(1)

Die Verordnung (EU) 2016/679 enthält die Vorschriften für die Übermittlung personenbezogener Daten durch Verantwortliche oder Auftragsverarbeiter in der Europäischen Union an Drittländer und internationale Organisationen, soweit die betreffenden Übermittlungen in ihren Anwendungsbereich fallen. Die Vorschriften für internationale Übermittlungen personenbezogener Daten sind in Kapitel V dieser Verordnung, d. h. in den Artikeln 44 bis 50, festgelegt. Der Fluss personenbezogener Daten in Drittländer und aus Drittländern ist zwar für die Ausweitung der internationalen Zusammenarbeit und des grenzüberschreitenden Handels wesentlich, dennoch darf das unionsweit gewährleistete Schutzniveau für personenbezogene Daten bei Übermittlungen in Drittländer nicht untergraben werden (2).

(2)

Nach Artikel 45 Absatz 3 der Verordnung (EU) 2016/679 kann die Kommission im Wege eines Durchführungsrechtsaktes beschließen, dass ein Drittland, ein Gebiet oder ein oder mehrere spezifische Sektoren in einem Drittland oder eine internationale Organisation ein angemessenes Schutzniveau bieten. Unter dieser Voraussetzung können personenbezogene Daten nach Artikel 45 Absatz 1 und Erwägungsgrund 103 dieser Verordnung ohne weitere Genehmigung an ein Drittland übermittelt werden.

(3)

Wie in Artikel 45 Absatz 2 der Verordnung (EU) 2016/679 festgelegt, muss die Annahme eines Angemessenheitsbeschlusses auf einer umfassenden Analyse der Rechtsordnung des Drittlands beruhen, und zwar sowohl in Bezug auf die für die Datenimporteure geltenden Vorschriften als auch auf die Beschränkungen und Garantien für den Zugang der Behörden zu personenbezogenen Daten. Im Rahmen ihrer Prüfung muss die Kommission feststellen, ob das betreffende Drittland ein Schutzniveau garantiert, das dem innerhalb der Europäischen Union gewährleisteten Schutzniveau „der Sache nach gleichwertig“ ist (Erwägungsgrund 104 der Verordnung (EU) 2016/679). Die Frage, ob ein Schutzniveau „der Sache nach gleichwertig“ ist, wird anhand des Maßstabs beurteilt, der in den Rechtsvorschriften der Europäischen Union, insbesondere in der Verordnung (EU) 2016/679, festgelegt und durch die Rechtsprechung des Gerichtshofs der Europäischen Union (3) entwickelt wurde. Die vom Europäischen Datenschutzausschuss (EDPB) herausgegebene Referenzgrundlage für Angemessenheit (4) ist in diesem Zusammenhang ebenfalls von Bedeutung.

(4)

Der Gerichtshof der Europäischen Union hat klargestellt, dass es dazu keines identischen Schutzniveaus bedarf (5). Insbesondere können sich die Mittel, auf die das betreffende Drittland für den Schutz personenbezogener Daten zurückgreift, von denen unterscheiden, die in der Europäischen Union herangezogen werden, sofern sie sich in der Praxis als wirksam erweisen, um ein angemessenes Schutzniveau zu gewährleisten (6). Daher erfordert die Angemessenheitsfeststellung keine Eins-zu-eins-Übereinstimmung mit den Vorschriften der Union. Die Frage ist vielmehr, ob das ausländische System insgesamt aufgrund des Wesensgehalts der Rechte auf Datenschutz sowie ihrer wirksamen Anwendung, Überwachung und Durchsetzung das erforderliche Maß an Schutz bietet (7).

(5)

Die Kommission hat Recht und Praxis im Vereinigten Königreich sorgfältig analysiert. Ausgehend von den Feststellungen in den Erwägungsgründen 8 bis 270 gelangt die Kommission zu dem Schluss, dass das Vereinigte Königreich ein angemessenes Schutzniveau für personenbezogene Daten gewährleistet, die im Rahmen der Verordnung (EU) 2016/679 aus der Europäischen Union in das Vereinigte Königreich übermittelt werden.

(6)

Diese Schlussfolgerung betrifft nicht personenbezogene Daten, die zu Zwecken der Einwanderungskontrolle des Vereinigten Königreichs übermittelt werden oder aus anderen Gründen in den Anwendungsbereich der Ausnahme von bestimmten Rechte betroffener Personen zu Zwecken der Aufrechterhaltung einer wirksamen Einwanderungskontrolle (im Folgenden „Ausnahme im Bereich der Einwanderung“) gemäß Anhang 2 Nummer 4 Ziffer 1 des UK Data Protection Act fallen. Ob die im britischem Recht vorgesehene Ausnahme im Bereich der Einwanderung gültig ist und wie sie auszulegen ist, ist nach einem Beschluss des Court of Appeal in England and Wales vom 26. Mai 2021 nicht entschieden. Der Court of Appeal hat erkannt, dass die Rechte betroffener Personen zu Zwecken der Einwanderungskontrolle „als wichtiger Aspekt des öffentlichen Interesses“ grundsätzlich zwar eingeschränkt werden dürfen, die Ausnahme im Bereich der Einwanderung in ihrer jetzigen Form aber mit dem britischen Recht unvereinbar ist, da in der Gesetzgebungsmaßnahme spezifische Bestimmungen mit den in Artikel 23 Absatz 2 der Datenschutzgrundverordnung des Vereinigten Königreichs (UK GDPR) genannten Garantien fehlen (8). Deshalb sollte die Übermittlung personenbezogener Daten aus der Union in das Vereinigte Königreich, auf die die Ausnahme im Bereich der Einwanderung angewendet werden kann, aus dem Anwendungsbereich des vorliegenden Beschlusses ausgeklammert werden (9). Sobald die Unvereinbarkeit mit dem britischen Recht beseitigt ist, sollten sowohl die Ausnahme im Bereich der Einwanderung als auch die Notwendigkeit der Einschränkung des Anwendungsbereichs des vorliegenden Beschlusses erneut bewertet werden.

(7)

Dieser Beschluss sollte die unmittelbare Anwendung der Verordnung (EU) 2016/679 auf Organisationen mit Sitz im Vereinigten Königreich nicht berühren, wenn die in Artikel 3 der Verordnung festgelegten Bedingungen für den räumlichen Anwendungsbereich der Verordnung erfüllt sind.

(8)

Das Vereinigte Königreich ist eine parlamentarische Demokratie, deren Staatsoberhaupt ein konstitutioneller Souverän ist. Das Land verfügt über ein souveränes Parlament, das allen anderen staatlichen Einrichtungen übergeordnet ist, eine aus dem Parlament hervorgehende und ihm gegenüber rechenschaftspflichtige Exekutive sowie eine unabhängige Justiz. Die Exekutive bezieht ihre Hoheitsgewalt daraus, dass sie das Vertrauen der gewählten Mitglieder des Unterhauses genießt; sie ist rechenschaftspflichtig gegenüber beiden Kammern des Parlaments, die für die Kontrolle der Regierung und die Erörterung sowie Verabschiedung von Gesetzesinitiativen verantwortlich sind.

(9)

Das britische Parlament hat dem schottischen Parlament, dem walisischen Parlament (Senedd Cymru) und der parlamentarischen Versammlung für Nordirland die Verantwortung für die Gesetzgebung in denjenigen inneren Angelegenheiten in Schottland, Wales und Nordirland übertragen, die es sich nicht selbst vorbehalten hat. Während Datenschutzfragen dem britischen Parlament vorbehalten sind – d. h. in diesem Bereich gelten landesweit einheitliche Rechtsvorschriften –, wurden andere für diesen Beschluss relevante Politikbereiche den Parlamenten der einzelnen Landesteile übertragen. So wurde beispielsweise die Zuständigkeit für die Strafrechtssysteme Schottlands und Nordirlands, einschließlich polizeilicher Aufgaben, an das schottische Parlament bzw. die parlamentarische Versammlung für Nordirland übertragen. Das Vereinigte Königreich besitzt keine kodifizierte Verfassung im Sinne eines konkreten Verfassungsdokuments. Die Verfassungsgrundsätze haben sich im Laufe der Zeit auf der Grundlage der Rechtsprechung und insbesondere des Gewohnheitsrechts fortentwickelt. Der Verfassungsrang bestimmter Dokumente wie der Magna Carta, der Bill of Rights von 1689 und des Gesetzes über Menschenrechte von 1998 (Human Rights Act 1998) wurde von Gerichten anerkannt. Maßgeblich für die Entwicklung der Grundrechte des Einzelnen als Teil der Verfassung waren das Gewohnheitsrecht („Common Law“), die genannten Dokumente sowie internationale Verträge, insbesondere die Europäische Menschenrechtskonvention (im Folgenden „EMRK“), die das Vereinigte Königreich im Jahr 1951 ratifiziert hat. Im Jahr 1987 hat das Vereinigte Königreich außerdem das Übereinkommen des Europarats zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten (im Folgenden „Übereinkommen Nr. 108“) ratifiziert (10).

(10)

Mit dem Human Rights Act 1998 wurden die in der Europäischen Menschenrechtskonvention verbürgten Rechte in das Recht des Vereinigten Königreichs übernommen. Durch den Human Rights Act werden jeder Person die Grundrechte und -freiheiten gewährt, die in den Artikeln 2 bis 12 und 14 der Europäischen Menschenrechtskonvention, in den Artikeln 1, 2 und 3 ihres Ersten Protokolls und in Artikel 1 ihres Dreizehnten Protokolls in Verbindung mit den Artikeln 16, 17 und 18 dieser Konvention vorgesehen sind. Dazu zählen das Recht auf Achtung des Privat- und Familienlebens (und das Recht auf Datenschutz als Teil dieses Rechts) und das Recht auf ein faires Verfahren (11). Insbesondere darf eine Behörde gemäß Artikel 8 dieser Konvention in die Ausübung des Rechts auf Privatsphäre nur eingreifen, soweit der Eingriff gesetzlich vorgesehen und in einer demokratischen Gesellschaft notwendig ist für die nationale oder öffentliche Sicherheit, für das wirtschaftliche Wohl des Landes, zur Aufrechterhaltung der Ordnung, zur Verhütung von Straftaten, zum Schutz der Gesundheit oder der Moral oder zum Schutz der Rechte und Freiheiten anderer.

(11)

Gemäß dem Human Rights Act 1998 muss jede Handlung von Behörden mit einem Konventionsrecht vereinbar sein (12). Darüber hinaus sind primärrechtliche und nachrangige Bestimmungen so zu lesen und umzusetzen, dass sie mit den Konventionsrechten vereinbar sind (13).

(12)

Das Vereinigte Königreich ist zum 31. Januar 2020 aus der Europäischen Union ausgetreten. Auf der Grundlage des Abkommens über den Austritt des Vereinigten Königreichs Großbritannien und Nordirland aus der Europäischen Union und der Europäischen Atomgemeinschaft (14) fand das Unionsrecht im Vereinigten Königreich während des Übergangszeitraums bis zum 31. Dezember 2020 weiterhin Anwendung. Vor dem Austritt und während des Übergangszeitraums bestand der Rechtsrahmen für den Schutz personenbezogener Daten im Vereinigten Königreich aus den einschlägigen EU-Rechtsvorschriften (insbesondere der Verordnung (EU) 2016/679 und der Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates (15)) sowie nationalen Rechtsvorschriften, insbesondere dem Gesetz über den Datenschutz von 2018 (Data Protection Act 2018 – im Folgenden „DPA 2018“) (16); Letzteres sah nationale Vorschriften vor, mit denen die Anwendung der Bestimmungen der Verordnung (EU) 2016/679 und der umgesetzten Richtlinie (EU) 2016/680 präzisiert und eingeschränkt wurde, soweit dies gemäß der Verordnung (EU) 2016/679 zulässig war.

(13)

Zur Vorbereitung auf den Austritt aus der Europäischen Union erließ die Regierung des Vereinigten Königreichs das Gesetz über den Austritt aus der Europäischen Union von 2018 (European Union (Withdrawal) Act 2018) (17), mit dem unmittelbar geltende Rechtsvorschriften der Union in das Recht des Vereinigten Königreichs übernommen wurden (18). Dieses beibehaltene EU-Recht („retained EU law“) umfasst die Verordnung (EU) 2016/679 in all ihren Teilen (einschließlich ihrer Erwägungsgründe) (19). Laut diesem Gesetz muss das unverändert beibehaltene EU-Recht von den Gerichten des Vereinigten Königreichs gemäß der einschlägigen Rechtsprechung des Europäischen Gerichtshofs und den allgemeinen Grundsätzen des Unionsrechts ausgelegt werden, so wie sie unmittelbar vor dem Ende des Übergangszeitraums gelten (bezeichnet als „beibehaltene EU-Rechtsprechung“ („retained EU case law“) bzw. als „beibehaltene allgemeine Grundsätze des EU-Rechts“ („retained general principles of EU law“)) (20).

(14)

Gemäß dem European Union (Withdrawal) Act 2018 sind die Minister des Vereinigten Königreichs befugt, im Wege von Verordnungen abgeleitete Rechtsvorschriften einzuführen, um die Änderungen am beibehaltenen Recht der Europäischen Union vorzunehmen, die infolge des Austritts des Vereinigten Königreichs aus der Europäischen Union notwendig geworden sind. Sie übten diese Befugnis durch den Erlass der Verordnungen von 2019 über Datenschutz, Privatsphäre und elektronische Kommunikation (Änderungen usw.) (EU-Austritt) (Data Protection, Privacy and Electronic Communications (Amendments etc.) (EU Exit) Regulations 2019 – im Folgenden „DPPEC Regulations“) aus (21). Durch die DPPEC Regulations wurde die Verordnung (EU) 2016/679, die durch den European Union (Withdrawal) Act 2018, den DPA 2018 und andere Datenschutzgesetze in das britische Recht übernommen wurde, geändert, um sie an den nationalen Kontext anzupassen (22).

(15)

Folglich besteht der rechtliche Rahmen für den Schutz personenbezogener Daten im Vereinigten Königreich nach dem Ende der Übergangszeit aus folgenden Elementen:

(16)

Da die UK GDPR auf einem EU-Rechtsakt basiert, geben die Datenschutzvorschriften im Vereinigten Königreich in vielen Aspekten weitgehend die entsprechenden innerhalb der Europäischen Union geltenden Vorschriften wieder.

(17)

Zusätzlich zu den Befugnissen, die dem Secretary of State (Minister des Kabinetts) durch den European Union (Withdrawal) Act 2018 eingeräumt wurden, geben mehrere Bestimmungen des DPA 2018 dem Secretary of State die Befugnis, abgeleitete Rechtsvorschriften zu erlassen, um einzelne Bestimmungen des Gesetzes zu ändern oder ergänzende sowie zusätzliche Vorschriften einzuführen (25). Der Secretary of State hat bisher nur von der Befugnis nach Paragraf 137 DPA 2018 Gebrauch gemacht und die Verordnungen von 2019 über Datenschutz (Gebühren und Informationen) (Änderung) (Data Protection (Charges and Information) (Amendment) Regulations 2019) erlassen, in denen festgelegt ist, unter welchen Umständen Verantwortliche eine jährliche Gebühr an die unabhängige Datenschutzbehörde des Vereinigten Königreichs, den Information Commissioner, zahlen müssen.

(18)

Weitere Hinweise zu den Datenschutzgesetzen des Vereinigten Königreichs finden sich schließlich in den Verhaltenskodizes und anderen vom Information Commissioner verabschiedeten Leitlinien. Obwohl sie formal nicht rechtsverbindlich sind, sind diese Leitlinien maßgeblich für Zwecke der Auslegung und legen dar, wie die Datenschutzgesetze in der Praxis angewendet und vom Commissioner durchgesetzt werden. Insbesondere ist der Information Commissioner gemäß den Paragrafen 121 bis 125 DPA 2018 verpflichtet, Verhaltenskodizes zu Datenaustausch, Direktwerbung, altersgerechter Gestaltung und altersgerechtem Datenschutz sowie Journalismus zu erstellen.

(19)

Somit ist der britische Rechtsrahmen für Daten, die gemäß diesem Beschluss übermittelt werden, seiner Struktur und seinen wesentlichen Bestandteilen nach dem in der Europäischen Union geltenden Rechtsrahmen sehr ähnlich. Dazu gehört auch, dass dieser Rahmen nicht nur auf Verpflichtungen beruht, die im innerstaatlichen Recht festgelegt sind und durch EU-Recht geprägt wurden, sondern auch auf völkerrechtlichen Verpflichtungen, die das Vereinigte Königreich insbesondere durch seinen Beitritt zur EMRK und zum Übereinkommen Nr. 108 sowie durch die Anerkennung der Gerichtsbarkeit des Europäischen Gerichtshofs für Menschenrechte eingegangen ist. Diese sich aus rechtsverbindlichen internationalen Instrumenten ergebenden Verpflichtungen, die insbesondere den Schutz personenbezogener Daten betreffen, sind daher ein besonders wichtiges Element des Rechtsrahmens, der in diesem Beschluss bewertet wird.

(20)

Ähnlich wie die Verordnung (EU) 2016/679 gilt die UK GDPR für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten oder für andere Arten der Verarbeitung, wenn die personenbezogenen Daten in einem Dateisystem gespeichert sind (26). Die Begriffsbestimmungen der Begriffe „personenbezogene Daten“ („personal data“), „betroffene Person“ („data subject“) und „Verarbeitung“ („processing“) der UK GDPR sind identisch mit denen der Verordnung (EU) 2016/679 (27). Darüber hinaus gilt die UK GDPR für die manuelle, unstrukturierte Verarbeitung personenbezogener Daten (28), die sich im Besitz bestimmter Behörden des Vereinigten Königreichs befinden (29), wenngleich die Grundsätze und Rechte der UK GDPR, die für derartige personenbezogene Daten nicht relevant sind, durch die Paragrafen 24 und 25 DPA 2018 außer Kraft gesetzt werden. Ähnlich wie die Verordnung (EU) 2016/679 gilt die UK GDPR nicht für die Verarbeitung personenbezogener Daten durch eine Person zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten (30).

(21)

Der Anwendungsbereich der UK GDPR erstreckt sich zudem auf die Verarbeitung zur Ausübung einer Tätigkeit, die unmittelbar vor dem Ende des Übergangszeitraums nicht im Anwendungsbereich des Unionsrechts lag (z. B. nationale Sicherheit) (31) oder in den Anwendungsbereich von Titel 5 Kapitel 2 des Vertrags über die Europäische Union fiel (Tätigkeiten der Gemeinsamen Außen- und Sicherheitspolitik) (32). Wie im System der Europäischen Union gilt die UK GDPR nicht für die Verarbeitung personenbezogener Daten durch eine zuständige Behörde zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit („Zwecke der Strafverfolgung“ („law enforcement purposes“)) – eine derartige Verarbeitung wird stattdessen durch Teil 3 des DPA 2018 geregelt, so wie es nach dem Recht der Europäischen Union auch für die Richtlinie (EU) 2016/680 der Fall ist – oder für die Verarbeitung personenbezogener Daten durch Nachrichtendienste (den Security Service, den Secret Intelligence Service und die Government Communications Headquarters), die Gegenstand von Teil 4 des DPA 2018 ist (33).

