde festgelegt, dass das Vereinigte Königreich sein weiteres Vorgehen in datenschutzrechtlichen Fragen mit der EU abstimmt. Die einschlägige Regelung findet sich in Article FINPROV.10a: Interim provision for transmission of personal data to the United Kingdom. Die Laufzeit dieser Übergangsperiode wurde auf längstens vier Monate festgelegt, wobei das Enddatum um zwei Monate verlängert werden konnte, sofern keine der beteiligten Parteien widerspricht. Darüber hinaus sollte diese Periode enden, sobald eine Entscheidung der Europäischen Kommission nach Beurteilung der Angemessenheit des Schutzniveaus im Vereinigten Königreich nach Art. 45 DSGVO getroffen würde. Sofern es zu keiner weiteren Vereinbarung gekommen wäre, wäre das Vereinigte Königreich nach Ablauf des in dieser Regelung festgelegten Übergangszeitraums als Drittland im Sinne des Datenschutzrechts mit allen sich daraus ergebenden Konsequenzen anzusehen gewesen.
Durch die Verabschiedung der Angemessenheitsbeschlüsse durch die Europäische Kommission erhielt der Datenaustausch zwischen der EU und dem Vereinigten Königreich eine neue Grundlage.
Angemessenheitsbeschlüsse zum Vereinigten Königreich Großbritannien und Nordirland
Am 28. Juni 2021 hatte die Europäische Kommission zwei Angemessenheitsbeschlüsse angenommen, welche das Vereinigte Königreich Großbritannien und Nordirland betrafen. Dabei handelt es sich jeweils um einen Beschluss im Rahmen der DSGVO und einen im Rahmen der Richtlinie zum Datenschutz bei der Strafverfolgung. Mit diesen Angemessenheitsbeschlüssen im Sinne von Art. 45 DSGVO stellte die Europäische Kommission fest, dass im Vereinigten Königreich auch nach dem „Brexit“ ein Schutzniveau besteht, welches dem nach EU-Recht vorgegeben Schutzniveau grundsätzlich gleichwertig ist. Durch diese Festlegungen wurde vermieden, dass das Vereinigte Königreich als ein Drittland im Sinne der DSGVO und des KDG eingestuft werden musste. Eine solche Bewertung hätte den Aufwand des Ergreifens geeigneter weiterer Maßnahmen bedeutet, um einen datenschutzrechtlich zulässigen Austausch personenbezogener Daten sicherzustellen.
Mit dieser Feststellung ermöglicht die Europäische Kommission den Austausch personenbezogener Daten ohne weitere Maßnahmen zwischen den am Datentransfer beteiligten Parteien. Der Bereich der im Vereinigten Königreich praktizierten Einwanderungskontrolle ist zunächst vom Geltungsbereich des Angemessenheitsbeschlusses ausgenommen, da insoweit eine abschließende Bewertung noch aussteht.
Das Vorliegen dieser Angemessenheitsbeschlüsse ist auch für den Bereich der katholischen Kirche von Bedeutung, da § 40 Abs. 1 KDG in diesen Fällen die Übermittlung in Drittländer oder an internationale Organisationen für zulässig erklärt.
Die Europäische Kommission kommt inhaltlich zu dem Ergebnis, dass das Datenschutzsystem des Vereinigten Königreichs auch weiterhin auf denselben Regeln basiert, welche bereits Geltung hatten, als das Vereinigte Königreich noch ein Mitgliedstaat der EU war. Nach Auffassung der Europäischen Kommission hat das Vereinigte Königreich die Grundsätze, Rechte und Pflichten der DSGVO und der Richtlinie zum Datenschutz bei der Strafverfolgung hinreichend in sein heutiges, seit dem Brexit geltendes Rechtssystem übernommen.
Die Europäische Kommission führt weiter aus, dass das Vereinigte Königreich geeignete Garantien in Bezug auf den Zugriff auf personenbezogene Daten durch Behörden vorsieht. Hervorgehoben wird, dass die Datenerhebungen durch Nachrichtendienste einer vorherigen Genehmigung durch ein unabhängiges Rechtsorgan unterliegen. Darüber hinaus wird durch das britische Recht vorgegeben, dass sämtliche Maßnahmen notwendig und im Hinblick auf das verfolgte Ziel verhältnismäßig sein müssen.
