Commission Implementing Decision (EU) 2021/1773 of 28 June 2021 pursuant to Directive (EU) 2016/680 of the European Parliament and of the Council on the adequate protection of personal data by the United Kingdom (notified under document C(2021) 4801)
| Published date | 11 October 2021 |
| Subject Matter | Data protection |
| Official Gazette Publication | Official Journal of the European Union, L 360, 11 October 2021 |
| 11.10.2021 | DE | Amtsblatt der Europäischen Union | L 360/69 |
DURCHFÜHRUNGSBESCHLUSS (EU) 2021/1773 DER KOMMISSION
vom 28. Juni 2021
gemäß der Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates zur Angemessenheit des Schutzes personenbezogener Daten durch das Vereinigte Königreich
(Bekannt gegeben unter Aktenzeichen C(2021) 4801)
DIE EUROPÄISCHE KOMMISSION —
gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union,
gestützt auf die Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI (1) des Rates, insbesondere auf Artikel 36 Absatz 3,
in Erwägung nachstehender Gründe:
1. EINFÜHRUNG
| (1) | Die Richtlinie (EU) 2016/680 enthält die Vorschriften für die Übermittlung personenbezogener Daten durch zuständige Behörden in der Union an Drittländer und internationale Organisationen, soweit die betreffenden Übermittlungen in ihren Anwendungsbereich fallen. Die Vorschriften für internationale Übermittlungen personenbezogener Daten durch die zuständigen Behörden sind in Kapitel V der Richtlinie (EU) 2016/680, insbesondere in den Artikeln 35 bis 40, festgelegt. Der Fluss personenbezogener Daten in Drittländer und aus Drittländern ist für die wirksame Zusammenarbeit bei der Strafverfolgung wesentlich, wobei jedoch sichergestellt sein muss, dass das unionsweit gewährleistete Schutzniveau für personenbezogene Daten bei solchen Übermittlungen nicht beeinträchtigt wird (2). |
| (2) | Nach Artikel 36 Absatz 3 der Richtlinie (EU) 2016/680 kann die Kommission im Wege eines Durchführungsrechtsaktes beschließen, dass ein Drittland, ein Gebiet oder ein oder mehrere spezifische Sektoren in einem Drittland oder eine internationale Organisation ein angemessenes Schutzniveau bieten. Unter dieser Voraussetzung können personenbezogene Daten nach Artikel 35 Absatz 1 und Erwägungsgrund 66 der Richtlinie (EU) 2016/680 ohne weitere Genehmigung an ein Drittland übermittelt werden (es sei denn, dass ein anderer Mitgliedstaat, von dem die Daten stammen, die Übermittlung zu genehmigen hat). |
| (3) | Wie in Artikel 36 Absatz 2 der Richtlinie (EU) 2016/680 festgelegt, muss die Annahme eines Angemessenheitsbeschlusses auf einer umfassenden Analyse der Rechtsordnung des Drittlands beruhen. Die Kommission muss im Rahmen ihrer Prüfung feststellen, ob das betreffende Drittland ein Schutzniveau garantiert, das dem innerhalb der Europäischen Union gewährleisteten Schutzniveau „der Sache nach gleichwertig“ ist (Erwägungsgrund 67 der Richtlinie (EU) 2016/680). Die Frage, ob ein Schutzniveau „der Sache nach gleichwertig“ ist, wird anhand des Maßstabs beurteilt, der in den EU-Rechtsvorschriften, insbesondere in der Richtlinie (EU) 2016/680, festgelegt und durch die Rechtsprechung des Gerichtshofs der Europäischen Union (3) entwickelt wurde. Die vom Europäischen Datenschutzausschuss herausgegebene Referenzgrundlage für Angemessenheit ist in diesem Zusammenhang ebenfalls von Bedeutung (4). |
| (4) | Der Gerichtshof der Europäischen Union hat klargestellt, dass es dazu keines identischen Schutzniveaus bedarf (5). Insbesondere können sich die Mittel, auf die das betreffende Drittland für den Schutz personenbezogener Daten zurückgreift, von denen unterscheiden, die in der Europäischen Union herangezogen werden, sofern sie sich in der Praxis als wirksam erweisen, um ein angemessenes Schutzniveau zu gewährleisten. (6) Daher erfordert die Angemessenheitsfeststellung keine Eins-zu-eins-Übereinstimmung mit den Vorschriften der Union. Die Frage ist vielmehr, ob das ausländische System insgesamt aufgrund des Wesensgehalts der Rechte auf Privatsphäre sowie ihrer wirksamen Anwendung, Überwachung und Durchsetzung das erforderliche Maß an Schutz (7) bietet. |
| (5) | Die Kommission hat das einschlägige Recht und die einschlägige Praxis im Vereinigten Königreich sorgfältig analysiert. Auf der Grundlage ihrer nachstehenden Feststellungen kommt die Kommission zu dem Schluss, dass das Vereinigte Königreich ein angemessenes Schutzniveau für personenbezogene Daten gewährleistet, die von zuständigen Behörden in der Union, die in den Anwendungsbereich der Richtlinie (EU) 2016/680 fallen, an zuständige Behörden im Vereinigten Königreich, die in den Anwendungsbereich von Teil 3 des Gesetzes über den Datenschutz von 2018 (Data Protection Act 2018 — im Folgenden „DPA 2018“) (8) fallen, übermittelt werden. |
| (6) | Dieser Beschluss hat zur Folge, dass solche Übermittlungen für einen Zeitraum von vier Jahren, vorbehaltlich einer etwaigen Verlängerung und unbeschadet der in Artikel 35 der Richtlinie (EU) 2016/680 festgelegten Bedingungen, ohne weitere Genehmigung vorgenommen werden dürfen. |