(22)

Der räumliche Anwendungsbereich der UK GDPR ist in Artikel 3 der UK GDPR festgelegt (34) und erstreckt sich auf die Verarbeitung personenbezogener Daten (unabhängig davon, wo sie stattfindet), soweit diese im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters im Vereinigten Königreich erfolgt, sowie auf die Verarbeitung personenbezogener Daten von betroffenen Personen, die sich im Vereinigten Königreich aufhalten, wenn die Verarbeitungstätigkeiten mit dem Angebot von Waren oder Dienstleistungen für diese betroffenen Personen oder der Beobachtung ihres Verhaltens im Zusammenhang stehen (35). Dies entspricht dem Ansatz von Artikel 3 der Verordnung (EU) 2016/679.

(23)

Die Definitionen der Begriffe „personenbezogene Daten“, „Verarbeitung“, „Verantwortlicher“ und „Auftragsverarbeiter“ sowie die Definition des Begriffs „Pseudonymisierung“, die in der Verordnung (EU) 2016/679 festgelegt sind, wurden ohne wesentliche Änderungen in die UK GDPR übernommen (36). Darüber hinaus sind in Artikel 9 Absatz 1 UK GDPR besondere Kategorien von Daten in gleicher Weise definiert wie in der Verordnung (EU) 2016/679 („Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie […] genetische[n] Daten, biometrische[n] Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person“). In Paragraf 205 DPA 2018 sind die Ausdrücke „biometrische Daten“ („biometric data“) (37), „Gesundheitsdaten“ („data concerning health“) (38) und „genetische Daten“ („genetic data“) (39) definiert.

(24)

Die Verarbeitung personenbezogener Daten sollte rechtmäßig und nach Treu und Glauben erfolgen.

(25)

Die Grundsätze der Rechtmäßigkeit, der Verarbeitung nach Treu und Glauben sowie der Transparenz und die Gründe für eine rechtmäßige Verarbeitung werden im Recht des Vereinigten Königreichs durch Artikel 5 Absatz 1 Buchstabe a und Artikel 6 Absatz 1 der UK GDPR gewährleistet, die mit den entsprechenden Bestimmungen der Verordnung (EU) 2016/679 identisch sind (40) Paragraf 8 DPA 2018 ergänzt Artikel 6 Absatz 1 Buchstabe e; darin ist vorgesehen, dass die Verarbeitung personenbezogener Daten gemäß Artikel 6 Absatz 1 Buchstabe e UK GDPR (die zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt durch den Verantwortlichen erfolgt, erforderlich ist) auch die Verarbeitung personenbezogener Daten umfasst, die erforderlich ist für die Rechtspflege, die Ausübung einer Funktion einer der beiden Kammern des Parlaments, die Ausübung einer Funktion, die einer Person durch einen Rechtsetzungsakt oder eine Rechtsvorschrift übertragen wurde, die Ausübung einer Funktion der Krone, eines Ministers der Krone oder eines Ministeriums oder eine Aktivität, die demokratisches Engagement unterstützt oder fördert.

(26)

In Bezug auf die Einwilligung (einer der Gründe für eine rechtmäßige Verarbeitung) behält die UK GDPR ebenfalls die in Artikel 7 der Verordnung (EU) 2016/679 vorgesehenen Bedingungen unverändert bei. Somit gilt Folgendes: Der Verantwortliche muss nachweisen können, dass die betroffene Person eingewilligt hat; ein schriftliches Ersuchen zur Einwilligung muss in einer klaren und einfachen Sprache erfolgen; die betroffene Person muss das Recht haben, ihre Einwilligung jederzeit zu widerrufen; und bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, sollte dem Umstand Rechnung getragen werden, ob die Erfüllung eines Vertrags von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind. Darüber hinaus ist gemäß Artikel 8 der UK GDPR im Zusammenhang mit der Bereitstellung von Diensten der Informationsgesellschaft die Einwilligung eines Kindes nur dann rechtmäßig, wenn das Kind mindestens 13 Jahre alt ist. Dieses Alter liegt innerhalb der Altersgrenze, die in Artikel 8 der Verordnung (EU) 2016/679 festgelegt ist.

(27)

Wenn besondere Kategorien („special categories“) von Daten verarbeitet werden, sollten besondere Garantien vorhanden sein.

(28)

Die UK GDPR und der DPA 2018 enthalten spezifische Vorschriften für die Verarbeitung besonderer Kategorien personenbezogener Daten; diese sind in Artikel 9 Absatz 1 der UK GDPR auf die gleiche Weise definiert wie in der Verordnung (EU) 2016/679 (siehe Erwägungsgrund 23 oben). Gemäß Artikel 9 UK GDPR ist die Verarbeitung besonderer Datenkategorien grundsätzlich verboten, es sei denn, es gilt eine spezifische Ausnahme.

(29)

Diese (in Artikel 9 Absätze 2 und 3 der UK GDPR aufgeführten) Ausnahmen unterscheiden sich inhaltlich nicht von den Ausnahmen gemäß Artikel 9 Absätze 2 und 3 der Verordnung (EU) 2016/679. Sofern die betroffene Person nicht ausdrücklich in die Verarbeitung dieser personenbezogenen Daten eingewilligt hat, ist die Verarbeitung besonderer Kategorien personenbezogener Daten nur unter bestimmten und begrenzten Umständen zulässig. In den meisten Fällen muss die Verarbeitung sensibler Daten für einen bestimmten, in der entsprechenden Bestimmung festgelegten Zweck erforderlich sein (siehe Artikel 9 Absatz 2 Buchstaben b, c, f, g, h, i und j).

(30)

Ferner gilt: Wenn eine Ausnahme gemäß Artikel 9 Absatz 2 UK GDPR eine gesetzliche Genehmigung erfordert oder sich auf das öffentliche Interesse bezieht, sind in Paragraf 10 DPA 2018 in Verbindung mit Anhang 1 des DPA 2018 die Bedingungen festgelegt, die erfüllt sein müssen, damit die Ausnahmen geltend gemacht werden können. Beispielsweise ist für den Fall der Verarbeitung sensibler Daten zum Schutz der öffentlichen Gesundheit („public health“) (Artikel 9 Absatz 2 Buchstabe i UK GDPR) in Anhang 1 Teil 1 Nummer 3 Buchstabe b festgelegt, dass zusätzlich zur Erforderlichkeitsprüfung eine solche Verarbeitung „von medizinischem Fachpersonal oder unter dessen Verantwortung“ oder „von einer anderen Person, die aufgrund eines Rechtsetzungsaktes oder einer Rechtsvorschrift [einschließlich gemäß der etablierten gewohnheitsrechtlichen Pflicht zur Vertraulichkeit] zur Vertraulichkeit verpflichtet ist“, durchgeführt werden muss.

(31)

Für Fälle, in denen sensible Daten aus Gründen eines erheblichen öffentlichen Interesses verarbeitet werden (Artikel 9 Absatz 2 Buchstabe g UK GDPR), enthält Anhang 1 Teil 2 des DPA 2018 eine erschöpfende Liste von Zwecken, die als erhebliches öffentliches Interesse angesehen werden können, sowie für jeden dieser Zwecke spezifische zusätzliche Bedingungen. So gilt beispielsweise die Förderung der kulturellen und ethnischen Vielfalt in der Führungsebene von Organisationen als erhebliches öffentliches Interesse. Die Verarbeitung sensibler Daten für diesen speziellen Zweck unterliegt genauen Anforderungen; unter anderem muss die Verarbeitung als Teil eines Prozesses zur Ermittlung geeigneter Personen für die Besetzung von Führungspositionen erfolgen sowie zur Förderung der kulturellen und ethnischen Vielfalt erforderlich sein und darf nicht die Gefahr bestehen, dass der betroffenen Person erheblicher Schaden oder erhebliches Leid zugefügt wird.

(32)

In Paragraf 11 Absatz 1 DPA 2018 sind die Bedingungen für die Verarbeitung personenbezogener Daten unter den in Artikel 9 Absatz 3 UK GDPR aufgeführten Umständen in Bezug auf die Geheimhaltungspflicht festgelegt. Dazu zählen Umstände, in denen die Verarbeitung von medizinischem oder sozialem Fachpersonal oder unter dessen Verantwortung oder von einer anderen Person, die unter den gegebenen Umständen aufgrund eines Rechtsetzungsakts oder einer Rechtsvorschrift zur Vertraulichkeit verpflichtet ist, durchgeführt wird.

(33)

Darüber hinaus erfordern zahlreiche der Ausnahmen, die in Artikel 9 Absatz 2 UK GDPR aufgeführt sind, geeignete und spezifische Garantien, damit sie geltend gemacht werden können. Je nach Art der Verarbeitung und der Höhe des Risikos für die Rechte und Freiheiten der betroffenen Personen umfassen die in Anhang 1 des DPA 2018 vorgesehenen Bedingungen für die Verarbeitung unterschiedliche Garantien. In Anhang 1 wiederum sind die Bedingungen für jede Verarbeitungssituation aufgeführt.

(34)

In einigen Fällen regelt und begrenzt der DPA 2018 die Art der sensiblen Daten, die verarbeitet werden dürfen, damit eine bestimmte Rechtsgrundlage erfüllt ist. Gemäß Anhang 1 Nummer 8 beispielsweise ist die Verarbeitung sensibler Daten zum Zweck der Förderung der Chancengleichheit oder der Gleichbehandlung zulässig. Diese Verarbeitungsbedingung kann nur dann geltend gemacht werden, wenn aus den Daten die rassische oder ethnische Herkunft, religiöse oder philosophische Überzeugungen oder die sexuelle Orientierung hervorgehen oder wenn es sich um Gesundheitsdaten handelt.

(35)

In einigen Fällen enthält der DPA 2018 eine Einschränkung dahin gehend, welche Art von Verantwortlichen die Verarbeitungsbedingung geltend machen darf. In Anhang 1 Nummer 23 beispielsweise ist die Verarbeitung sensibler Daten im Zusammenhang mit Antworten gewählter Vertreter an die Öffentlichkeit vorgesehen. Diese Verarbeitungsbedingung kann nur dann geltend gemacht werden, wenn der Verantwortliche der gewählte Vertreter ist oder unter dessen Aufsicht handelt.

(36)

In einigen anderen Fällen enthält der DPA 2018 Beschränkungen bezüglich der Kategorien von betroffenen Personen, für die eine bestimmte Verarbeitungsbedingung geltend gemacht werden darf. In Anhang 1 Nummer 21 ist beispielsweise die Verarbeitung sensibler Daten für betriebliche Altersversorgungssysteme geregelt. Diese Bedingung kann nur dann geltend gemacht werden, wenn es sich bei der betroffenen Person um ein Geschwister-, Eltern-, Großeltern- oder Urgroßelternteil des Versorgungsanwärters handelt.

(37)

Darüber hinaus muss der Verantwortliche, wenn er die Ausnahmen in Artikel 9 Absatz 2 UK GDPR geltend macht, die in Paragraf 10 DPA 2018 in Verbindung mit Anhang 1 des DPA 2018 weiter spezifiziert werden, in den meisten Fällen eine angemessene Dokumentation („appropriate policy document“) vorlegen. Darin sind die Verfahren zu beschreiben, mit denen der Verantwortliche die Einhaltung der Grundsätze nach Artikel 5 UK GDPR gewährleistet. Darüber hinaus müssen die Verfahren zur Speicherung und Löschung dargelegt und die wahrscheinliche Speicherdauer angegeben werden. Die Verantwortlichen müssen diese Dokumentation überprüfen und gegebenenfalls aktualisieren. Der Verantwortliche muss die Dokumentation nach Abschluss der Verarbeitung noch sechs Monate aufbewahren und dem Information Commissioner auf Anfrage zur Verfügung stellen (41).

(38)

Gemäß Anhang 1 Nummer 41 des DPA 2018 muss die Dokumentation stets auch ein erweitertes Verzeichnis der Verarbeitungstätigkeiten umfassen. Darin sind die in der Dokumentation enthaltenen Verpflichtungen darzulegen, d. h., ob Daten in Übereinstimmung mit den Strategien gelöscht oder gespeichert werden. Wenn die Strategien nicht befolgt wurden, müssen in diesem Verzeichnis die Gründe dafür festgehalten werden. Ferner ist darin anzugeben, inwieweit die Verarbeitung Artikel 6 UK GDPR (Rechtmäßigkeit der Verarbeitung) und der spezifischen geltend gemachten Bedingung in Anhang 1 des DPA 2018 entspricht.

(39)

Schließlich enthält die UK GDPR ebenso wie die Verordnung (EU) 2016/679 auch allgemeine Garantien für bestimmte Verarbeitungsvorgänge im Zusammenhang mit besonderen Kategorien von Daten. Gemäß Artikel 35 UK GDPR ist eine Datenschutz-Folgenabschätzung vorgeschrieben, wenn besondere Kategorien von Daten in großem Umfang verarbeitet werden. Nach Artikel 37 UK GDPR muss ein Verantwortlicher oder ein Auftragsverarbeiter einen Datenschutzbeauftragten benennen, wenn seine Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien von Daten besteht.

(40)

In Bezug auf die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten ist Artikel 10 UK GDPR identisch mit Artikel 10 der Verordnung (EU) 2016/679. Demnach darf die Verarbeitung personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten nur unter behördlicher Aufsicht vorgenommen werden oder wenn dies nach dem innerstaatlichen Recht, das geeignete Garantien für die Rechte und Freiheiten der betroffenen Personen vorsieht, zulässig ist.

(41)

Wenn die Verarbeitung von Daten über strafrechtliche Verurteilungen und Straftaten nicht unter behördlicher Aufsicht erfolgt, gilt nach Paragraf 10 Absatz 5 DPA 2018, dass eine solche Verarbeitung nur für die spezifischen Zwecke/in den spezifischen Situationen erfolgen kann, die in Anhang 1 Teile 1, 2 und 3 des DPA 2018 aufgeführt sind, und dass die Verarbeitung den spezifischen Anforderungen unterliegt, die für jeden dieser Zwecke/jede dieser Situationen aufgeführt sind. So können beispielsweise Daten über strafrechtliche Verurteilungen von Organisationen ohne Gewinnerzielungsabsicht verarbeitet werden, wenn die Verarbeitung a) auf der Grundlage geeigneter Garantien durch eine politisch, weltanschaulich, religiös oder gewerkschaftlich ausgerichtete Stiftung, Vereinigung oder sonstige Organisation ohne Gewinnerzielungsabsicht im Rahmen ihrer rechtmäßigen Tätigkeiten und b) unter der Voraussetzung erfolgt, dass i) sich die Verarbeitung ausschließlich auf die Mitglieder oder ehemalige Mitglieder der Organisation oder auf Personen, die im Zusammenhang mit deren Tätigkeitszweck regelmäßige Kontakte mit ihr unterhalten, bezieht und ii) die personenbezogenen Daten nicht ohne Einwilligung der betroffenen Personen nach außen offengelegt werden.

(42)

Darüber hinaus sind in Anhang 1 Teil 3 des DPA 2018 weitere Umstände aufgeführt, unter denen Daten über strafrechtliche Verurteilungen verwendet werden dürfen; diese Umstände entsprechen den Rechtsgrundlagen für die Verarbeitung sensibler Daten in Artikel 9 Absatz 2 der Verordnung (EU) 2016/679 und der UK GDPR (z. B. Einwilligung der betroffenen Person, lebenswichtige Interessen einer Person, wenn die betroffene Person aus körperlichen oder rechtlichen Gründen außerstande ist, ihre Einwilligung zu geben, wenn die Daten von der betroffenen Person bereits offensichtlich öffentlich gemacht wurden, wenn die Verarbeitung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist usw.).

(43)

Personenbezogene Daten sollten für einen bestimmten Zweck verarbeitet und anschließend nur verwendet werden, soweit dies mit dem Zweck der Verarbeitung nicht unvereinbar ist.

(44)

Dieser Grundsatz ist in Artikel 5 Absatz 1 Buchstabe b der Verordnung (EU) 2016/679 festgehalten und wurde unverändert in Artikel 5 Absatz 1 Buchstabe b UK GDPR übernommen. Die Bedingungen für die mit dem ursprünglichen Erhebungszweck vereinbare Weiterverarbeitung gemäß Artikel 6 Absatz 4 der Verordnung (EU) 2016/679 wurden ebenfalls ohne wesentliche Änderungen in Artikel 6 Absatz 4 Buchstaben a bis e UK GDPR übernommen.

(45)

Darüber hinaus müssen Daten sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein. Ferner müssen sie dem Zweck angemessen und dafür erheblich sein und dürfen das für die Zwecke der Verarbeitung notwendige Maß nicht überschreiten und sollten grundsätzlich nicht länger gespeichert werden, als dies für den Zweck, zu dem sie verarbeitet werden, erforderlich ist.

(46)

Diese Grundsätze der Datenminimierung, Richtigkeit und Speicherbegrenzung sind in Artikel 5 Absatz 1 Buchstaben c bis e der Verordnung (EU) 2016/679 dargelegt und wurden ohne Änderungen in Artikel 5 Absatz 1 Buchstaben c bis e UK GDPR übernommen.

(47)

Personenbezogene Daten müssen zudem in einer Weise verarbeitet werden, die ihre Sicherheit gewährleistet, einschließlich des Schutzes vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung. Zu diesem Zweck müssen Unternehmer geeignete technische oder organisatorische Maßnahmen treffen, um personenbezogene Daten vor möglichen Bedrohungen zu schützen. Diese Maßnahmen müssen unter Berücksichtigung des Stands der Technik und der damit verbundenen Kosten bewertet werden.

(48)

Die Datensicherheit ist im Recht des Vereinigten Königreichs durch den Grundsatz der Integrität und Vertraulichkeit in Artikel 5 Absatz 1 Buchstabe f UK GDPR sowie in Artikel 32 UK GDPR über die Sicherheit der Verarbeitung verankert. Diese Bestimmungen sind identisch mit den entsprechenden Bestimmungen der Verordnung (EU) 2016/679. Darüber hinaus verlangt die UK GDPR unter den gleichen Bedingungen wie denen in den Artikeln 33 und 34 der Verordnung (EU) 2016/679 die Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde (Artikel 33 UK GDPR) und die Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person (Artikel 34 UK GDPR).

(49)

Betroffene Personen müssen über die Hauptmerkmale der Verarbeitung ihrer personenbezogenen Daten unterrichtet werden.

(50)

Dies wird durch die Artikel 13 und 14 UK GDPR sichergestellt, die neben einem allgemeinen Grundsatz der Transparenz auch Vorschriften dazu enthalten, welche Informationen der betroffenen Person zur Verfügung gestellt werden müssen (42). Mit der UK GDPR wurden keine wesentlichen Änderungen dieser Vorschriften gegenüber den entsprechenden Artikeln der Verordnung (EU) 2016/679 eingeführt. Wie in der Verordnung (EU) 2016/679 unterliegen die Transparenzanforderungen dieser Artikel jedoch einer Reihe von Ausnahmen, die im DPA 2018 festgelegt sind (siehe Erwägungsgründe 55 bis 72).

(51)

Betroffene Personen sollten bestimmte Rechte besitzen, die gegenüber dem Verantwortlichen oder dem Auftragsverarbeiter durchgesetzt werden können, insbesondere ein Auskunftsrecht, das Recht, der Verarbeitung zu widersprechen, und das Recht auf Berichtigung und Löschung von Daten. Gleichzeitig können diese Rechte Beschränkungen unterliegen, soweit diese Beschränkungen zur Aufrechterhaltung der öffentlichen Sicherheit oder zum Schutz sonstiger wichtiger Ziele des allgemeinen öffentlichen Interesses notwendig und verhältnismäßig sind.