Ferner wird darauf verwiesen, dass im Bedarfsfall Klage bei einem Gericht für Ermittlungsbefugnisse, dem Investigatory Powers Tribunal, eingereicht werden kann, wenn sich ein Betroffener unrechtmäßiger Überwachungsmaßnahmen ausgesetzt sehen sollte. Derzeit unterliegt das Vereinigte Königreich auch der Rechtsprechung des Europäischen Gerichtshofs für Menschenrechte, der Europäischen Menschenrechtskonvention und dem Übereinkommen des Europarats zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten. Bei Letzterem handelt es sich um das einzige verbindliche internationale Übereinkommen auf Gebiet des Datenschutzes. Bei der Bewertung des Rechtsrahmens durch die Europäische Kommission haben diese völkerrechtlichen Verpflichtungen eine wesentliche Bedeutung gehabt.
Zu beachten ist, dass erstmalig bei einem Angemessenheitsbeschluss eine Verfallsklausel eingefügt worden ist. Die Angemessenheitsbeschlüsse bezüglich des Vereinigten Königreichs sind auf vier Jahre ab ihrem Inkrafttreten befristet. Danach besteht die Möglichkeit, dass sie erneuert werden können, sofern das Vereinigte Königreich weiterhin ein nach Ansicht der Europäischen Kommission angemessenes Datenschutzniveau sicherstellt. Die Europäische Kommission hat angekündigt, dass sie im weiteren zeitlichen Verlauf die Entwicklung der Rechtslage im Vereinigten Königreich beobachten und gegebenenfalls eingreifen wird, falls dort vom derzeit bestehenden Datenschutzniveau in Richtung einer Schwächung des Datenschutzes abgewichen werden sollte. Eine erforderliche Prüfung der dann geltenden Rechtslage und eine gegebenenfalls vorzunehmende Fortschreibung oder Erneuerung des Angemessenheitsbeschlusses ergibt sich für das Jahr 2024.
Auswirkungen auf kirchliche Einrichtungen
Das Katholische Datenschutzzentrum hat die Entwicklungen zum Brexit regelmäßig beobachtet, um im Fall der erforderlichen Beratung anfragender kirchlicher Stellen vorbereitet zu sein.
In der Phase der noch ungeregelten rechtlichen Beziehungen zwischen der EU und dem Vereinigten Königreich nach dem Wirksamwerden des Austritts waren kirchliche Einrichtungen aufgefordert, die konkreten in Anspruch genommenen Dienstleistungen und Serviceangebote sowie den Einsatz von Produkten darauf zu überprüfen, ob diese von Herstellern oder Anbietern aus dem Vereinigten Königreich zur Verfügung gestellt oder eingekauft worden waren oder aber unter Berührung dortiger Standorte verwendet wurden. Es war weiter zu untersuchen, ob Daten in das Vereinigte Königreich übermittelt würden. Entsprechend mussten Verträge darauf überprüft werden, ob sie auch in der Situation des „Brexits“ eine tragfähige Rechtsgrundlage darstellen konnten, um Datenübermittlungen und Datenverarbeitungen zuzulassen.
Auch nach dem „Brexit“ bedürften die Übermittlungen von Daten in das Vereinigte Königreich einer rechtfertigenden Rechtsgrundlage, wobei insbesondere die §§ 39 ff. KDG zu beachten waren und sind.
Mit Abschluss des unter Ziffer 1 dieser Ausführungen angesprochenen Handels- und Kooperationsabkommens trat eine neue rechtliche Situation ein, die im KDG keine Erwähnung findet. § 29 Abs. 11 und § 40 Abs. 1 KDG sprechen ausdrücklich Datenübermittlungen auf der Grundlage eines Angemessenheitsbeschlusses an. Das erwähnte Handelsabkommen stellt jedoch keine unter den Begriff des Angemessenheitsbeschlusses zu subsumierende Regelung dar.
Die Konferenz der Diözesandatenschutzbeauftragten der Katholischen Kirche Deutschlands hat daher am 4. Januar 2021 einen zunächst bis zum 30. April 2021 befristeten Beschluss gefasst, der mit weiterem Beschluss vom 22. April 2021 bis zum 30. Juni 2021 verlängert wurde. Inhaltlich hat die Konferenz erklärt, dass sie durch das Handelsabkommen die Voraussetzungen des § 29 Abs. 11 KDG als erfüllt ansieht.
Mit Verabschiedung der Angemessenheitsbeschlüsse durch die Europäische Kommission ist derzeit eine rechtssichere Grundlage geschaffen worden, die in Erfüllung der Vorgaben von § 29 Abs. 11 KDG auch für die kirchlichen Einrichtungen einen rechtssicheren Datenaustausch mit Stellen im Vereinigten Königreich sowie die Verwendung von Produkten und Dienstleistungen von Anbietern aus dem Vereinigten Königreich ermöglichen.