2. VORSCHRIFTEN FÜR DIE VERARBEITUNG PERSONENBEZOGENER DATEN DURCH ZUSTÄNDIGE BEHÖRDEN FÜR ZWECKE DER STRAFVERFOLGUNG
2.1. Der konstitutionelle Rahmen
| (7) | Das Vereinigte Königreich ist eine parlamentarische Demokratie. Das Land verfügt über ein souveränes Parlament, das allen anderen staatlichen Einrichtungen übergeordnet ist, eine aus dem Parlament hervorgehende und ihm gegenüber rechenschaftspflichtige Exekutive sowie eine unabhängige Justiz. Die Exekutive bezieht ihre Hoheitsgewalt daraus, dass sie das Vertrauen der gewählten Mitglieder des Unterhauses genießt; sie ist gegenüber beiden Kammern des Parlaments (dem Unterhaus und dem Oberhaus) rechenschaftspflichtig, die für die Kontrolle der Regierung und die Erörterung sowie Verabschiedung von Gesetzesinitiativen verantwortlich sind. Das britische Parlament hat dem schottischen Parlament, dem walisischen Parlament (Senedd Cymru) und der parlamentarischen Versammlung für Nordirland die Verantwortung für die Gesetzgebung in bestimmten inneren Angelegenheiten in Schottland, Wales und Nordirland übertragen. Während Datenschutzfragen dem britischen Parlament vorbehalten sind — d. h. in diesem Bereich gelten landesweit einheitliche Rechtsvorschriften —, wurden andere für diesen Beschluss relevante Politikbereiche den Parlamenten der einzelnen Landesteile übertragen. So wurde beispielsweise die Zuständigkeit für die Strafrechtssysteme Schottlands und Nordirlands, einschließlich polizeilicher Aufgaben (d. h. der von Polizeikräften ausgeführten Tätigkeiten), an das schottische Parlament bzw. die parlamentarische Versammlung für Nordirland (9) übertragen. |
| (8) | Das Vereinigte Königreich besitzt keine kodifizierte Verfassung im Sinne eines konkreten Verfassungsdokuments; vielmehr haben sich die Verfassungsgrundsätze im Laufe der Zeit auf der Grundlage der Rechtsprechung und insbesondere des Gewohnheitsrechts fortentwickelt. Der Verfassungsrang bestimmter Dokumente, wie der Magna Carta, der Bill of Rights von 1689 und des Gesetzes über die Menschenrechte (Human Rights Act) von 1998, ist anerkannt. Maßgeblich für die Entwicklung der Grundrechte des Einzelnen als Teil der Verfassung waren das Gewohnheitsrecht („Common Law“), die genannten Dokumente sowie internationale Verträge, insbesondere die Europäische Menschenrechtskonvention (im Folgenden „EMRK“), die das Vereinigte Königreich im Jahr 1951 ratifiziert hat. Im Jahr 1987 hat das Vereinigte Königreich außerdem das Übereinkommen des Europarats zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten (im Folgenden „Übereinkommen Nr. 108“) ratifiziert (10). |
| (9) | Mit dem Human Rights Act 1998 wurden die in der Europäischen Menschenrechtskonvention verbürgten Rechte in das Recht des Vereinigten Königreichs übernommen. Durch den Human Rights Act werden jeder Person die Grundrechte und -freiheiten gewährt, die in den Artikeln 2 bis 12 und 14 EMRK, in den Artikeln 1 bis 3 ihres Ersten Protokolls und in Artikel 1 ihres Dreizehnten Protokolls in Verbindung mit den Artikeln 16 bis 18 EMRK festgelegt sind. Dazu zählen das Recht auf Achtung des Privat- und Familienlebens, was das Recht auf Datenschutz einschließt, und das Recht auf ein faires Verfahren (11). Insbesondere darf eine Behörde gemäß Artikel 8 EMRK in die Ausübung des Rechts auf Privatsphäre nur eingreifen, soweit der Eingriff gesetzlich vorgesehen und in einer demokratischen Gesellschaft notwendig ist für die nationale oder öffentliche Sicherheit, für das wirtschaftliche Wohl des Landes, zur Aufrechterhaltung der Ordnung, zur Verhütung von Straftaten, zum Schutz der Gesundheit oder der Moral oder zum Schutz der Rechte und Freiheiten anderer. |
| (10) | Nach dem Human Rights Act 1998 muss jede Handlung von Behörden mit einem in der EMRK garantierten Recht vereinbar sein (12). Darüber hinaus sind primärrechtliche und nachrangige Bestimmungen so auszulegen und umzusetzen, dass sie mit diesen Rechten vereinbar sind (13). Soweit eine Privatperson der Ansicht ist, dass ihre Rechte, einschließlich ihrer Rechte auf Privatsphäre und Datenschutz, durch eine Behörde verletzt wurden, kann sie auf der Grundlage des Human Rights Act 1998 die Gerichte des Vereinigten Königreichs anrufen, und kann letztlich, nach Ausschöpfung aller nationalen Rechtsbehelfe, den Europäischen Gerichtshof für Menschenrechte wegen Verletzung ihrer nach der EMRK garantierten Rechte anrufen. |
2.2. Der Rechtsrahmen des Vereinigten Königreichs für Datenschutz
| (11) | Das Vereinigte Königreich ist zum 31. Januar 2020 aus der Europäischen Union ausgetreten. Auf der Grundlage des Abkommens über den Austritt des Vereinigten Königreichs Großbritannien und Nordirland aus der Europäischen Union und der Europäischen Atomgemeinschaft (14) fand das Unionsrecht im Vereinigten Königreich während des Übergangszeitraums bis zum 31. Dezember 2020 |
To continue reading
Request your trial