(52)

Die UK GDPR gewährt Einzelpersonen die gleichen durchsetzbaren Rechte wie die Verordnung (EU) 2016/679. Die Bestimmungen zu den Rechten des Einzelnen wurden ohne wesentliche Änderungen in der UK GDPR beibehalten.

(53)

Zu diesen Rechten zählen das Auskunftsrecht der betroffenen Person (Artikel 15 UK GDPR), das Recht auf Berichtigung (Artikel 16 UK GDPR), das Recht auf Löschung (Artikel 17 UK GDPR), das Recht auf Einschränkung der Verarbeitung (Artikel 18 UK GDPR), eine Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung (Artikel 19 UK GDPR), das Recht auf Datenübertragbarkeit (Artikel 20 UK GDPR) und das Widerspruchsrecht (Artikel 21 UK GDPR) (43). Letzteres umfasst auch das in Artikel 21 Absätze 2 und 3 der Verordnung (EU) 2016/679 vorgesehene Recht einer betroffenen Person, Widerspruch gegen die Verarbeitung personenbezogener Daten für Zwecke der Direktwerbung einzulegen. Darüber hinaus muss der Information Commissioner gemäß Paragraf 122 DPA 2018 einen Verhaltenskodex (Code of Practice) für die Durchführung von Direktwerbung entsprechend den Anforderungen der Datenschutzgesetze (und der Datenschutzverordnung sowie der Richtlinie über elektronische Kommunikation von 2003) sowie andere derartige Leitlinien zur Förderung der guten Praxis im Bereich der Direktwerbung erstellen, die er für angemessen hält. Das Büro des Information Commissioner Office arbeitet derzeit einen entsprechenden Kodex für Direktwerbung aus (44).

(54)

Das in Artikel 22 DSGVO vorgesehene Recht der betroffenen Person, nicht einer ausschließlich auf einer automatisierten Verarbeitung beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt, wurde ebenfalls ohne wesentliche Änderungen in der UK GDPR beibehalten. Allerdings wurde ein neuer Absatz 3A eingefügt, in dem darauf hingewiesen wird, dass Paragraf 14 DPA 2018 Garantien für die Rechte, Freiheiten und berechtigten Interessen der betroffenen Personen für Fälle enthält, in denen die Verarbeitung gemäß Artikel 22 Absatz 2 Buchstabe b UK GDPR erfolgt. Diese Bestimmung gilt nur, wenn die Grundlage für eine solche Entscheidung eine Genehmigung oder Anforderung nach britischem Recht ist; sie gilt nicht, wenn die Entscheidung im Rahmen eines Vertrags erforderlich ist oder mit der ausdrücklichen Einwilligung der betroffenen Person getroffen wird. Findet Paragraf 14 DPA 2018 Anwendung, muss der Verantwortliche der betroffenen Person so rasch wie nach vernünftigem Ermessen möglich schriftlich mitteilen, dass eine Entscheidung getroffen wurde, die ausschließlich auf einer automatisierten Verarbeitung beruht. Die betroffene Person hat das Recht zu verlangen, dass der Verantwortliche binnen eines Monats nach Erhalt der Mitteilung die Entscheidung überprüft oder eine neue Entscheidung trifft, die nicht ausschließlich auf einer automatisierten Verarbeitung beruht. Der Secretary of State ist befugt, weitere Garantien in Bezug auf die automatisierte Entscheidungsfindung zu erlassen. Von dieser Befugnis wurde bislang noch kein Gebrauch gemacht.

(55)

Im DPA 2018 sind mehrere Beschränkungen der Rechte des Einzelnen vorgesehen, die sich in den Rahmen von Artikel 23 der UK GDPR einfügen. Mit diesem Rahmen werden keine Beschränkungen des in Artikel 21 Absätze 2 und 3 UK GDPR vorgesehenen Rechts auf Widerspruch gegen Direktwerbung oder des in Artikel 22 UK GDPR vorgesehenen Rechts, keiner automatisierten Entscheidungsfindung unterworfen zu werden, eingeführt.

(56)

Die Beschränkungen sind in den Anhängen 2 bis 4 des DPA 2018 aufgeführt. Nach Angaben der britischen Behörden orientieren sich diese Beschränkungen an zwei Grundsätzen, und zwar dem Grundsatz der Spezifizität (ein detaillierter Ansatz, bei dem allgemeine Beschränkungen in verschiedene spezifischere Bestimmungen aufgeteilt werden) und dem Grundsatz der Konditionalität (jede Bestimmung wird durch Garantien in Form von Einschränkungen oder Bedingungen zur Verhinderung von Missbrauch ergänzt) (45).

(57)

Die in Artikel 23 Absatz 1 UK GDPR vorgesehenen Beschränkungen sind dergestalt, dass sie nur unter bestimmten Umständen gelten, wenn sie in einer demokratischen Gesellschaft notwendig sind und in einem angemessenen Verhältnis zu dem mit ihnen verfolgten legitimen Ziel stehen. Darüber hinaus kann in Übereinstimmung mit der ständigen Rechtsprechung zur Auslegung von Beschränkungen eine Ausnahme von den Datenschutzvorschriften in einem bestimmten Fall nur dann angewandt werden, wenn dies erforderlich und verhältnismäßig ist (46). Bei der Prüfung der Erforderlichkeit muss „streng vorgegangen werden, und jeder Eingriff in die Rechte der betroffenen Person muss in einem angemessenen Verhältnis zur Schwere der Bedrohung des öffentlichen Interesses stehen. Daher umfasst diese Prüfung eine klassische Analyse der Verhältnismäßigkeit“ (47).

(58)

Die mit diesen Beschränkungen verfolgten Ziele entsprechen den in Artikel 23 der Verordnung (EU) 2016/679 aufgeführten Zielen, mit Ausnahme der Beschränkungen in Bezug auf die nationale Sicherheit und Verteidigung, die in Paragraf 26 DPA 2018 geregelt sind, jedoch denselben Anforderungen bezüglich Notwendigkeit und Verhältnismäßigkeit unterliegen (siehe Erwägungsgründe 63 bis 66).

(59)

Bei einigen der Beschränkungen, z. B. denjenigen, die sich auf die Verhütung oder Aufdeckung von Straftaten, die Ergreifung oder Verfolgung von Straftätern und die Festsetzung oder Erhebung von Steuern oder Abgaben beziehen (48), können sämtliche Rechte des Einzelnen und Transparenzpflichten eingeschränkt werden (mit Ausnahme der Rechte nach Artikel 21 Absatz 2 und Artikel 22). Anderer Beschränkungen beziehen sich ausschließlich auf Transparenzpflichten und Auskunftsrechte, z. B. die Beschränkungen in Bezug auf die Vertraulichkeit der anwaltlichen Korrespondenz (49), in Bezug auf das Recht auf Freiheit von der Informationspflicht, wenn man sich dadurch selbst belasten würde (50), und in Bezug auf Unternehmensfinanzierung, insbesondere die Verhinderung von Insiderhandel (51). Nur wenige Beschränkungen erlauben eine Einschränkung der Pflicht des Verantwortlichen, einer betroffenen Person eine Datenschutzverletzung mitzuteilen, oder eine Einschränkung der Grundsätze der Zweckbindung und der Rechtmäßigkeit, der Verarbeitung nach Treu und Glauben sowie der Transparenz der Verarbeitung (52).

(60)

Einige der Beschränkungen gelten automatisch in vollem Umfang („in full“) für eine bestimmte Art der Verarbeitung personenbezogener Daten (beispielsweise finden Transparenzpflichten und die Rechte des Einzelnen keine Anwendung, wenn personenbezogene Daten zum Zweck der Beurteilung der Eignung einer Person für ein richterliches Amt verarbeitet werden oder wenn personenbezogene Daten von Gerichten, Tribunalen oder Personen verarbeitet werden, die im Rahmen ihrer justiziellen Tätigkeit handeln).

(61)

In den meisten Fällen jedoch besagt die betreffende Nummer in Anhang 2 des DPA 2018, dass die Beschränkung nur dann gilt, wenn (und soweit) durch Anwendung der Bestimmungen das mit dieser Beschränkung verfolgte legitime Ziel „voraussichtlich beeinträchtigt würde“ („would be likely to prejudice“): So gelten etwa die in der UK GDPR aufgeführten Bestimmungen nicht für personenbezogene Daten, die zur Verhütung oder Aufdeckung von Straftaten, Ergreifung oder Verfolgung von Straftätern oder Festsetzung oder Erhebung von Steuern oder Abgaben verarbeitet werden, sofern eines dieser Ziele „durch Anwendung dieser Bestimmungen voraussichtlich beeinträchtigt würde“ (53).

(62)

Die Norm der „voraussichtlichen Beeinträchtigung“ wurde von britischen Gerichten stets dahin gehend ausgelegt, dass „eine erhebliche und schwerwiegende Gefahr bestehen muss, dass ein bestimmtes öffentliches Interesse beeinträchtigt wird“ (54). Eine der Beeinträchtigungsprüfung unterliegende Beschränkung kann daher nur dann und insoweit in Anspruch genommen werden, als eine erhebliche und schwerwiegende Gefahr besteht, dass die Einräumung eines bestimmten Rechts das betreffende öffentliche Interesse beeinträchtigen würde. Der Verantwortliche muss auf Einzelfallbasis beurteilen, ob diese Bedingungen erfüllt sind (55).

(63)

Zusätzlich zu den in Anhang 2 des DPA 2018 enthaltenen Beschränkungen ist in Paragraf 26 DPA 2018 eine Ausnahme vorgesehen, die auf gewisse Bestimmungen der UK GDPR und des DPA 2018 angewendet werden kann, wenn diese Ausnahme zum Schutz der nationalen Sicherheit oder für Verteidigungszwecke erforderlich ist. Diese Ausnahme gilt für die Datenschutzgrundsätze (mit Ausnahme des Grundsatzes der Rechtmäßigkeit), die Transparenzpflichten, die Rechte der betroffenen Person, die Pflicht zur Mitteilung einer Datenschutzverletzung, die Vorschriften über internationale Übermittlungen, einige der Pflichten und Befugnisse des Information Commissioner sowie die Vorschriften über Rechtsbehelfe, Haftung und Sanktionen, mit Ausnahme der Bestimmung über die allgemeinen Bedingungen für die Verhängung von Geldbußen gemäß Artikel 83 UK GDPR und der Bestimmung über Sanktionen gemäß Artikel 84 UK GDPR. Des Weiteren wird in Paragraf 28 DPA 2018 die Anwendung von Artikel 9 Absatz 1 dahin gehend geändert, dass die Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 Absatz 1 UK GDPR ermöglicht wird, sofern die Verarbeitung zum Schutz der nationalen Sicherheit oder für Verteidigungszwecke und mit geeigneten Garantien für die Rechte und Freiheiten der betroffenen Personen durchgeführt wird (56).

(64)

Die Ausnahme kann nur insoweit angewendet werden, als dies zum Schutz der nationalen Sicherheit oder für Verteidigungszwecke erforderlich ist. Wie auch die anderen Ausnahmen, die im DPA 2018 vorgesehen sind, muss diese Ausnahme vom Verantwortlichen auf Einzelfallbasis geprüft und darf nur im Einzelfall geltend gemacht werden. Des Weiteren müssen bei jeder Anwendung der Ausnahme die (durch den Human Rights Act 1998 untermauerten) Menschenrechtsstandards beachtet werden, wonach jeder Eingriff in die Rechte auf Privatsphäre in einer demokratischen Gesellschaft notwendig und verhältnismäßig sein sollte (57).

(65)

Diese Auslegung der Ausnahme wird durch das ICO bestätigt, das ausführliche Leitlinien über die Anwendung der Ausnahme zum Schutz der nationalen Sicherheit oder für Verteidigungszwecke herausgegeben hat, aus denen klar hervorgeht, dass die Ausnahme vom Verantwortlichen auf Einzelfallbasis geprüft werden muss und nur im Einzelfall angewandt werden darf (58). In den Leitlinien wird insbesondere hervorgehoben, dass es sich nicht um eine pauschale Ausnahme handelt und dass es nicht ausreicht, dass die Daten zu Zwecken der nationalen Sicherheit verarbeitet werden, um die Ausnahme geltend machen zu können. Der Verantwortliche, der sich darauf stützt, muss hingegen belegen, dass eine echte Möglichkeit einer nachteiligen Wirkung auf die nationale Sicherheit besteht, und erforderlichenfalls dem ICO Beweise für die Gründe vorlegen, aus denen er diese Ausnahmeregelung in Anspruch genommen hat. Die Leitlinien enthalten eine Checkliste und eine Reihe von Beispielen, um die Bedingungen für die Inanspruchnahme dieser Ausnahmeregelung zu veranschaulichen.

(66)

Die Tatsache, dass die Daten für Zwecke der nationalen Sicherheit oder der Verteidigung verarbeitet werden, reicht somit für sich genommen nicht aus, um die Ausnahme anzuwenden. Ein Verantwortlicher muss die tatsächlichen Folgen für die nationale Sicherheit berücksichtigen, wenn er die jeweilige Datenschutzbestimmung einhalten müsste. Die Ausnahme darf nur auf die Bestimmungen angewendet werden, von denen das Risiko erwiesenermaßen ausgeht, und muss so restriktiv wie möglich angewendet werden (59).

(67)

Diese Verfahrensweise wurde vom Informationsgericht (Information Tribunal) bestätigt (60). In der Rechtssache Baker/Secretary of State for the Home Department („Baker/Secretary of State“) stellte das Gericht fest, dass es rechtswidrig war, die Ausnahme zum Schutz der nationalen Sicherheit als pauschale Ausnahme auf die von den Nachrichtendiensten erhaltenen Zugriffsanträge anzuwenden. Stattdessen hätte die Ausnahme auf Einzelfallbasis angewandt werden müssen, indem jeder Antrag für sich und im Hinblick auf das Recht des Einzelnen auf Achtung seines Privatlebens geprüft wird (61).

(68)

Gemäß Artikel 85 Absatz 2 UK GDPR können personenbezogene Daten, die zu journalistischen, künstlerischen, wissenschaftlichen und literarischen Zwecken verarbeitet werden, von mehreren Bestimmungen der UK GDPR ausgenommen werden. In Anhang 2 Teil 5 des DPA 2018 sind die für die Verarbeitung zu diesen Zwecken geltenden Ausnahmen festgelegt. Hierzu zählen Ausnahmen von den Datenschutzgrundsätzen (mit Ausnahme des Grundsatzes der Integrität und Vertraulichkeit), den Rechtsgrundlagen für die Verarbeitung (einschließlich besonderer Datenkategorien und Daten über strafrechtliche Verurteilungen usw.), den Bedingungen für die Einwilligung, den Transparenzpflichten, den Rechten der betroffenen Personen, der Pflicht zur Mitteilung von Datenschutzverletzungen und der Pflicht zur Konsultation des Information Commissioner vor einer risikoreichen Verarbeitung sowie den Vorschriften für internationale Übermittlungen (62). Diesbezüglich weicht die UK GDPR nicht wesentlich von der Verordnung (EU) 2016/679 ab, nach deren Artikel 85 ebenfalls die Möglichkeit besteht, Verarbeitungen zu journalistischen Zwecken oder zu wissenschaftlichen, künstlerischen oder literarischen Zwecken von einer Reihe von Anforderungen der Verordnung (EU) 2016/679 auszunehmen. Die Bestimmungen des DPA 2018, insbesondere Anhang 2 Teil 5, sind mit der UK GDPR vereinbar.

(69)

Die zentrale Abwägung, die nach Artikel 85 UK GDPR zu treffen ist, bezieht sich auf die Frage, ob eine Ausnahme von den Erwägungsgrund 68 genannten Datenschutzvorschriften „erforderlich ist, um das Recht auf Schutz der personenbezogenen Daten mit der Freiheit der Meinungsäußerung und der Informationsfreiheit in Einklang zu bringen“ (63). Um diese Abwägung zu treffen, prüft das Vereinigte Königreich gemäß Anhang 2 Nummer 26 Ziffern 2 und 3 des DPA 2018, ob nach vernünftigem Ermessen von einem bestimmten Sachverhalt ausgegangen werden kann („Reasonable belief“-Prüfung). Damit eine Ausnahme gerechtfertigt ist, muss der Verantwortliche nach vernünftigem Ermessen davon ausgehen, i) dass die Veröffentlichung im öffentlichen Interesse liegt und ii) dass die Anwendung der entsprechenden Bestimmung der GDPR mit journalistischen, wissenschaftlichen, künstlerischen oder literarischen Zwecken unvereinbar wäre. Wie durch die Rechtsprechung bestätigt wurde (64), besitzt die „Reasonable belief“-Prüfung sowohl eine subjektive als auch eine objektive Komponente: Es reicht nicht aus, wenn der Verantwortliche nachweist, dass er selbst davon ausgegangen ist, dass die Einhaltung einer bestimmten Vorschrift unvereinbar war. Seine Einschätzung muss vernünftig sein, d. h., sie könnte von einer vernünftigen Person in Kenntnis der relevanten Fakten geglaubt werden. Der Verantwortliche muss daher bei der Bildung seiner Einschätzung die erforderliche Sorgfalt walten lassen, um die Vernünftigkeit nachweisen zu können. Laut den Erläuterungen der britischen Behörden muss die „Reasonable belief“-Prüfung für jede Ausnahme einzeln durchgeführt werden (65). Sind die Bedingungen erfüllt, gilt die Ausnahme als notwendig und verhältnismäßig nach britischem Recht.

(70)

Gemäß Paragraf 124 DPA 2018 soll das ICO einen Verhaltenskodex zu Datenschutz und Journalismus erstellen. Die Arbeiten an diesem Kodex laufen derzeit noch. Im Rahmen des Data Protection Act 1998 wurden Leitlinien zu diesem Thema herausgegeben; darin wird insbesondere betont, dass es für die Inanspruchnahme dieser Ausnahme nicht ausreicht, lediglich festzustellen, dass die Einhaltung einer Bestimmung für Journalisten eine Unannehmlichkeit darstellen würde, sondern dass es ein klares Argument dafür geben muss, dass die betreffende Bestimmung ein Hindernis für einen verantwortungsvollen Journalismus darstellt (66). Die britische Telekommunikationsaufsicht OFCOM und die BBC (in ihren redaktionellen Leitlinien) haben zudem Anwendungsleitlinien zur Prüfung des öffentlichen Interesses und zur Abwägung zwischen dem öffentlichen Interesse und dem Interesse des Einzelnen an Privatsphäre veröffentlicht (67). Die Leitlinien enthalten insbesondere Beispiele dafür, welche Informationen als im öffentlichen Interesse liegend angesehen werden können; ferner wird erläutert, dass man in der Lage sein muss, nachzuweisen, dass das öffentliche Interesse unter den besonderen Umständen des Falles die Rechte auf Privatsphäre überwiegt.