Ausblick bezüglich künftiger Entwicklungen
Etwa zwei Monate nach Inkrafttreten der vorstehend beschriebenen Angemessenheitsbeschlüsse hatte der britische Minister für Kultur, Digitales, Medien und Sport angekündigt, dass das Vereinigte Königreich sein Datenschutzrecht überarbeiten werden wird. Dabei hatte er auch darauf hingewiesen, dass beabsichtigt sei, sich von einigen aus der DSGVO übernommenen Regelungen zu lösen. Dies wird zur Folge haben müssen, dass die Europäische Kommission eine Überprüfung durchführen muss, ob das künftige britische Datenschutzrecht die den Anforderungen der DSGVO entsprechenden Voraussetzungen für ein gleichwertiges Schutzniveau noch erfüllen wird.
Laut Äußerungen der britischen Regierung (Anmerkung 1, siehe unten) wählt sie den Weg der Novellierung des Datenschutzrechts mit der Intention, weltweit führende Datenschutzgesetze zu schaffen. Dabei soll nicht nur das bestehende Datenschutzrecht novelliert werden, sondern es sind auch die Abschlüsse von gesonderten Datenschutzabkommen mit einzelnen Staaten vorgesehen. Mit diesen Regelungen soll ein Datenfluss von und zu diesen Staaten beschleunigt und ohne aus Sicht der britischen Regierung bestehende Hemmnisse ermöglicht werden. Angekündigt worden ist unter anderem eine Änderung bezüglich der Einwilligungen beim Einsatz von Cookie-Bannern.
Der Europäische Datenschutzausschuss (EDSA) hatte in seiner Stellungnahme (Anmerkung 2, siehe unten) während des dem Angemessenheitsbeschluss vorausgegangenen Verfahrens bereits Bedenken aufgezeigt und auf Anforderungen hingewiesen, die britische Gesetze in Bezug auf europarechtliche Vorstellungen erfüllen müssten. In einer Reaktion der Europäischen Kommission auf die britischen Überlegungen zu einem eigenständigeren Datenschutzrecht wurde darauf hingewiesen, dass die Angemessenheitsbeschlüsse unter dem Vorbehalt stehen, dass das Datenschutzniveau des Vereinigten Königreichs auf einem vergleichbaren Level mit dem EU-Recht liegt. Sollte das Datenschutzniveau jedoch absinken, bestünde die Möglichkeit, die Beschlüsse zu verändern, auszusetzen oder zu beenden.
Sofern bei einer konkreten Prüfung der künftigen Gesetzesänderungen durch die Europäische Kommission festgestellt werden würde, dass das aus Sicht der EU gewünschte Datenschutzniveau nicht mehr erreicht werden sollte mit der Folge, dass die Beschlüsse mindestens ausgesetzt werden würden, müssten betroffene Unternehmen in der EU weitere Maßnahmen im Sinne von Art. 46 Abs. 1 DSGVO ergreifen, um die Rechtmäßigkeit eines Datentransfers in das Vereinigte Königreich zu gewährleisten. Im Betracht kommt dabei z. B. der Einsatz der aktualisierten Standardvertragsklauseln. Deren konkrete Verwendung muss den Vorgaben des EuGHs entsprechen. Es bleibt entsprechend abzuwarten, welche Richtung die britische Regierung mit ihren Intentionen zur Änderung des britischen Datenschutzrechts einschlagen werden wird und wie sich dann die Europäische Kommission dazu positioniert. Aktuellere Äußerungen britischer Regierungsvertreter deuten auf eine stärkere Bereitschaft hin, von der DSGVO abzuweichen. Es wird dann konkret darauf ankommen, ob der konkrete Gesetzestext die Vergleichbarkeit mit der DSGVO gefährdet und wie das Datenschutzniveau im Vereinigten Königreich zu bewerten sein wird.
Verantwortliche von Einrichtungen, welche britische Produkte im Rahmen der Verarbeitung personenbezogener Daten einsetzen oder Kontakte unter Austausch personenbezogener Daten mit Stellen im Vereinigten Königreich unterhalten, sollten auch weiterhin die Entwicklungen aufmerksam beobachten und auf die Reaktionen und Einschätzungen der Europäischen Kommission achten.
Anmerkung 1:
Vgl. press release von Digital Secretary Oliver Dowden vom 26. August 2021 ?UK unveils post-Brexit global data plans to boost growth, increase trade and improve healthcare?, zuletzt auch press release von Digital Secretary Nadine Dorries vom 17. Juni 2022 ?New Data laws to boost British business, protect customers and seize the benefits of Brexit?
Anmerkung 2:
Stellungnahme 15/2021 zum Entwurf eines Durchführungsbeschlusses der Europäischen Kommission gemäß der Richtlinie (EU) 2016/680 über die Angemessenheit des Schutzes personenbezogener Daten im Vereinigten Königreich vom 13. April 2021.