(71)

Ähnlich wie in Artikel 89 DSGVO vorgesehen, können personenbezogene Daten, die zu im öffentlichen Interesse liegenden Archivzwecken, zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken verarbeitet werden, ebenfalls von einer Reihe gelisteter Bestimmungen der UK GDPR ausgenommen werden (68). In den Bereichen Forschung und Statistik sind Ausnahmen von den Bestimmungen der UK GDPR in Bezug auf Folgendes möglich: Bestätigung der Verarbeitung und Auskunft über Daten und Garantien für Übermittlungen an Drittländer; Recht auf Berichtigung; Einschränkung der Verarbeitung und Widerspruch gegen die Verarbeitung. In Bezug auf die Archivierung im öffentlichen Interesse sind auch Ausnahmen von der Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung sowie vom Recht auf Datenübertragbarkeit möglich.

(72)

Gemäß Anhang 2 Nummer 27 Ziffer 1 und Nummer 28 Ziffer 1 des DPA 2018 sind die Ausnahmen von den Bestimmungen der UK GDPR möglich, wenn die Anwendung der Bestimmungen das Erreichen der betreffenden Zwecke „verhindern oder ernsthaft beeinträchtigen“ würde (69).

(73)

Angesichts ihrer Bedeutung für eine wirksame Ausübung der Rechte des Einzelnen werden alle relevanten Entwicklungen bezüglich der Auslegung der vorgenannten Ausnahmen und ihrer Anwendung in der Praxis (zusätzlich zu der Ausnahme im Zusammenhang mit der Aufrechterhaltung einer wirksamen Einwanderungskontrolle, wie in Erwägungsgrund 6 erläutert), einschließlich aller Weiterentwicklungen in der Rechtsprechung sowie der Leitlinien und Durchsetzungsmaßnahmen des ICO, im Kontext der kontinuierlichen Überwachung dieses Beschlusses gebührend berücksichtigt (70).

(74)

Das Schutzniveau für personenbezogene Daten, die aus der Europäischen Union an Verantwortliche oder Auftragsverarbeiter im Vereinigten Königreich übermittelt werden, darf nicht durch die Weiterübermittlung dieser Daten an Empfänger in einem Drittland beeinträchtigt werden. Solche Weiterübermittlungen („onward transfers“), die aus Sicht des britischen Verantwortlichen oder Auftragsverarbeiters internationale Übermittlungen aus dem Vereinigten Königreich darstellen, sollten nur dann zulässig sein, wenn der spätere Empfänger außerhalb des Vereinigten Königreichs selbst Vorschriften unterliegt, die ein ähnliches Schutzniveau gewährleisten, wie es in der Rechtsordnung des Vereinigten Königreichs garantiert ist. Aus diesem Grund ist die Anwendung der Vorschriften der UK GDPR und des DPA 2018 auf die internationale Übermittlung personenbezogener Daten ein wichtiger Faktor, um die Kontinuität des Schutzes für Fälle zu gewährleisten, in denen personenbezogene Daten im Rahmen dieses Beschlusses aus der Europäischen Union an das Vereinigte Königreich übermittelt werden.

(75)

Die Bestimmungen zu internationalen Übermittlungen personenbezogener Daten aus dem Vereinigten Königreich finden sich in den Artikeln 44 bis 49 UK GDPR, ergänzt durch den DPA 2018, und entsprechen inhaltlich den Bestimmungen in Kapitel V der Verordnung (EU) 2016/679 (71). Übermittlungen personenbezogener Daten an ein Drittland oder eine internationale Organisation dürfen nur auf der Grundlage von Angemessenheitsvorschriften („adequacy regulations“ – dem britischen Äquivalent eines Angemessenheitsbeschlusses gemäß der Verordnung (EU) 2016/679) erfolgen; liegen keine Angemessenheitsvorschriften vor, dürfen solche Übermittlungen nur dann erfolgen, wenn der Verantwortliche oder Auftragsverarbeiter geeignete Garantien gemäß Artikel 46 UK GDPR vorgesehen hat. In Ermangelung von Angemessenheitsvorschriften und geeigneten Garantien darf kann eine Übermittlung nur auf der Grundlage von Ausnahmen gemäß Artikel 49 UK GDPR erfolgen.

(76)

Die vom Secretary of State erlassenen Angemessenheitsvorschriften können vorsehen, dass ein Drittland (oder ein Gebiet oder ein Sektor in einem Drittland), eine internationale Organisation oder eine Beschreibung (72) eines solchen Landes, Gebiets, Sektors oder einer solchen Organisation ein angemessenes Schutzniveau für personenbezogene Daten gewährleistet. Bei der Prüfung der Angemessenheit des gebotenen Schutzniveaus muss der Secretary of State exakt dieselben Elemente berücksichtigen, die die Kommission gemäß Artikel 45 Absatz 2 Buchstaben a bis c der Verordnung (EU) 2016/679 in Verbindung mit dem Erwägungsgrund 104 der Verordnung (EU) 2016/679 und der beibehaltenen Rechtsprechung der EU zu beurteilen hat. Das bedeutet, dass bei der Beurteilung der Angemessenheit des Schutzniveaus eines Drittlandes die Frage maßgeblich sein wird, ob das betreffende Drittland ein Schutzniveau gewährleistet, das dem innerhalb des Vereinigten Königreichs garantierten Schutzniveau „der Sache nach gleichwertig“ ist.

(77)

Was das Verfahren betrifft, so gelten für Angemessenheitsvorschriften die „allgemeinen“ („general“) Verfahrensmodalitäten gemäß Paragraf 182 DPA 2018. Nach diesem Verfahren muss der Secretary of State bei einem Vorschlag zum Erlass von Angemessenheitsvorschriften den Information Commissioner konsultieren (73). Nach ihrer Verabschiedung durch den Secretary of State werden die Vorschriften dem Parlament vorgelegt und dort dem negativen Abstimmungsverfahren („negative resolution procedure“) unterzogen, bei dem beide Kammern des Parlaments die Vorschriften prüfen können und die Möglichkeit haben, innerhalb einer Frist von 40 Tagen einen Antrag auf deren Aufhebung zu stellen (74).

(78)

Gemäß Paragraf 17B Absatz 1 DPA 2018 müssen die Angemessenheitsvorschriften mindestens alle vier Jahre überprüft werden; ferner muss der Secretary of State laufend die Entwicklungen in Drittländern und internationalen Organisationen beobachten, die sich auf Entscheidungen über den Erlass, die Änderung oder die Aufhebung von Angemessenheitsvorschriften auswirken könnten. Stellt der Secretary of State fest, dass ein bestimmtes Land oder eine bestimmte Organisation kein angemessenes Schutzniveau für personenbezogene Daten mehr gewährleistet, muss er, soweit erforderlich, die Vorschriften ändern oder aufheben und Konsultationen mit dem betreffenden Drittland oder der betreffenden internationalen Organisation aufnehmen, um dem Fehlen eines angemessenen Schutzniveaus abzuhelfen. Diese verfahrenstechnischen Aspekte stehen ebenfalls im Einklang mit den entsprechenden Anforderungen der Verordnung (EU) 2016/679.

(79)

Liegen keine Angemessenheitsvorschriften vor, können internationale Übermittlungen erfolgen, wenn der Verantwortliche oder Auftragsverarbeiter geeignete Garantien gemäß Artikel 46 UK GDPR vorgesehen hat. Diese Garantien ähneln denen, die in Artikel 46 der Verordnung (EU) 2016/679 festgelegt sind. Sie umfassen rechtlich bindende und durchsetzbare Dokumente zwischen den Behörden oder öffentlichen Stellen, verbindliche interne Datenschutzvorschriften (75), Standarddatenschutzklauseln, genehmigte Verhaltensregeln, genehmigte Zertifizierungsverfahren und – mit Genehmigung des Information Commissioner – Vertragsklauseln für Verträge zwischen Verantwortlichen (oder Auftragsverarbeitern) oder Verwaltungsvereinbarungen zwischen Behörden. Die Bestimmungen wurden jedoch verfahrenstechnisch geändert und an den Rechtsrahmen des Vereinigten Königreichs angepasst; so können gemäß dem DPA 2018 insbesondere die Standarddatenschutzklauseln vom Secretary of State (Paragraf 17C) oder vom Information Commissioner (Paragraf 119A) angenommen werden.

(80)

Falls weder ein Angemessenheitsbeschluss noch geeignete Garantien bestehen, kann eine Übermittlung nur auf der Grundlage von Ausnahmen gemäß Artikel 49 der UK GDPR erfolgen (76). Mit der UK GDPR wurden keine wesentlichen Änderungen der Ausnahmen gegenüber den entsprechenden Vorschriften der Verordnung (EU) 2016/679 eingeführt. Gemäß der UK GDPR, wie auch gemäß der Verordnung (EU) 2016/679, können bestimmte Ausnahmen nur dann geltend gemacht werden, wenn die Übermittlung gelegentlich erfolgt (77). Darüber hinaus stellt das ICO in seinen Leitlinien zu internationalen Übermittlungen Folgendes klar: „Diese Regelungen sind nur als echte ‚Ausnahmen‘ von der allgemeinen Regel anzuwenden, wonach eine eingeschränkte Übertragung nur dann vorgenommen werden sollte, wenn diesbezüglich ein Angemessenheitsbeschluss vorliegt oder geeignete Garantien bestehen“ (78). In Bezug auf Übermittlungen, die aus wichtigen Gründen des öffentlichen Interesses notwendig sind (Artikel 49 Absatz 1 Buchstabe d) kann der Secretary of State Verordnungen erlassen, um die Umstände festzulegen, unter denen eine Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation aus wichtigen Gründen des öffentlichen Interesses erforderlich nicht erforderlich ist. Darüber hinaus kann der Secretary of State im Wege von Verordnungen die Übermittlung einer Kategorie personenbezogener Daten an ein Drittland oder eine internationale Organisation einschränken, wenn die Übermittlung aufgrund von Angemessenheitsvorschriften nicht erfolgen kann und der Secretary of State die Einschränkung aus wichtigen Gründen des öffentlichen Interesses für erforderlich hält. Bislang wurden noch keine derartigen Verordnungen verabschiedet.

(81)

Dieser Rahmen für internationale Übermittlungen ist mit Ende des Übergangszeitraums in Kraft getreten (79). Allerdings sieht Nummer 4 des (durch die DPPEC Regulations eingeführten) Anhangs 21 des DPA 2018 vor, dass bestimmte Übermittlungen personenbezogener Daten ab dem Ende des Übergangszeitraums so behandelt werden, als ob sie auf Angemessenheitsvorschriften beruhten. Hierzu zählen Übermittlungen an einen EWR-Staat, an das Gebiet Gibraltar, an ein Organ, eine Einrichtung, ein Amt oder eine Agentur der Union, das/die durch den EU-Vertrag oder auf der Grundlage des EU-Vertrags errichtet wurde, sowie an Drittländer, für die am Ende des Übergangszeitraums ein Angemessenheitsbeschluss der EU vorlag. Folglich können Übermittlungen an diese Länder weiterhin wie vor dem Austritt des Vereinigten Königreichs aus der Union durchgeführt werden. Nach dem Ende des Übergangszeitraums muss der Secretary of State innerhalb von vier Jahren, d. h. bis Ende Dezember 2024, eine Überprüfung dieser Angemessenheitsfeststellungen vornehmen. Laut den Erläuterungen der britischen Behörden muss der Secretary of State zwar bis Ende Dezember 2024 eine solche Überprüfung durchführen, allerdings umfassen die Übergangsbestimmungen keine „Sunset“-Klausel und die entsprechenden Übergangsbestimmungen treten nicht automatisch außer Kraft, wenn die Überprüfung nicht bis Ende Dezember 2024 abgeschlossen ist.

(82)

Was die künftige Entwicklung der britischen Bestimmungen zu internationalen Übermittlungen – durch die Annahme neuer Angemessenheitsvorschriften, den Abschluss internationaler Übereinkünfte oder die Einführung neuer Übertragungsmechanismen – angeht, so wird die Kommission die Lage genau verfolgen, bewerten, ob die verschiedenen Übertragungsmechanismen in einer Weise angewandt werden, die die Kontinuität des Schutzes gewährleistet, und erforderlichenfalls geeignete Maßnahmen treffen, um gegen etwaige nachteilige Auswirkungen für diese Kontinuität vorzugehen (siehe Erwägungsgründe 278 bis 287). Da die Vorschriften der EU und des Vereinigten Königreichs über internationale Übermittlungen vergleichbar sind, wird davon ausgegangen, dass problematische Unterschiede auch durch Zusammenarbeit, Informations- und Erfahrungsaustausch einschließlich zwischen dem ICO und dem EDPB vermieden werden können.

(83)

Nach dem Grundsatz der Rechenschaftspflicht müssen Daten verarbeitende Unternehmen geeignete technische und organisatorische Maßnahmen treffen, um ihren Datenschutzverpflichtungen wirksam nachzukommen und dies, insbesondere gegenüber der zuständigen Aufsichtsbehörde, nachweisen zu können.

(84)

Der in der Verordnung (EU) 2016/679 vorgesehene Grundsatz der Rechenschaftspflicht wurde in Artikel 5 Absatz 2 UK GDPR ohne wesentliche Änderungen beibehalten; dasselbe gilt für Artikel 24 über die Verantwortung des für die Verarbeitung Verantwortlichen, Artikel 25 über Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen und Artikel 30 über das Verzeichnis von Verarbeitungstätigkeiten. Artikel 35 über die Datenschutz-Folgenabschätzung und Artikel 36 über die vorherige Konsultation der Aufsichtsbehörde wurden ebenfalls beibehalten. Auch die Artikel 37 bis 39 der Verordnung (EU) 2016/679 über die Benennung und die Aufgaben des Datenschutzbeauftragten wurden ohne wesentliche Änderungen in die UK GDPR übernommen. Des Weiteren wurden die Bestimmungen der Artikel 40 und 42 der Verordnung (EU) 2016/679 über Verhaltensregeln und Zertifizierung in der UK GDPR beibehalten (80).

(85)

Um sicherzustellen, dass in der Praxis ein angemessenes Datenschutzniveau gewährleistet ist, sollte eine unabhängige Aufsichtsbehörde mit der Befugnis zur Überwachung und Durchsetzung der Einhaltung der Datenschutzvorschriften eingerichtet werden. Diese Behörde sollte bei der Erfüllung ihrer Aufgaben und der Ausübung ihrer Befugnisse vollkommen unabhängig und unparteiisch handeln.

(86)

Im Vereinigten Königreich ist der Information Commissioner für die Überwachung und Durchsetzung der Einhaltung der UK GDPR und des DPA 2018 zuständig. Der Information Commissioner ist eine „Corporation Sole“, d. h. ein eigenständiges Rechtssubjekt, das aus einer einzigen Person besteht. Der Information Commissioner wird bei seiner Arbeit von einem Büro unterstützt. Am 31. März 2020 waren im Büro des Information Commissioner 768 Festangestellte tätig (81). Der Information Commissioner wird vom britischen Ministerium für Digitales, Kultur, Medien und Sport gefördert (82).

(87)

Die Unabhängigkeit des Information Commissioner ist in Artikel 52 UK GDPR ausdrücklich verankert, der keine inhaltlichen Änderungen im Vergleich zu Artikel 52 Absätze 1 bis 3 DSGVO umfasst. Bei der Erfüllung seiner Aufgaben und der Ausübung seiner Befugnisse gemäß der UK GDPR muss der Information Commissioner völlig unabhängig handeln; er darf weder direkter noch indirekter Beeinflussung von außen unterliegen und weder um Weisung ersuchen noch Weisungen entgegennehmen. Zudem muss er von allen mit den Aufgaben seines Amtes nicht zu vereinbarenden Handlungen absehen und darf während seiner Amtszeit keine andere mit seinem Amt nicht zu vereinbarende entgeltliche oder unentgeltliche Tätigkeit ausüben.

(88)

Die Bedingungen für die Ernennung und Abberufung des Information Commissioner sind in Anhang 12 des DPA 2018 festgelegt. Der Information Commissioner wird von Ihrer Majestät auf Empfehlung der Regierung im Wege eines fairen und offenen Auswahlverfahrens ernannt. Der Kandidat muss über geeignete Qualifikationen, Fähigkeiten und Kompetenzen verfügen. Gemäß dem Kodex der Regierung über die Besetzung öffentlicher Ämter (Governance Code on Public Appointments) (83) erstellt ein beratendes Bewertungsgremium eine Liste mit infrage kommenden Kandidaten. Bevor der Secretary of State im Ministerium für Digitales, Kultur, Medien und Sport seine Entscheidung trifft, muss der zuständige Sonderausschuss des Parlaments im Vorfeld der Ernennung eine Prüfung durchführen. Die entsprechende Stellungnahme des Ausschusses wird veröffentlicht (84).

(89)

Die Amtszeit des Information Commissioner dauert bis zu sieben Jahre. Nach einer Amtszeit kann er nicht wiederernannt werden. Der Information Commissioner kann von Ihrer Majestät nach einer Meinungsäußerung („Address“ (85)) beider Kammern des Parlaments seines Amtes enthoben werden. Ein Antrag auf Entlassung des Information Commissioner kann nur dann einer der beiden Kammern des Parlaments vorgelegt werden, wenn ein Minister einen Bericht vorgelegt hat, nach dem er der Auffassung ist, dass der Information Commissioner sich eines schweren Fehlverhaltens schuldig gemacht hat und/oder nicht mehr die Voraussetzungen für die Ausübung seiner Funktionen erfüllt (86).

(90)

Der Information Commissioner bezieht seine finanziellen Mittel aus drei Quellen: i) von den Verantwortlichen entrichtete Datenschutzgebühren, die durch Verordnungen des Secretary of State (87) (Data Protection (Charges and Information) Regulations 2018) festgelegt werden und 85 % bis 90 % des Jahreshaushalts des Büros des Information Commissioner ausmachen (88), ii) Zuschüsse der Regierung an den Information Commissioner, die hauptsächlich der Finanzierung der Betriebskosten des Information Commissioner für nicht datenschutzbezogene Aufgaben dienen (89), und iii) für Dienstleistungen erhobene Gebühren (90). Derzeit werden keine derartigen Gebühren erhoben.

(91)

Die allgemeinen Aufgaben des Information Commissioner in Bezug auf die Verarbeitung personenbezogener Daten, die im Anwendungsbereich der UK GDPR liegen, sind in Artikel 57 UK GDPR festgelegt, der weitgehend im Einklang mit den entsprechenden Bestimmungen der Verordnung (EU) 2016/679 steht. Seine Aufgaben umfassen die Überwachung und Durchsetzung der UK GDPR, die Sensibilisierung der Öffentlichkeit, die Bearbeitung von Beschwerden betroffener Personen, die Durchführung von Untersuchungen usw. Darüber hinaus sind in Paragraf 115 DPA 2018 weitere allgemeine Aufgaben des Information Commissioner festgelegt, darunter die Pflicht, das Parlament, die Regierung und andere Einrichtungen und Gremien über legislative und administrative Maßnahmen zum Schutz der Rechte und Freiheiten des Einzelnen in Bezug auf die Verarbeitung personenbezogener Daten zu beraten, sowie die Befugnis, zu allen Fragen, die im Zusammenhang mit dem Schutz personenbezogener Daten stehen, von sich aus oder auf Anfrage Stellungnahmen an das Parlament, die Regierung oder an sonstige Einrichtungen und Stellen sowie an die Öffentlichkeit zu richten. Damit die Unabhängigkeit der Justiz gewahrt bleibt, ist der Information Commissioner nicht befugt, seine Aufgaben im Zusammenhang mit der Verarbeitung personenbezogener Daten durch eine Person, die im Rahmen einer justiziellen Tätigkeit handelt, oder ein Gericht oder Tribunal, das im Rahmen seiner justiziellen Tätigkeit handelt, auszuüben. Die Aufsicht über die Justiz wird jedoch durch spezialisierte Stellen gewährleistet (siehe Erwägungsgründe 99 bis 103).

(92)

Die Befugnisse des Information Commissioner sind in Artikel 58 UK GDPR festgelegt, der keine wesentlichen Änderungen gegenüber dem entsprechenden Artikel der Verordnung (EU) 2016/679 umfasst. Der DPA 2018 enthält ergänzende Vorschriften dazu, wie diese Befugnisse ausgeübt werden können. Der Information Commissioner hat insbesondere die Befugnis, a) im Wege eines Informationsbescheides („information notice“) den Verantwortlichen und den Auftragsverarbeiter (und unter bestimmten Umständen jede andere Person) anzuweisen, erforderliche Informationen bereitzustellen (91), b) Untersuchungen und Überprüfungen durchzuführen, indem er einen Bewertungsbescheid („assessment notice“) erlässt, mit dem der Verantwortliche oder der Auftragsverarbeiter aufgefordert werden kann, dem Information Commissioner zu gestatten, bestimmte Räumlichkeiten zu betreten, Dokumente oder Ausrüstung in Augenschein zu nehmen oder zu prüfen, Personen zu befragen, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeiten, usw. (92), c) anderweitig Zugriff auf Dokumente usw. von Verantwortlichen und Auftragsverarbeitern zu erhalten und Zugang zu deren Räumlichkeiten gemäß Paragraf 154 DPA 2018 zu erhalten („powers of entry and inspection“), d) Abhilfebefugnisse auszuüben, unter anderem durch Warnungen und Verwarnungen, oder im Wege eines Durchsetzungsbescheides Anweisungen zu erteilen, um Verantwortliche bzw. Auftragsverarbeiter aufzufordern, bestimmte Maßnahmen zu ergreifen oder zu unterlassen, einschließlich der Anweisung an den Verantwortlichen oder Auftragsverarbeiter, alle Maßnahmen zu ergreifen, die in Artikel 58 Absatz 2 Buchstaben c bis g und j UK GDPR aufgeführt sind („enforcement notice“) (93), e) im Wege eines Bußgeldbescheides Geldbußen zu verhängen („penalty notice“) (94). Letztere können auch verhängt werden, wenn eine Behörde gegen die Bestimmungen der UK GDPR verstoßen haben (95).

(93)

In den Leitlinien des ICO zu regulatorischen Maßnahmen (Regulatory Action Policy (96)) ist festgelegt, unter welchen Umständen es einen Informations-, Bewertungs- Durchsetzungs- oder Bußgeldbescheid erteilt. Ein Durchsetzungsbescheid, der als Reaktion auf ein Versäumnis eines Verantwortlichen oder Auftragsverarbeiters erteilt wird, darf nur Forderungen enthalten, die der Information Commissioner für die Behebung des Versäumnisses für angemessen hält. Durchsetzungs- und Bußgeldbescheide können einem Verantwortlichen oder einem Auftragsverarbeiter aufgrund von Verstößen gegen Kapitel II der UK GDPR (Grundsätze der Verarbeitung), Artikel 12 bis 22 (Rechte der betroffenen Person), Artikel 25 bis 39 (Pflichten der Verantwortlichen und Auftragsverarbeiter) und Artikel 44 bis 49 (internationale Übermittlungen) der UK GDPR erteilt werden. Ein Durchsetzungsbescheid kann zudem dann erteilt werden, wenn ein Verantwortlicher einer Aufforderung gemäß den Verordnungen nach Paragraf 137 DPA 2018 zur Zahlung einer Gebühr nicht nachgekommen ist. Darüber hinaus kann eine Überwachungsstelle nach Artikel 41 oder einer Zertifizierungsstelle einen Durchsetzungsbescheid erhalten, wenn sie ihren Verpflichtungen im Rahmen der UK GDPR nicht nachkommt. Ferner kann ein Bußgeldbescheid einer Person erteilt werden, die einem Informationsbescheid, einem Bewertungsbescheid oder einem Durchsetzungsbescheid nicht nachgekommen ist.

(94)

Ein Bußgeldbescheid verpflichtet eine Person, einen im Bescheid genannten Betrag an den Information Commissioner zu zahlen. Bei der Entscheidung, ob und in welcher Höhe ein Bußgeldbescheid erteilt wird, muss der Information Commissioner die in Artikel 83 Absätze 1 und 2 UK GDPR aufgeführten Punkte berücksichtigen, die mit den entsprechenden Bestimmungen der Verordnung (EU) 2016/679 identisch sind (97). Gemäß Artikel 83 Absätze 4 und 5 liegen die Höchstbeträge der Geldbußen im Falle der Nichteinhaltung der in diesen Bestimmungen genannten Verpflichtungen bei 8 700 000 GBP bzw. 17 500 000 GBP. Im Falle eines Unternehmens kann der Information Commissioner auch Geldbußen in Form eines Prozentsatzes des weltweiten Jahresumsatzes verhängen, falls dieser höher ist. Wie in den entsprechenden Bestimmungen der Verordnung (EU) 2016/679 liegen diese Beträge gemäß Artikel 83 Absätze 4 und 5 bei 2 % bzw. 4 %. Wird einem Informationsbescheid, Bewertungsbescheid oder Durchsetzungsbescheid nicht nachgekommen, liegt der Höchstbetrag der Geldbuße, die durch einen Bußgeldbescheid verhängt werden kann, bei 17 500 000 GBP oder im Falle eines Unternehmens bei 4 % des weltweiten Jahresumsatzes, je nachdem, welcher der Beträge höher ist.

(95)

Die Befugnisse des Information Commissioner wurden durch die UK GDPR in Verbindung mit dem DPA 2018 auch gestärkt. So hat er beispielsweise nun die Möglichkeit, im Rahmen von Bewertungsbescheiden obligatorische Überprüfungen bei sämtlichen Verantwortlichen und Auftragsverarbeitern durchzuführen, während er diese Befugnis nach der vorherigen Rechtsvorschrift, dem Data Protection Act 1998, nur in Bezug auf die Zentralregierung und Gesundheitsorganisationen ausüben konnte und andere der Überprüfung zustimmen mussten.

(96)

Seit der Einführung der Verordnung (EU) 2016/679 bearbeitet das ICO rund 40 000 Beschwerden von betroffenen Personen pro Jahr (98) und führt darüber hinaus etwa 2 000 Untersuchungen von Amts wegen durch (99). Ein Großteil der Beschwerden betrifft das Recht auf Auskunft und auf Offenlegung von Daten. Im Anschluss an seine Untersuchungen ergreift der Information Commissioner Durchsetzungsmaßnahmen in einer Vielzahl unterschiedlicher Bereiche. Konkret hat er laut seinem letzten Jahresbericht (2019–2020) (100) während des Berichtszeitraums 54 Informationsbescheide, acht Bewertungsbescheide und sieben Durchsetzungsbescheide erteilt, vier Verwarnungen ausgesprochen, in acht Fällen eine Strafverfolgung eingeleitet und in 15 Fällen Geldbußen verhängt (101).

(97)

Hierzu zählten mehrere beträchtliche Geldbußen, die im Rahmen der Verordnung (EU) 2016/679 und des DPA 2018 verhängt wurden. So verhängte der Information Commissioner im Oktober 2020 eine Geldstrafe in Höhe von 20 Mio. GBP gegen eine britische Fluggesellschaft wegen einer Datenschutzverletzung, von der mehr als 400 000 Kunden betroffen waren. Ende Oktober 2020 wurde gegen eine internationale Hotelkette eine Geldbuße von 18,4 Mio. GBP verhängt, weil sie die personenbezogenen Daten von Millionen von Kunden nicht sicher aufbewahrt hatte, und im November 2020 wurde ein britischer Dienstleister, der Veranstaltungstickets im Internet verkauft, mit einer Geldbuße von 1,25 Mio. GBP belegt, weil er die Zahlungsdaten seiner Kunden nicht geschützt hatte (102).

(98)

Zusätzlich zu den in Erwägungsgrund 92 beschriebenen Durchsetzungsbefugnissen des Information Commissioner stellen bestimmte Verstöße gegen die Datenschutzvorschriften Straftaten dar und können daher strafrechtlich geahndet werden (Paragraf 196 DPA 2018). Hierzu zählen beispielsweise die wissentliche oder leichtfertige Erlangung oder Offenlegung personenbezogener Daten ohne Zustimmung des Verantwortlichen, die Veranlassung der Offenlegung personenbezogener Daten gegenüber einer anderen Person ohne Zustimmung des Verantwortlichen (103), die Re-Identifizierung von anonymisiert vorliegenden personenbezogenen Daten ohne Zustimmung des für die Anonymisierung der personenbezogenen Daten zuständigen Verantwortlichen (104), die vorsätzliche Behinderung des Information Commissioner bei der Ausübung seiner Befugnisse in Bezug auf die Einsichtnahme in personenbezogene Daten gemäß internationalen Verpflichtungen (105), die Abgabe falscher Erklärungen bei der Erwiderung auf einen Informationsbescheid oder die Vernichtung von Informationen im Zusammenhang mit Informations- und Bewertungsbescheiden (106).

(99)

Die Aufsicht über die Verarbeitung personenbezogener Daten durch die Gerichte und die Justiz erfolgt über zwei Wege. Wenn ein Inhaber eines richterlichen Amtes oder ein Gericht nicht im Rahmen seiner justiziellen Tätigkeit handelt, wird die Aufsichtsfunktion durch das ICO wahrgenommen. Wenn der Verantwortliche im Rahmen einer justiziellen Tätigkeit handelt, kann das ICO seine Aufsichtsfunktionen nicht wahrnehmen (107) und die Aufsicht erfolgt durch spezielle Stellen. Dies entspricht dem Ansatz gemäß Artikel 55 Absatz 3 der Verordnung (EU) 2016/679.

(100)

Insbesondere im zweiten Szenario – für die Gerichte von England und Wales sowie die First-tier und Upper Tribunals von England und Wales – wird diese Aufsichtsfunktion durch ein richterliches Datenschutzgremium (Judicial Data Protection Panel) wahrgenommen (108). Darüber hinaus haben der Lordoberrichter (Lord Chief Justice) und der Leitende Präsident der Tribunale (Senior President of Tribunals) eine Datenschutzerklärung herausgegeben (109), in der dargelegt ist, wie die Gerichte in England und Wales personenbezogene Daten für eine richterliche Funktion verarbeiten. Die Justizbehörden in Nordirland (110) und Schottland (111) haben ähnliche Erklärungen herausgegeben.

(101)

In Nordirland hat der Lord Chief Justice of Northern Ireland zudem einen Richter des High Court zum Richter für Datenaufsicht (Data Supervisory Judge – DSJ) ernannt (112). Darüber hinaus erhielt die nordirische Justiz Leitlinien dazu, was im Falle eines Datenverlustes oder eines potenziellen Datenverlustes zu tun ist und wie mit den daraus resultierenden Problemen umzugehen ist (113).

(102)

In Schottland hat der Lord President einen Data Supervisory Judge ernannt, der sämtliche Beschwerden aus Gründen des Datenschutzes untersucht. Dies ist in den Vorschriften für gerichtliche Beschwerden geregelt, die denen für England und Wales entsprechen (114).

(103)

Schließlich wird einer der Richter des Supreme Court ernannt, um die Aufsicht über den Datenschutz zu führen.

(104)

Um einen angemessenen Schutz und insbesondere die Durchsetzung der Rechte des Einzelnen zu gewährleisten, sollten der betroffenen Person wirksame behördliche und gerichtliche Rechtsbehelfe, einschließlich Schadensersatz, zur Verfügung stehen.

(105)

Erstens hat eine betroffene Person das Recht auf Beschwerde beim Information Commissioner, wenn sie der Ansicht ist, dass im Zusammenhang mit sie betreffenden personenbezogenen Daten ein Verstoß gegen die UK GDPR vorliegt (115). Die diesbezüglichen Vorschriften von Artikel 77 der Verordnung (EU) 2016/679 wurden in der UK GDPR ohne wesentliche Änderungen beibehalten. Das Gleiche gilt für Artikel 57 Absatz 1 Buchstabe f und Absatz 2, in denen die Aufgaben des Information Commissioner in Bezug auf die Bearbeitung von Beschwerden festgelegt sind. Wie in den Erwägungsgründen 92 bis 98 oben beschrieben, hat der Information Commissioner die Befugnis, die Einhaltung der UK GDPR und des DPA 2018 durch den Verantwortlichen und den Auftragsverarbeiter zu bewerten, sie im Falle der Nichteinhaltung aufzufordern, notwendige Maßnahmen zu ergreifen oder zu unterlassen, und Geldbußen zu verhängen.

(106)

Zweitens besteht gemäß der UK GDPR und dem DPA 2018 das Recht auf einen Rechtsbehelf gegen den Information Commissioner. Nach Artikel 78 Absatz 1 UK GDPR hat eine Person das Recht auf einen wirksamen gerichtlichen Rechtsbehelf gegen einen sie betreffenden rechtsverbindlichen Beschluss des Information Commissioner. Im Rahmen der gerichtlichen Überprüfung untersucht der Richter den Beschluss, der in der Klage angefochten wird, und prüft, ob der Information Commissioner rechtmäßig gehandelt hat. Darüber hinaus hat der Beschwerdeführer gemäß Artikel 78 Absatz 2 UK GDPR Zugang zu einem gerichtlichen Rechtsbehelf, wenn der Information Commissioner eine Beschwerde der betroffenen Person nicht angemessen bearbeitet (116). Er kann bei einem First-tier Tribunal beantragen, den Information Commissioner anzuweisen, geeignete Schritte zur Beantwortung der Beschwerde zu unternehmen oder den Beschwerdeführer über den Stand der Bearbeitung der Beschwerde zu informieren (117). Darüber hinaus kann jede Person, die vom Information Commissioner einen der oben genannten Bescheide (Informations-, Bewertungs-, Durchsetzungs- oder Bußgeldbescheid) erhält, beim First-tier Tribunal Widerspruch einlegen (118). Ist das Gericht der Ansicht, dass der Beschluss des Information Commissioner rechtswidrig ist oder dieser seinen Ermessensspielraum anders hätte nutzen sollen, muss es dem Widerspruch stattgeben oder den beanstandeten Beschluss durch einen anderen Bescheid oder Beschluss ersetzen, den der Information Commissioner hätte erlassen können.

(107)

Drittens können natürliche Personen gemäß Artikel 79 UK GDPR und Paragraf 167 DPA 2018 unmittelbar vor den Gerichten Rechtsbehelfe gegen Verantwortliche und Auftragsverarbeiter einlegen. Wenn ein Gericht aufgrund einer Beschwerde einer betroffenen Person zu der Überzeugung gelangt, dass eine Verletzung der Rechte der betroffenen Person gemäß den Datenschutzvorschriften vorliegt, kann es anordnen, dass der Verantwortliche oder ein Auftragsverarbeiter, der im Namen dieses Verantwortlichen handelt, die in der Anordnung genannten Maßnahmen zu ergreifen oder zu unterlassen hat.

(108)

Darüber hinaus hat jede Person, der wegen eines Verstoßes gegen die UK GDPR ein materieller oder immaterieller Schaden entstanden ist, nach Artikel 82 UK GDPR und Paragraf 168 DPA 2018 Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Die Vorschriften zu Schadenersatz und Haftung in Artikel 82 Absätze 1 bis 5 UK GDPR sind identisch mit den entsprechenden Vorschriften der Verordnung (EU) 2016/679. Gemäß Paragraf 168 DPA 2018 umfassen immaterielle Schäden auch seelisches Leid. Gemäß Artikel 80 UK GDPR hat die betroffene Person zudem das Recht, ein Vertretungsorgan oder eine Organisation zu beauftragen, die Beschwerde in ihrem Namen (gemäß Artikel 77 UK GDPR) beim Commissioner einzureichen und die Rechte nach Artikel 78 (Recht auf wirksamen gerichtlichen Rechtsbehelf gegen den Commissioner), Artikel 79 (Recht auf wirksamen gerichtlichen Rechtsbehelf gegen Verantwortliche oder Auftragsverarbeiter) und Artikel 82 (Haftung und Recht auf Schadenersatz) der UK GDPR in ihrem Namen auszuüben.

(109)

Viertens kann jede Person zusätzlich zu den vorgenannten Rechtsbehelfen auf der Grundlage des Human Rights Act 1998 einen Rechtsbehelf vor den Gerichten des Vereinigten Königreichs einlegen, wenn sie der Ansicht ist, dass ihre Rechte, einschließlich der Rechte auf Privatsphäre und Datenschutz, von Behörden verletzt wurden (119). Ist eine Person der Ansicht, dass eine Behörde in einer Weise gehandelt hat (oder zu handeln beabsichtigt), die mit einem Konventionsrecht unvereinbar und folglich gemäß Paragraf 6 Absatz 1 des Human Rights Act 1998 rechtswidrig ist, kann sie die Behörde vor dem zuständigen Gericht verklagen oder sich in einem Gerichtsverfahren auf die betreffenden Rechte berufen, wenn sie Opfer der rechtswidrigen Handlung ist (oder wäre).

(110)

Befindet das Gericht eine Handlung einer Behörde für rechtswidrig, so kann es im Rahmen seiner Befugnisse den Rechtsbehelf oder die Abhilfe gewähren oder die Anordnung treffen, die es für gerecht und angemessen hält (120). Des Weiteren kann das Gericht eine Bestimmung des Primärrechts für unvereinbar mit einem Konventionsrecht befinden.

(111)

Schließlich kann eine Person, wenn alle nationalen Rechtsmittel ausgeschöpft wurden, vor dem Europäischen Gerichtshof für Menschenrechte aufgrund der Verletzung ihrer nach der Europäischen Menschenrechtskonvention garantierten Rechte Rechtsbehelfe einlegen.

(112)

Die Kommission bewertete auch den Rechtsrahmen des Vereinigten Königreichs für die Erhebung und anschließende Verwendung personenbezogener Daten, die britische Behörden im öffentlichen Interesse, insbesondere zu Zwecken der Strafverfolgung und der nationalen Sicherheit, an Unternehmer im Vereinigten Königreich übermitteln („government access“) (im Folgenden als „staatlicher Zugriff“ bezeichnet). Bei der Beurteilung der Frage, ob die Bedingungen für den staatlichen Zugriff auf Daten, die gemäß diesem Beschluss an das Vereinigte Königreich übermittelt werden, das Kriterium der „wesentlichen Gleichwertigkeit“ nach Artikel 45 Absatz 1 der Verordnung (EU) 2016/679 in der Auslegung des Gerichtshofs der Europäischen Union im Lichte der Charta der Grundrechte erfüllen würden, hat die Kommission insbesondere die folgenden Kriterien berücksichtigt.

(113)

Erstens muss jede Einschränkung des Rechts auf den Schutz personenbezogener Daten gesetzlich vorgesehen sein, und die gesetzliche Grundlage für den Eingriff in dieses Recht muss selbst den Umfang der Einschränkung der Ausübung des betreffenden Rechts festlegen (121).

(114)

Zweitens: Um dem Erfordernis der Verhältnismäßigkeit zu genügen, wonach Ausnahmen und Einschränkungen in Bezug auf den Schutz personenbezogener Daten nur insoweit gelten dürfen, als dies in einer demokratischen Gesellschaft zur Verwirklichung spezifischer Ziele von allgemeinem Interesse, die den von der Union anerkannten Zielen gleichwertig sind, unbedingt erforderlich ist, muss die Rechtsvorschrift des betreffenden Drittlands, nach der der Eingriff zulässig ist, klare und präzise Regeln für die Tragweite und die Anwendung der betreffenden Maßnahme vorsehen und Mindesterfordernisse aufstellen, sodass die Personen, deren Daten übermittelt wurden, über ausreichende Garantien verfügen, die einen wirksamen Schutz ihrer personenbezogenen Daten vor Missbrauchsrisiken ermöglichen (122). In der Rechtsvorschrift muss insbesondere angegeben sein, unter welchen Umständen und unter welchen Voraussetzungen eine Maßnahme, die die Verarbeitung solcher Daten vorsieht, getroffen werden darf (123); ferner muss die Erfüllung dieser Anforderungen einer unabhängigen Aufsicht unterliegen (124).

(115)

Drittens muss diese Rechtsvorschrift nach innerstaatlichem Recht rechtsverbindlich sein, und diese rechtlichen Anforderungen müssen für die Behörden nicht nur verbindlich sein, sondern gegenüber den Behörden auch gerichtlich durchsetzbar sein (125). Insbesondere müssen betroffene Personen die Möglichkeit haben, Rechtsbehelfe vor einem unabhängigen und unparteiischen Gericht einzulegen, um Zugang zu den sie betreffenden personenbezogenen Daten zu erlangen oder die Berichtigung oder Löschung solcher Daten zu erwirken (126).

(116)

Als eine Ausübung einer Befugnis durch eine Behörde muss der staatliche Zugriff im Vereinigten Königreich unter uneingeschränkter Einhaltung des Gesetzes erfolgen. Das Vereinigte Königreich hat die Europäische Menschenrechtskonvention ratifiziert (siehe Erwägungsgrund 9), und alle Behörden im Vereinigten Königreich sind verpflichtet, in Übereinstimmung mit der Konvention zu handeln (127). Nach Artikel 8 der Konvention muss jeder Eingriff in die Privatsphäre im Einklang mit dem Gesetz und im Interesse eines der in Artikel 8 Absatz 2 genannten Ziele erfolgen und im Hinblick auf dieses Ziel verhältnismäßig sein. Darüber hinaus wird in Artikel 8 verlangt, dass der Eingriff „vorhersehbar“ („foreseeable“) ist, d. h., eine klare, zugängliche gesetzliche Grundlage hat, und dass das Gesetz geeignete Garantien umfasst, um Missbrauch zu verhindern.

(117)

Des Weiteren hat der Europäische Gerichtshof für Menschenrechte in seiner Rechtsprechung klargestellt, dass jeder Eingriff in die Rechte auf Schutz der Privatsphäre und Datenschutz der wirksamen, unabhängigen und unparteiischen Aufsicht durch einen Richter oder eine andere unabhängige Stelle (z. B. eine Verwaltungsbehörde oder ein parlamentarisches Gremium) unterliegen muss (128).

(118)

Darüber hinaus muss dem Einzelnen ein wirksamer Rechtsbehelf zur Verfügung stehen, und der Europäische Gerichtshof für Menschenrechte hat klargestellt, dass der Rechtsbehelf von einer unabhängigen und unparteiischen Stelle bereitgestellt werden muss, die sich eine eigene Geschäftsordnung gegeben hat und die aus Mitgliedern besteht, die ein hohes richterliches Amt bekleiden oder bekleidet haben oder erfahrene Juristen sind, und dass keine Beweisführungslast gelten darf, um einen Antrag bei dieser Stelle einzureichen. Bei der Untersuchung von Beschwerden natürlicher Personen sollte die unabhängige und unparteiische Stelle außerdem Zugriff auf alle relevanten Informationen, einschließlich geheim gehaltener Materialien, haben. Und schließlich sollte sie befugt sein, bei Rechtsverletzungen Abhilfe zu schaffen (129).

(119)

Das Vereinigte Königreich hat zudem das Übereinkommen des Europarats zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten („Übereinkommen Nr. 108“) und 2018 auch das Protokoll zur Änderung des Übereinkommens zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten (bekannt als „Übereinkommen Nr. 108+“) unterzeichnet (130). Nach Artikel 9 des Übereinkommens Nr. 108 sind Ausnahmen von den allgemeinen Datenschutzgrundsätzen (Artikel 5 – Datenqualität), den Vorschriften über besondere Kategorien von Daten (Artikel 6 – Besondere Kategorien von Daten) und den Rechten der betroffenen Person (Artikel 8 – Zusätzliche Garantien für die betroffene Person) nur dann zulässig, wenn eine solche Ausnahme im Recht der Vertragspartei vorgesehen ist und eine Maßnahme darstellt, die in einer demokratischen Gesellschaft im Interesse des Schutzes der staatlichen Sicherheit, der öffentlichen Sicherheit, der finanziellen Interessen des Staates oder der Bekämpfung von Straftaten oder zum Schutz der betroffenen Person oder der Rechte und Freiheiten anderer notwendig ist (131).

(120)

Daher unterliegt das Vereinigte Königreich durch die Mitgliedschaft im Europarat, den Beitritt zur Europäischen Menschenrechtskonvention und die Anerkennung der Gerichtsbarkeit des Europäischen Gerichtshofs für Menschenrechte einer Reihe von völkerrechtlich verankerten Verpflichtungen, die den Rahmen für sein System des staatlichen Zugriffs bilden, und zwar auf der Grundlage von Grundsätzen, Garantien und individuellen Rechten, die denen ähnlich sind, die im EU-Recht garantiert sind und für die Mitgliedstaaten gelten. Wie in Erwägungsgrund 19 hervorgehoben, ist die kontinuierliche Einhaltung dieser Instrumente daher ein besonders wichtiges Element der Bewertung, auf die sich dieser Beschluss stützt.

(121)

Darüber hinaus werden durch den DPA 2018 besondere Datenschutzgarantien und -rechte für Fälle gewährleistet, in denen Daten durch Behörden, einschließlich Strafverfolgungsbehörden und nationaler Sicherheitsorgane, verarbeitet werden.

(122)

So ist insbesondere die Regelung für die Verarbeitung personenbezogener Daten im Rahmen der Strafverfolgung in Teil 3 des DPA 2018 festgelegt, der zur Umsetzung der Richtlinie (EU) 2016/680 erlassen wurde. Teil 3 des DPA 2018 gilt für die Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit (132).

(123)

Als zuständige Behörde im Sinne der Begriffsbestimmung in Paragraf 30 DPA 2018 gelten die in Anhang 7 des DPA 2018 aufgeführten Personen sowie jede andere Person, soweit sie gesetzlich festgelegte Aufgaben für die Zwecke der Strafverfolgung ausübt (133). Wie nachstehend erläutert (siehe Erwägungsgrund 139) können bestimmte zuständige Behörden (z. B. die National Crime Agency) unter bestimmten Voraussetzungen von den im Gesetz über Ermittlungsbefugnisse von 2016 (Investigatory Powers Act, IPA 2016) vorgesehenen Befugnissen Gebrauch machen. In diesem Fall gelten die im IPA 2016 vorgesehenen Garantien zusätzlich zu den in Teil 3 des DPA 2018 vorgesehenen. Die Nachrichtendienste (Secret Intelligence Service, Security Service und die Government Communications Headquarters) gelten nicht als „zuständige Behörden“ („competent authorities“) (134), die unter Teil 3 des DPA 2018 fallen, und die dort festgelegten Regeln finden daher auf deren Tätigkeiten keine Anwendung. Ein besonderer Teil des DPA 2018 (Teil 4) behandelt die Verarbeitung personenbezogener Daten durch Nachrichtendienste (siehe Erwägungsgrund 125 für weitere Einzelheiten).

(124)

Analog zur Richtlinie (EU) 2016/680 sind in Teil 3 des DPA 2018 die Grundsätze der Rechtmäßigkeit und der Verarbeitung nach Treu und Glauben (135), der Zweckbindung (136), der Datenminimierung (137), der Richtigkeit (138), der Speicherbegrenzung (139) und der Sicherheit (140) festgelegt. Gemäß dem DPA 2018 gelten bestimmte Transparenzpflichten (141) und für Einzelpersonen das Recht auf Auskunft (142), Berichtigung und Löschung (143) sowie das Recht, keiner automatisierten Entscheidungsfindung unterworfen zu werden (144). Zudem sind die zuständigen Behörden verpflichtet, den Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen umzusetzen, ein Verzeichnis von Verarbeitungstätigkeiten zu führen sowie für bestimmte Verarbeitungen Datenschutz-Folgenabschätzungen durchzuführen und den Information Commissioner vorab zu konsultieren (145). Nach Paragraf 56 DPA 2018 müssen die zuständigen Behörden, die Einhaltung dieser Bestimmungen nachweisen. Darüber hinaus sind sie verpflichtet, geeignete Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung zu ergreifen (146), und unterliegen im Falle einer Datenschutzverletzung besonderen Pflichten, wie der Meldung solcher Verletzungen an den Information Commissioner und die betroffenen Personen (147). Wie im Rahmen der Richtlinie (EU) 2016/680 ist ebenfalls vorgesehen, dass der Verantwortliche (sofern es sich nicht um ein Gericht oder eine andere Justizbehörde handelt, die im Rahmen einer justiziellen Tätigkeit handelt) einen Datenschutzbeauftragten benennen muss (148), der den Verantwortlichen bei der Einhaltung seiner Pflichten unterstützt und diese Einhaltung überwacht (149). Ferner gelten besondere Anforderungen bezüglich internationaler Übermittlungen personenbezogener Daten an Drittländer oder internationale Organisationen zu Strafverfolgungszwecken, um die Kontinuität des Schutzes zu gewährleisten (150). Am Tag der Annahme dieses Beschlusses hat die Kommission einen weiteren Angemessenheitsbeschluss auf der Grundlage von Artikel 36 Absatz 3 der Richtlinie (EU) 2016/680 angenommen, nach dem die für die Verarbeitung durch britische Strafverfolgungsbehörden geltende Datenschutzregelung ein Schutzniveau gewährleistet, das der Sache nach dem durch die Richtlinie (EU) 2016/680 garantierten Schutzniveau gleichwertig ist.

(125)

Teil 4 des DPA 2018 gilt für jede Verarbeitung durch Nachrichtendienste oder in deren Namen. Konkret ist darin Folgendes geregelt: die wesentlichen Datenschutzgrundsätze (Rechtmäßigkeit, Verarbeitung nach Treu und Glauben sowie Transparenz (151), Zweckbindung (152), Datenminimierung (153), Richtigkeit (154), Speicherbegrenzung (155) und Sicherheit (156)), die Bedingungen für die Verarbeitung besonderer Kategorien von Daten (157), die Rechte der betroffenen Person (158), die Verpflichtung zum Datenschutz durch Technikgestaltung (159) und internationale Übermittlungen personenbezogener Daten (160). Das ICO hat kürzlich detaillierte Leitlinien zu der Verarbeitung durch Nachrichtendienste gemäß Teil 4 des IPA 2018 veröffentlicht (161).

(126)

Gleichzeitig ist in Paragraf 110 DPA 2018 eine Ausnahme von bestimmten Bestimmungen von Teil 4 des DPA 2018 vorgesehen (162), wenn eine solche Ausnahme zum Schutz der nationalen Sicherheit erforderlich ist. Diese Ausnahme kann auf der Grundlage einer Einzelfallprüfung in Anspruch genommen werden (163). Wie von den britischen Behörden erläutert und durch die Rechtsprechung der britischen Gerichte bestätigt, „muss ein Verantwortlicher berücksichtigen, welche konkreten Folgen die Einhaltung der jeweiligen Datenschutzbestimmung für die nationale Sicherheit oder Verteidigung hätte; ferner muss er berücksichtigten, ob er die übliche Vorschrift nach vernünftigem Ermessen befolgen könnte, ohne die nationale Sicherheit oder Verteidigung zu beeinträchtigen“ (164). Das ICO beurteilt im Rahmen seiner Aufsichtsfunktion, ob die Ausnahmeregelung ordnungsgemäß angewandt wurde (165).

(127)

Darüber hinaus kann ein Verantwortlicher im Hinblick auf die Möglichkeit, die Anwendung der vorstehend genannten Bestimmungen gemäß Paragraf 111 des DPA 2018 zum Schutz der „nationalen Sicherheit“ („national security“) einzuschränken, eine von einem Kabinettsminister oder dem Generalstaatsanwalt unterzeichnete Bescheinigung beantragen, in der bestätigt wird, dass eine Einschränkung dieser Rechte eine notwendige und verhältnismäßige Maßnahme zum Schutz der nationalen Sicherheit darstellt (166).

(128)

Die britische Regierung hat Leitlinien für Verantwortliche herausgegeben, die erwägen, eine nationale Sicherheitsbescheinigung gemäß dem DPA 2018 zu beantragen. Darin wird insbesondere hervorgehoben, dass jede Einschränkung der Rechte der betroffenen Personen aus Gründen des Schutzes der nationalen Sicherheit verhältnismäßig und notwendig sein muss (167). Alle nationalen Sicherheitsbescheinigungen müssen auf der Webseite des ICO veröffentlicht werden (168).

(129)

Die Bescheinigung sollte für einen festen Zeitraum von höchstens fünf Jahren gültig sein und regelmäßig von der Exekutive überprüft werden (169). In einer Bescheinigung wird angegeben, welche personenbezogenen Daten oder Kategorien personenbezogener Daten Gegenstand der jeweiligen Ausnahme sind und für welche Bestimmungen des DPA 2018 die Ausnahme gilt (170).

(130)

Es sei darauf hingewiesen, dass die nationalen Sicherheitsbescheinigungen keinen zusätzlichen Grund für eine Einschränkung der Datenschutzrechte aus Gründen der nationalen Sicherheit vorsehen. Das heißt, der Verantwortliche oder der Auftragsverarbeiter kann sich nur dann auf eine Bescheinigung berufen, wenn er zu dem Schluss gelangt, dass es notwendig ist, die Ausnahme zum Schutz der nationalen Sicherheit in Anspruch zu nehmen, die, wie oben erläutert, auf Einzelfallbasis anzuwenden ist (171). Selbst wenn eine nationale Sicherheitsbescheinigung auf die betreffende Angelegenheit anwendbar ist, kann das ICO untersuchen, ob die Inanspruchnahme der Ausnahme zum Schutz der nationalen Sicherheit in einem bestimmten Fall gerechtfertigt war oder nicht (172).

(131)

Jede Person, die von der Ausstellung der Bescheinigung unmittelbar betroffen ist, kann beim Upper Tribunal (173) Rechtsmittel gegen die Bescheinigung einlegen (174) oder, wenn in der Bescheinigung bestimmte Daten in Form einer allgemeinen Beschreibung ausgewiesen werden, die Anwendung der Bescheinigung auf diese Daten anfechten (175). Das Gericht überprüft daraufhin die Entscheidung zur Ausstellung einer Bescheinigung und entscheidet, ob berechtigte Gründe für die Ausstellung der Bescheinigung vorlagen (176). Dabei kann das Gericht eine Vielzahl unterschiedlicher Aspekte berücksichtigen, darunter die Notwendigkeit, Verhältnismäßigkeit und Rechtmäßigkeit, jeweils unter Berücksichtigung der Folgen für die Rechte betroffener Personen und Abwägung der Notwendigkeit, die nationale Sicherheit zu schützen. Das Tribunal kann zu dem Schluss kommen, dass die Bescheinigung nicht für bestimmte personenbezogene Daten gilt, die Gegenstand der Beschwerde sind (177).

(132)

Weitere mögliche Einschränkungen betreffen diejenigen, die nach Anhang 11 des DPA 2018 für gewisse Bestimmungen von Teil 4 des DPA 2018 (178) gelten, um den Schutz sonstiger wichtiger Ziele des allgemeinen öffentlichen Interesses oder geschützter Interessen zu gewährleisten, wie zum Beispiel die parlamentarischen Vorrechte, die Vertraulichkeit des Schriftverkehrs zwischen Rechtsanwalt und Mandant, die Durchführung von Gerichtsverfahren oder die Schlagkraft der Streitkräfte (179). Die Anwendung dieser Bestimmungen ist entweder bei bestimmten Kategorien von Informationen („class based“) ausgenommen, oder ist in dem Umfang ausgenommen, in dem die Anwendung dieser Bestimmungen das geschützte Interesse voraussichtlich beeinträchtigen würde („prejudice based“) (180). Die Ausnahme aufgrund einer voraussichtlichen Beeinträchtigung des geschützten Interesses darf nur in dem Umfang in Anspruch genommen werden, in dem die genannte Datenschutzbestimmung das in Rede stehende spezifische Interesse voraussichtlich beeinträchtigen würde. Die Inanspruchnahme einer Ausnahme muss somit immer durch Verweis auf die im Einzelfall zu erwartende Beeinträchtigung begründet werden. Die Ausnahme für bestimmte Kategorien von Informationen darf nur in Bezug auf die spezielle, eng gefasste Kategorie von Informationen in Anspruch genommen werden, für die die Ausnahme gewährt wird. Diese sind im Hinblick auf den Zweck und die Wirkung mit mehreren Ausnahmen von der UK GDPR (nach Anhang 2 des DPA 2018) vergleichbar, die wiederum den in Artikel 23 DSGVO genannten Ausnahmen entsprechen.

(133)

Aus den vorstehenden Ausführungen ergibt sich, dass in den geltenden Rechtsvorschriften des Vereinigten Königreichs Einschränkungen und Bedingungen festgelegt sind, die in diesem Sinne auch von den Gerichten und vom Information Commissioner ausgelegt werden, und mit denen gewährleistet wird, dass diese Ausnahmen und Einschränkungen auf das zum Schutz der nationalen Sicherheit erforderliche und verhältnismäßige Maß begrenzt bleiben.

(134)

Das Recht des Vereinigten Königreichs umfasst eine Reihe von Beschränkungen für den Zugang zu und die Verwendung von personenbezogenen Daten für Zwecke der Strafverfolgung; ferner sieht es für diesen Bereich Aufsichtsmechanismen und Rechtsbehelfe vor, die den in den Erwägungsgründen 113 bis 115 des vorliegenden Beschlusses genannten Anforderungen entsprechen. Die folgenden Abschnitte enthalten eine detaillierte Bewertung der Bedingungen, unter denen ein solcher Zugriff erfolgen kann, sowie der Garantien, die für die Nutzung dieser Befugnisse gelten.

(135)

Gemäß dem in Paragraf 35 DPA 2018 garantierten Grundsatz der Rechtmäßigkeit ist die Verarbeitung personenbezogener Daten für einen der Strafverfolgungszwecke nur dann rechtmäßig, wenn sie auf einer gesetzlichen Grundlage beruht und entweder die betroffene Person ihre Einwilligung für die Verarbeitung zu dem betreffenden Zweck erteilt hat (181) oder die Verarbeitung für die Erfüllung einer Aufgabe erforderlich ist, die von der zuständigen Behörde für den betreffenden Zweck wahrgenommen wird.

(136)

Gemäß dem Rechtsrahmen des Vereinigten Königreichs ist die Erhebung personenbezogener Daten von Unternehmern – einschließlich Unternehmern, die im Rahmen des vorliegenden Angemessenheitsbeschlusses aus der Union übermittelte Daten verarbeiten würden – für Zwecke der Strafverfolgung auf der Grundlage von Durchsuchungsanordnungen („search warrants“) (182) und Herausgabeanordnungen („production orders“) (183) zulässig.

(137)

Durchsuchungsanordnungen werden – in der Regel auf Antrag des Ermittlungsbeamten – von einem Gericht ausgestellt. Sie erlauben es einem Beamten, Räumlichkeiten zu betreten, um nach Material oder Personen zu suchen, die für seine Ermittlungen relevant sind, und sämtliches Material, für das eine Durchsuchung genehmigt wurde, einzubehalten, einschließlich aller relevanten Dokumente oder Materialien, die personenbezogene Daten enthalten (184). Eine Herausgabeanordnung, die ebenfalls von einem Gericht ausgestellt werden muss, verpflichtet die darin genannte Person, Material, das sich in ihrem Besitz oder unter ihrer Kontrolle befindet, herauszugeben oder Zugang dazu zu gewähren. Der Antragsteller muss gegenüber dem Gericht begründen, warum die Durchsuchungsanordnung oder Herausgabeanordnung notwendig ist und warum sie im öffentlichen Interesse liegt. Es gibt eine Reihe gesetzlicher Befugnisse, nach denen der Erlass von Durchsuchungsanordnungen oder Herausgabeanordnungen möglich ist. Für jede Bestimmung gelten eigene gesetzliche Voraussetzungen, die erfüllt sein müssen, damit eine Durchsuchungsanordnung (185) oder Herausgabeanordnungen (186) erlassen werden kann.

(138)

Herausgabeanordnungen und Durchsuchungsanordnungen können im Wege der gerichtlichen Überprüfung angefochten werden (187). Was Garantien anbelangt, so dürfen alle in den Anwendungsbereich des Teils 3 des DPA 2018 fallende Strafverfolgungsbehörden nur dann auf personenbezogene Daten zugreifen – was eine Form der Verarbeitung darstellt –, wenn sie die Grundsätze und Anforderungen nach dem DPA 2018 erfüllen (siehe Erwägungsgründe 122 und 124 oben). Demnach sollte ein von einer Strafverfolgungsbehörde gestellter Antrag dem Grundsatz entsprechen, wonach die Zwecke der Verarbeitung genau festgelegt, eindeutig und rechtmäßig sein müssen (188) und die von einer zuständigen Behörde verarbeiteten personenbezogenen Daten für diese Zwecke angemessen sein müssen und nicht darüber hinausgehen dürfen (189).

(139)

Zum Zwecke der Verhütung oder Aufdeckung von ausschließlich schweren Straftaten (190) verfügen bestimmte Strafverfolgungsbehörden, z. B. die National Crime Agency oder der Chief of Police (191), über gezielte Ermittlungsbefugnisse gemäß dem IPA 2016. In diesem Fall gelten die im IPA 2016 vorgesehenen Garantien zusätzlich zu den in Teil 3 des DPA 2018 vorgesehenen. Bei den spezifischen Ermittlungsbefugnissen, auf die diese Strafverfolgungsbehörden zurückgreifen können, handelt es sich um folgende: gezieltes Abfangen von Informationen („interception“) (Teil 2 des IPA 2016), Beschaffung von Kommunikationsdaten („acquisition of communications data“) (Teil 3 des IPA 2016), Speicherung von Kommunikationsdaten („retention of communications data“) (Teil 4 des IPA 2016) und gezielter Gerätezugriff („equipment interference“) (Teil 5 des IPA 2016). Das Abfangen umfasst die Erfassung des Inhalts eines Kommunikationsvorgangs (192); bei der Beschaffung und Speicherung von Kommunikationsdaten hingegen geht es weniger darum, den Inhalt, als vielmehr das „Wer“, „Wann“, „Wo“ und „Wie“ eines Kommunikationsvorgangs zu ermitteln. Dies umfasst beispielsweise den Zeitpunkt und die Dauer eines Kommunikationsvorgangs, die Telefonnummer oder E-Mail-Adresse des Urhebers und des Empfängers des Kommunikationsvorgangs und mitunter auch den Standort der Geräte, von denen aus die Kommunikation erfolgte, den Teilnehmer eines Telefondienstes oder einen Einzelverbindungsnachweis (193). Der Gerätezugriff umfasst eine Reihe von Techniken, mit denen eine Vielzahl unterschiedlicher Daten von Geräten gesammelt wird, unter anderem von Computern, Tablets und Smartphones sowie Kabeln, Drähten und Speichergeräten (194).

(140)

Ferner können Befugnisse zum gezielten Abfangen dann in Anspruch genommen werden, wenn dies „zur Umsetzung der Bestimmungen eines EU-Amtshilfeinstruments oder eines internationalen Amtshilfeabkommens erforderlich ist“ („mutual assistance warrant“ (Amtshilfeanordnung (195))). Amtshilfeanordnungen sind nur in Bezug auf das Abfangen, nicht aber auf die Beschaffung von Kommunikationsdaten oder den Zugriff auf Geräte vorgesehen. Diese gezielten Befugnisse sind im Investigatory Powers Act 2016 (IPA 2016) (196) geregelt, der zusammen mit dem Regulation of Investigatory Powers Act 2000 (RIPA) für England, Wales und Nordirland sowie dem Regulation of Investigatory Powers (Scotland) Act 2000 (RIPSA) für Schottland die Rechtsgrundlage für die Ausübung dieser Befugnisse bildet und die diesbezüglich geltenden Beschränkungen und Garantien festlegt. Des Weiteren ist im IPA 2016 auch die Ausübung von Massenermittlungsbefugnissen geregelt, wenngleich diese Befugnisse Strafverfolgungsbehörden nicht zur Verfügung stehen (nur Nachrichtendienste können davon Gebrauch machen) (197).

(141)

Für die Ausübung dieser Befugnisse benötigen die Behörden eine von einer zuständigen Behörde (198) ausgestellte und von einem unabhängigen Justizbeauftragten (Judicial Commissioner) (199) genehmigte Anordnung (200) (das sogenannte „Double-Lock“-Verfahren). Die Ausstellung einer solchen Anordnung unterliegt einer Erforderlichkeits- und Verhältnismäßigkeitsprüfung (201). Da diese gezielten Ermittlungsbefugnisse gemäß dem IPA 2016 denen entsprechen, die den nationalen Sicherheitsbehörden zur Verfügung stehen, werden die für diese Befugnisse geltenden Bedingungen, Einschränkungen und Garantien ausführlich im Abschnitt über den Zugang zu und die Verwendung von personenbezogenen Daten durch Behörden des Vereinigten Königreichs für Zwecke der nationalen Sicherheit behandelt (siehe Erwägungsgründe 177 und folgende).

(142)

Für die Weitergabe von Daten durch eine Strafverfolgungsbehörde an eine andere Behörde zu anderen Zwecken als denen, für die sie ursprünglich erhoben wurden, (die sogenannte Weitergabe – „onward sharing“) gelten bestimmten Bedingungen.

(143)

In Anlehnung an Artikel 4 Absatz 2 der Richtlinie (EU) 2016/680 dürfen nach Paragraf 36 Absatz 3 DPA 2018 personenbezogene Daten, die von einer zuständigen Behörde für einen Strafverfolgungszweck erhoben wurden, für jeden anderen Strafverfolgungszweck weiterverarbeitet werden (sei es durch den ursprünglichen Verantwortlichen oder durch einen anderen Verantwortlichen), sofern der Verantwortliche gesetzlich befugt ist, Daten für diesen anderen Zweck zu verarbeiten, und sofern die Verarbeitung für diesen Zweck erforderlich und verhältnismäßig ist (202). In diesem Fall gelten für die Verarbeitung durch die empfangende Behörde alle in Teil 3 des DPA 2018 aufgeführten Garantien, auf die in den Erwägungsgründen 122 und 124 verwiesen wird.

(144)

Die britische Rechtsordnung umfasst eine Reihe von Gesetzen, nach denen eine solche Weitergabe ausdrücklich gestattet ist. Dabei handelt es sich insbesondere um i) das Gesetz über die digitale Wirtschaft (Digital Economy Act) von 2017, das den Informationsaustausch zwischen Behörden für verschiedene Zwecke erlaubt, z. B. im Falle eines Betrugs zulasten des öffentlichen Sektors, der mit einem Schaden oder möglichen Schaden für Behörden einhergehen würde (203), oder im Falle einer Schuld gegenüber einer Behörde oder der Krone (204), ii) das Straf- und Gerichtsgesetz (Crime and Courts Act) von 2013, gemäß dem der Austausch von Informationen mit der National Crime Agency (NCA) (205) zur Bekämpfung, Ermittlung und Verfolgung von schwerer und organisierter Kriminalität gestattet ist, iii) das Gesetz über schwere Straftaten (Serious Crime Act) von 2007, nach dem Behörden zum Zwecke der Betrugsverhinderung Informationen an Betrugsbekämpfungsstellen weitergeben dürfen (206).

(145)

In diesen Gesetzen ist ausdrücklich festgehalten, dass die Weitergabe von Informationen in Übereinstimmung mit den im DPA 2018 festgelegten Grundsätzen erfolgen muss. Darüber hinaus hat das College of Policing Leitlinien über zugelassene dienstliche Vorgehensweisen beim Austausch von Informationen (Authorised Professional Practice on Information Sharing) (207) herausgegeben, um die Polizei bei der Einhaltung ihrer Datenschutzverpflichtungen gemäß der UK GDPR, dem DPA und dem Human Rights Act 1998 zu unterstützen. Die Frage, ob der betreffende Informationsaustausch den geltenden Datenschutzvorschriften entspricht, unterliegt selbstverständlich der gerichtlichen Überprüfung (208).

(146)

Darüber hinaus ist im DPA 2018 ähnlich wie in Artikel 9 der Richtlinie (EU) 2016/680 vorgesehen, dass personenbezogene Daten, die für einen Strafverfolgungszweck erhoben wurden, für einen anderen Zweck als den der Strafverfolgung verarbeitet werden dürfen, sofern die Verarbeitung gesetzlich zulässig ist (209).

(147)

Diese Art der Weitergabe bezieht sich auf die folgenden beiden Szenarien: 1) Eine Strafverfolgungsbehörde gibt Daten an eine andere Durchsetzungsbehörde, ausgenommen Nachrichtendienste, weiter (z. B. an eine Finanz- oder Steuerbehörde, eine Wettbewerbsbehörde, ein Jugendamt usw.); 2) eine Strafverfolgungsbehörde gibt Daten an einen Nachrichtendienst weiter. Im ersten Szenario fällt die Verarbeitung personenbezogener Daten sowohl in den Anwendungsbereich der UK GDPR als auch unter Teil 2 des DPA 2018. In den Erwägungsgründen 12 bis 111 hat die Kommission die in der UK GDPR und in Teil 2 des DPA 2018 vorgesehenen Garantien bewertet und ist zu dem Schluss gelangt, dass das Vereinigte Königreich ein angemessenes Schutzniveau für personenbezogene Daten gewährleistet, die im Rahmen der Verordnung (EU) 2016/679 aus der Europäischen Union an das Vereinigte Königreich übermittelt werden.

(148)

Im zweiten Szenario, das die Weitergabe von durch eine Strafverfolgungsbehörde erhobenen Daten an einen Nachrichtendienst für Zwecke der nationalen Sicherheit betrifft, bildet Paragraf 19 des Gesetzes zur Terrorismusbekämpfung (Counter Terrorism Act) von 2008 die Rechtsgrundlage für eine solche Weitergabe (210). Nach diesem Gesetz kann jede Person Informationen an einen der Nachrichtendienste zum Zwecke der Erfüllung einer der Aufgaben dieses Dienstes weitergeben, einschließlich für Zwecke der „nationalen Sicherheit“.

(149)

Was die Bedingungen anbelangt, unter denen Daten für Zwecke der nationalen Sicherheit weitergegeben werden können, so sind die Möglichkeiten der Nachrichtendienste zum Erhalt von Daten gemäß dem Gesetz über Nachrichtendienste (Intelligence Services Act) (211) und dem Gesetz über Sicherheitsdienste (Security Service Act) (212) auf das zur Erfüllung ihrer gesetzlichen Aufgaben erforderliche Maß beschränkt. Strafverfolgungsbehörden, die Daten mit den Nachrichtendiensten austauschen möchten, müssen zusätzlich zu den gesetzlichen Aufgaben der Behörden, die im Intelligence Services Act und im Security Service Act festgelegt sind, eine Reihe von Faktoren/Einschränkungen berücksichtigen (213). In Paragraf 20 des Counter Terrorism Act 2008 ist klar geregelt, dass jeglicher Datenaustausch gemäß Paragraf 19 in jedem Falle den Datenschutzvorschriften entsprechen muss, was bedeutet, dass sämtliche Einschränkungen und Anforderungen von Teil 3 des DPA 2018 Anwendung finden. Da zuständige Behörden überdies staatliche Stellen im Sinne des Human Rights Act 1998 darstellen, müssen sie sicherstellen, dass sie in Übereinstimmung mit den Konventionsrechten, einschließlich Artikel 8 EMRK, handeln. Durch diese Einschränkungen wird sichergestellt, dass die Datenweitergabe zwischen Strafverfolgungsbehörden und Nachrichtendiensten grundsätzlich den Datenschutzvorschriften sowie der EMRK entspricht.

(150)

Wenn eine zuständige Behörde beabsichtigt, personenbezogene Daten, die gemäß Teil 3 des DPA 2018 verarbeitet wurden, an Strafverfolgungsbehörden eines Drittlandes weiterzugeben, gelten besondere Anforderungen (214). Insbesondere dürfen derartige Übermittlungen nur dann erfolgen, wenn sie auf Angemessenheitsvorschriften des Secretary of State beruhen; falls keine derartigen Vorschriften vorliegen, müssen geeignete Garantien vorgesehen werden. Nach Paragraf 75 DPA 2018 liegen geeignete Garantien dann vor, wenn sie durch ein für den vorgesehenen Empfänger verbindliches Rechtsinstrument festgelegt wurden oder wenn der Verantwortliche nach Beurteilung aller Umstände der Übermittlung dieser Art von personenbezogenen Daten an das Drittland oder die internationale Organisation zu dem Schluss gelangt, dass geeignete Garantien zum Schutz der Daten bestehen.

(151)

Beruht eine Übermittlung nicht auf einer Angemessenheitsvorschrift oder geeigneten Garantien, kann sie nur unter bestimmten, festgelegten Umständen – „besonderen Umständen“ („special circumstances“) – erfolgen (215). Besondere Umstände liegen vor, wenn die Übermittlung aus einem der folgenden Gründe erforderlich ist: a) zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen Person, b) zur Wahrung berechtigter Interessen der betroffenen Person, c) zur Abwehr einer unmittelbaren, ernsthaften Gefahr für die öffentliche Sicherheit eines Mitgliedstaats oder eines Drittlandes, d) im Einzelfall für einen der Zwecke der Strafverfolgung, oder e) im Einzelfall für einen rechtlichen Zweck (z. B. im Zusammenhang mit einem Gerichtsverfahren oder zur Einholung rechtlicher Beratung). Es sei darauf hingewiesen, dass die Buchstaben d) und e) nicht gelten, wenn die Rechte und Freiheiten der betroffenen Person das öffentliche Interesse an der Übermittlung überwiegen. Diese Umstände entsprechen den bestimmten Fällen und Bedingungen, die nach Artikel 38 der Richtlinie (EU) 2016/680 als „Ausnahmen“ gelten.

(152)

Darüber hinaus sind im IPA 2016 zusätzliche Garantien für den Fall vorgesehen, dass das Material, das Strafverfolgungsbehörden im Rahmen einer Anordnung für Abfangmaßnahmen oder Gerätezugriff beschafft haben, an ein Drittland weitergegeben wird. So ist eine solche Offenlegung gegenüber dem Ausland („overseas disclosure“) nur dann zulässig, wenn die anordnende Behörde der Ansicht ist, dass geeignete Vorkehrungen getroffen wurden, um die Anzahl der Personen, an die die Daten weitergegeben werden, den Umfang, in dem Material offengelegt oder zugänglich gemacht wird, sowie den Umfang, in dem Material kopiert wird, und die Anzahl der angefertigten Kopien zu begrenzen. Darüber hinaus kann die anordnende Behörde geeignete Vorkehrungen für notwendig erachten, mit denen sichergestellt wird, dass jede Kopie, die von einem Teil dieses Materials angefertigt wurde, vernichtet wird, sobald es keine maßgeblichen Gründe mehr deren Aufbewahrung gibt (sofern sie nicht früher vernichtet wird) (216).

(153)

Schließlich könnten bestimmte Formen der Weiterübermittlung aus dem Vereinigten Königreich in die Vereinigten Staaten künftig auf der Grundlage des im Oktober 2019 abgeschlossenen „Abkommens zwischen der Regierung des Vereinigten Königreichs Großbritannien und Nordirland und der Regierung der Vereinigten Staaten von Amerika über den Zugang zu elektronischen Daten zur Bekämpfung von schwerer Kriminalität“ (im Folgenden das „Abkommen zwischen dem Vereinigten Königreich und den USA“ oder „das Abkommen“) (217) erfolgen (218). Dieses Abkommen ist zwar zum Zeitpunkt des Erlasses dieses Beschlusses noch nicht in Kraft, sein absehbares Inkrafttreten kann sich jedoch auf die Weiterübermittlung von Daten in die USA auswirken, die zuvor auf der Grundlage des Beschlusses an das Vereinigte Königreich übermittelt wurden. Konkret könnten Daten, die aus der EU an Dienstleister im Vereinigten Königreich übermittelt werden, Gegenstand von Anordnungen zur Herausgabe elektronischer Beweismittel sein, die von den zuständigen US-amerikanischen Strafverfolgungsbehörden erlassen wurden und nach Inkrafttreten dieses Abkommens im Vereinigten Königreich anwendbar sind. Daher ist die Beurteilung der Bedingungen und Garantien, unter denen derartige Anordnungen erlassen und ausgeführt werden können, für diesen Beschluss relevant.

(154)

In diesem Zusammenhang sind folgende Punkte zu beachten: Erstens erstreckt sich der sachliche Anwendungsbereich des Abkommens nur auf Straftaten, die mit einer Freiheitsstrafe von mindestens drei Jahren geahndet werden (definiert als „schwere Straftaten“ („serious crime“)) (219), wozu auch „terroristische Aktivitäten“ („terrorist activity“) zählen. Zweitens können Daten, die in der jeweils anderen Rechtsordnung verarbeitet werden, im Rahmen dieses Abkommens nur nach einer Anordnung erlangt werden, „die gemäß dem innerstaatlichen Recht der anordnenden Vertragspartei vor oder in einem Verfahren zur Vollstreckung der Anordnung einer Überprüfung oder Aufsicht durch ein Gericht, einen Richter, einen Friedensrichter oder eine anderen unabhängige Behörde unterliegt“ (220). Drittens muss jede Anordnung „auf den Erfordernissen einer stichhaltigen Rechtfertigung auf der Grundlage artikulierbarer und glaubwürdiger Fakten sowie der Besonderheit, Rechtmäßigkeit und Schwere im Hinblick auf das untersuchte Verhalten beruhen“ (221) und sie muss „auf bestimmte Konten abzielen und eine bestimmte Person, ein bestimmtes Konto, eine bestimmte Adresse oder ein bestimmtes persönliches Gerät oder eine andere spezifische Kennung identifizieren“ (222). Viertens genießen Daten, die im Rahmen dieses Abkommens erlangt werden, ein gleichwertiges Schutzniveau wie durch die spezifischen Garantien des sogenannten „EU-US-Rahmenabkommens“ (223) – ein im Dezember 2016 zwischen der EU und den Vereinigten Staaten geschlossenes umfassendes Datenschutzabkommen, in dem die für Datenübermittlungen im Rahmen der Zusammenarbeit bei der Strafverfolgung geltenden Garantien und Rechte festgelegt sind –, die allesamt durch Verweis sinngemäß in dieses Abkommen aufgenommen wurden, um insbesondere den Besonderheiten der Übermittlungen Rechnung zu tragen (d. h. Übermittlungen von privaten Anbietern an eine Strafverfolgungsbehörde und nicht Übermittlungen zwischen Strafverfolgungsbehörden) (224). Das Abkommen zwischen dem Vereinigten Königreich und den USA sieht ausdrücklich vor, dass „alle personenbezogenen Informationen, die bei der Ausführung von im Rahmen des Abkommens ergangenen Anordnungen zur Gewährleistung eines gleichwertigen Schutzniveaus erstellt werden“, ein gleichwertiges Schutzniveau genießen wie durch das EU-US-Rahmenabkommen (225).

(155)

Daten, die im Rahmen des Abkommens zwischen dem Vereinigten Königreich und den USA an US-Behörden übermittelt werden, sollten daher ein Schutzniveau genießen, das durch ein Rechtsinstrument der EU gewährleistet wird, wobei die erforderlichen Anpassungen vorzunehmen sind, um der Art der betreffenden Übermittlungen Rechnung zu tragen. Die britischen Behörden haben ferner bestätigt, dass das durch das Rahmenabkommen gewährleistete Schutzniveau für alle personenbezogenen Daten gilt, die im Rahmen des Abkommens erstellt oder aufbewahrt werden, unabhängig von der Art oder dem Typ der beantragenden Stelle (z. B. in den USA Strafverfolgungsbehörden sowohl auf Bundes- als auch auf Staatenebene), sodass in allen Fällen ein gleichwertiges Schutzniveau gewährleistet werden muss. Die britischen Behörden haben jedoch auch erklärt, dass die Einzelheiten der konkreten Umsetzung der Datenschutzgarantien noch Gegenstand von Gesprächen zwischen dem Vereinigten Königreich und den USA sind. Bei den Gesprächen mit den Dienststellen der Europäischen Kommission über diesen Beschluss haben die britischen Behörden bestätigt, dass sie das Abkommen erst dann in Kraft treten lassen werden, wenn sie sich davon überzeugt haben, dass bei seiner Umsetzung die in ihm enthaltenen rechtlichen Verpflichtungen eingehalten werden; unter anderem soll Klarheit darüber herrschen, dass in Bezug auf alle im Rahmen dieses Abkommens angeforderten Daten die einschlägigen Datenschutzstandards eingehalten werden. Da ein mögliches Inkrafttreten des Abkommens Auswirkungen auf das in diesem Beschluss bewertete Schutzniveau haben kann, sollte das Vereinigte Königreich der Europäischen Kommission jede Information und künftige Klarstellung hinsichtlich der Art und Weise, wie die USA ihren Verpflichtungen im Rahmen des Abkommens nachkommen werden, so bald wie möglich und in jedem Fall vor Inkrafttreten des Abkommens mitteilen, damit eine ordnungsgemäße Überwachung dieses Beschlusses in Übereinstimmung mit Artikel 45 Absatz 4 der Verordnung (EU) 2016/679 gewährleistet werden kann. Besonderes Augenmerk wird dabei darauf gelegt, wie das Schutzniveau des Rahmenabkommens auf die besondere Art von Übermittlungen, die unter das Abkommen zwischen dem Vereinigten Königreich und den USA fallen, angewandt wird bzw. wie dieses Schutzniveau an diese Art von Übermittlungen angepasst wird.

(156)

Generell werden alle relevanten Entwicklungen in Bezug auf das Inkrafttreten und die Anwendung des Abkommens im Rahmen der kontinuierlichen Überwachung dieses Beschlusses gebührend berücksichtigt, auch mit Blick auf mögliche Konsequenzen, die zu ziehen sind, wenn es Anzeichen dafür gibt, dass ein der Sache nach gleichwertiges Schutzniveau nicht länger gewährleistet ist.

(157)

Je nachdem, welche Befugnisse die zuständigen Behörden bei der Verarbeitung personenbezogener Daten zu Strafverfolgungszwecken ausüben (ob nach dem DPA 2018 oder dem IPA 2016), sind unterschiedliche Stellen für die Aufsicht über die Ausübung dieser Befugnisse zuständig. Der Information Commissioner beaufsichtigt die Verarbeitung personenbezogener Daten, wenn diese in den Anwendungsbereich von Teil 3 des DPA 2018 fallen (226). Für die unabhängige und gerichtliche Aufsicht über die Ausübung von Ermittlungsbefugnissen im Rahmen des IPA 2016 ist hingegen das Büro des Beauftragten für Ermittlungsbefugnisse (Investigatory Powers Commissioner’s Office – im Folgenden „IPCO“) zuständig (227) (dieser Teil wird in den Erwägungsgründen 250 bis 255 behandelt). Zusätzliche Aufsichtsfunktionen werden vom Parlament und anderen Stellen wahrgenommen.

(158)

Die allgemeinen Aufgaben des Information Commissioner – dessen Unabhängigkeit und Organisation in Erwägungsgrund 87 erläutert werden – im Zusammenhang mit der Verarbeitung personenbezogener Daten, die in den Anwendungsbereich von Teil 3 des DPA 2018 fallen, sind in Anhang 13 des DPA 2018 festgelegt. Die Hauptaufgabe des ICO besteht darin, Teil 3 des DPA 2018 zu überwachen und durchzusetzen, die Öffentlichkeit zu sensibilisieren und das Parlament, die Regierung sowie andere Einrichtungen und Gremien zu beraten. Damit die Unabhängigkeit der Justiz gewahrt bleibt, ist der Information Commissioner nicht befugt, seine Aufgaben im Zusammenhang mit der Verarbeitung personenbezogener Daten durch eine Person, die im Rahmen einer justiziellen Tätigkeit handelt, oder ein Gericht, das im Rahmen seiner justiziellen Tätigkeit handelt, auszuüben. In diesen Fällen nehmen andere Stellen die Aufsichtsfunktionen wahr, wie in den Erwägungsgründen 99 bis 103 erläutert.

(159)

Der Information Commissioner besitzt allgemeine Ermittlungs-, Berichtigungs-, Genehmigungs- und Beratungsbefugnisse im Hinblick auf die Verarbeitung personenbezogener Daten, die Gegenstand von Teil 3 sind. Insbesondere ist er befugt, den Verantwortlichen oder den Auftragsverarbeiter auf einen mutmaßlichen Verstoß gegen Teil 3 des DPA 2018 hinzuweisen, Warnungen oder Verwarnungen gegenüber einem Verantwortlichen oder Auftragsverarbeiter auszusprechen, der gegen Bestimmungen von Teil 3 des Gesetzes verstoßen hat, und zu allen Fragen, die im Zusammenhang mit dem Schutz personenbezogener Daten stehen, von sich aus oder auf Anfrage Stellungnahmen an das Parlament, die Regierung oder an sonstige Einrichtungen und Stellen sowie an die Öffentlichkeit zu richten (228).

(160)

Darüber hinaus besitzt der Information Commissioner die Befugnis, Informationsbescheide (229), Bewertungsbescheide (230) und Durchsetzungsbescheide (231) zu erlassen, sowie die Befugnis, Dokumente von Verantwortlichen und Auftragsverarbeitern einzusehen, Zugang deren Räumlichkeiten zu erlangen (232) und im Wege von Bußgeldbescheiden Geldbußen zu verhängen (233). In den Leitlinien des ICO zu regulatorischen Maßnahmen (Regulatory Action Policy) ist festgelegt, unter welchen Umständen es einen Informations-, Bewertungs- Durchsetzungs- oder Bußgeldbescheid erteilt (234) (siehe auch Erwägungsgrund 93 und den Angemessenheitsbeschluss gemäß der Richtlinie (EU) 2016/680, Erwägungsgründe 101 und 102).

(161)

Laut seinen letzten Jahresberichten (für die Zeiträume 2018–2019 (235) und 2019–2020 (236)) hat der Information Commissioner im Zusammenhang mit der Verarbeitung von Daten durch Strafverfolgungsbehörden eine Reihe von Untersuchungen durchgeführt und Durchsetzungsmaßnahmen ergriffen. So hat er beispielsweise eine Untersuchung zum Einsatz von Gesichtserkennungstechnologie durch Strafverfolgungsbehörden an öffentlichen Orten durchgeführt und im Oktober 2019 eine entsprechende Stellungnahme veröffentlicht. Im Fokus der Untersuchung stand insbesondere der Einsatz von Technologien zur Gesichtserkennung in Echtzeit durch die Polizei von South Wales und den Metropolitan Police Service (MPS). Bei einer anderen Untersuchung des Information Commissioner zur „Gangs-Matrix“ (237) des Metropolitan Police Service stellte er eine Reihe von schwerwiegenden Verstößen gegen das Datenschutzrecht fest, die geeignet waren, das Vertrauen der Öffentlichkeit in die Matrix und die Verwendung der Daten zu untergraben. Im November 2018 erließ der Information Commissioner einen Durchsetzungsbescheid, woraufhin der Metropolitan Police Service die erforderlichen Schritte unternahm, um die Sicherheit und Rechenschaftspflicht zu verbessern und eine verhältnismäßige Nutzung der Daten zu gewährleisten. In einem weiteren Fall verhängte der Information Commissioner im Mai 2018 im Rahmen einer Durchsetzungsmaßnahme eine Geldbuße in Höhe von 325 000 GBP gegen den Crown Prosecution Service wegen des Verlusts unverschlüsselter DVDs mit abgespeicherten Vernehmungsprotokollen. Der Information Commissioner führte auch Untersuchungen zu allgemeineren Fragen durch und befasste sich beispielsweise im ersten Halbjahr 2020 mit der Verwendung von Mobilfunkdaten für polizeiliche Zwecke und der Verarbeitung der Daten von Opfern durch die Polizei. Des Weiteren ermittelt der Information Commissioner derzeit in einem Fall, bei dem es um den Zugriff auf Daten, die sich im Besitz eines privatwirtschaftlichen Unternehmens (Clearview AI Inc.) befinden, durch Strafverfolgungsbehörden geht (238).

(162)

Neben den in den Erwägungsgründen 160 und 161 beschriebenen Durchsetzungsbefugnissen des Information Commissioner stellen bestimmte Verstöße gegen die Datenschutzvorschriften Straftaten dar und können daher strafrechtlich geahndet werden (Paragraf 196 DPA 2018). Dies gilt beispielsweise für die Erlangung, Offenlegung oder Speicherung personenbezogener Daten ohne die Zustimmung des Verantwortlichen sowie die Veranlassung der Offenlegung personenbezogener Daten gegenüber einer anderen Person ohne die Zustimmung des Verantwortlichen (239), die Re-Identifizierung von anonymisiert vorliegenden personenbezogen Daten ohne die Zustimmung des für die Anonymisierung der personenbezogenen Daten zuständigen Verantwortlichen (240), die vorsätzliche Behinderung des Information Commissioner bei der Ausübung seiner Befugnisse in Bezug auf die Einsichtnahme in personenbezogene Daten gemäß internationalen Verpflichtungen (241), die Abgabe falscher Erklärungen bei der Erwiderung auf einen Informationsbescheid oder die Vernichtung von Informationen im Zusammenhang mit Informations- und Bewertungsbescheiden (242).

(163)

Neben dem Information Commissioner gibt es eine Reihe weiterer Aufsichtsgremien im Bereich der Strafverfolgung mit spezifischen Mandaten, die für Fragen des Datenschutzes relevant sind. Hierzu zählen beispielsweise der Beauftragte für die Aufbewahrung und Verwendung von biometrischem Material (Commissioner for the Retention and Use of Biometric Material – „Biometrics Commissioner“) (243) und der Beauftragte für Überwachungskameras (Surveillance Camera Commissioner) (244).

(164)

Für die parlamentarische Aufsicht im Bereich der Strafverfolgung ist der Sonderausschuss für innere Angelegenheiten (Home Affairs Select Committee – HASC) zuständig. Er besteht aus elf Mitgliedern des Parlaments, die den drei stärksten politischen Parteien angehören. Die Aufgabe des Ausschusses besteht darin, die Ausgaben, die Verwaltung und die Verfahrensweisen des Innenministeriums und der mit ihm verbundenen öffentlichen Einrichtungen zu prüfen; er kann also auch ausdrücklich die Arbeit der Polizei und der NCA prüfen (245).

(165)

Der Ausschuss kann im Rahmen seiner Zuständigkeit den Untersuchungsgegenstand selbst wählen; dabei kann es sich auch um einzelne Fälle handeln, solange die Sache nicht anhängig ist. Zudem kann der Ausschuss schriftliches und mündliches Beweismaterial von einer Vielzahl von relevanten Gruppen und Einzelpersonen einholen. Er erstellt Berichte über seine Ergebnisse und gibt Empfehlungen an die Regierung ab (246). Von der Regierung wird erwartet, dass sie auf jede der Empfehlungen des Berichts antwortet, und sie muss sich innerhalb von 60 Tagen äußern (247).

(166)

Im Bereich der Überwachung erstellte der Ausschuss auch einen Bericht über den Regulation of Investigatory Powers Act 2000 (im Folgenden „RIPA 2000“) (248); darin wurde festgestellt, dass der RIPA 2000 nicht zweckmäßig sei. Die Ergebnisse dieses Berichts wurden berücksichtigt, als wesentliche Teile des RIPA 2000 durch den IPA 2016 ersetzt wurden. Eine vollständige Liste der Untersuchungen findet sich auf der Website des Ausschusses (249).

(167)

Die Aufgaben des Home Affairs Select Committee werden in Schottland vom Justiz-Unterausschuss für Polizeiarbeit (Justice Subcommittee on Policing) und in Nordirland vom Justizausschuss (Committee for Justice) wahrgenommen (250).

(168)

In Bezug auf die Verarbeitung von Daten durch Strafverfolgungsbehörden stehen gemäß Teil 3 des DPA 2018 und gemäß dem IPA 2016 sowie gemäß dem Human Rights Act 1998 Rechtsbehelfe zur Verfügung.

(169)

Durch diese Mechanismen stehen betroffenen Personen wirksame verwaltungsrechtliche und gerichtliche Rechtsbehelfe zur Verfügung, die es ihnen insbesondere ermöglichen, ihre Rechte durchzusetzen, unter anderem das Auskunftsrecht hinsichtlich ihrer personenbezogenen Daten oder das Recht auf Berichtigung oder Löschung dieser Daten.

(170)

Erstens hat eine betroffene Person nach Paragraf 165 DPA 2018 das Recht auf Beschwerde beim Information Commissioner, wenn sie der Ansicht ist, dass im Zusammenhang mit sie betreffenden personenbezogenen Daten ein Verstoß gegen Teil 3 des DPA 2018 vorliegt (251). Der Information Commissioner hat die Befugnis, die Einhaltung des DPA 2018 durch den Verantwortlichen und den Auftragsverarbeiter zu bewerten, sie im Falle der Nichteinhaltung aufzufordern, notwendige Maßnahmen zu ergreifen, und Geldbußen zu verhängen.

(171)

Zweitens besteht gemäß dem DPA 2018 das Recht auf einen Rechtsbehelf gegen den Information Commissioner, wenn dieser eine Beschwerde der betroffenen Person nicht angemessen bearbeitet. Konkret heißt dies: Wenn der Information Commissioner es versäumt, eine von der betroffenen Person eingereichte Beschwerde angemessen weiterzuverfolgen („progress“) (252), so hat der Beschwerdeführer Zugang zu einem gerichtlichen Rechtsbehelf; er kann sich bei einem First-tier Tribunal (253) beantragen, den Commissioner anzuweisen, geeignete Schritte zur Beantwortung der Beschwerde zu unternehmen oder den Beschwerdeführer über den Stand der Bearbeitung der Beschwerde zu informieren (254). Darüber hinaus kann jede Person, die vom Commissioner einen der genannten Bescheide (Informations-, Bewertungs-, Durchsetzungs- oder Bußgeldbescheid) erhält, beim First-tier Tribunal Berufung einlegen. Ist das Gericht der Ansicht, dass der Beschluss des Commissioner rechtswidrig ist oder dieser seinen Ermessensspielraum anders hätte nutzen sollen, muss es der Berufung stattgeben oder einen anderen Bescheid oder Beschluss ersetzen, den der Information Commissioner hätte erlassen können (255).

(172)

Drittens können Einzelpersonen direkt vor Gericht Rechtsbehelfe gegen Verantwortliche und Auftragsverarbeiter einlegen. Insbesondere kann eine betroffene Person gemäß Paragraf 167 DPA 2018 vor Gericht Beschwerde wegen Verletzung ihrer durch das Datenschutzrecht zugesicherten Rechte einlegen, und das Gericht kann mittels Anordnung den Verantwortlichen auffordern, Maßnahmen bezüglich der Verarbeitung zu ergreifen (oder zu unterlassen), um den Bestimmungen des DPA 2018 nachzukommen. Darüber hinaus hat nach Paragraf 169 DPA 2018 jede Person, die wegen Verstoßes gegen eine Anforderung der Datenschutzvorschriften (einschließlich Teil 3 des DPA 2018), mit Ausnahme der UK GDPR, einen Schaden erlitten hat, Anspruch auf Ersatz dieses Schadens durch den Verantwortlichen oder Auftragsverarbeiter, es sei denn, der Verantwortliche oder der Auftragsverarbeiter weist nach, dass er in keiner Weise für den Vorfall verantwortlich ist, das den Schaden verursacht hat. Als Schaden gilt sowohl ein finanzieller als auch ein nichtfinanzieller Schaden, wie z. B. seelisches Leid.

(173)

Viertens kann jede Person, die der Ansicht ist, dass ihre Rechte, einschließlich der Rechte auf Privatsphäre und Datenschutz, von einer Behörde verletzt wurden, vor den Gerichten des Vereinigten Königreichs gemäß dem Human Rights Act 1998 einen Rechtsbehelf einlegen (256); und schließlich kann eine Person, eine nichtstaatliche Organisation oder Personengruppe, wenn alle nationalen Rechtsmittel ausgeschöpft wurden, vor dem Europäischen Gerichtshof für Menschenrechte aufgrund der Verletzung ihrer nach der Europäischen Menschenrechtskonvention garantierten Rechte Rechtsbehelfe einlegen (siehe Erwägungsgrund 111) (257).

(174)

Natürliche Personen können bei Verstößen gegen den IPA 2016 vor dem Gericht für Ermittlungsbefugnisse (Investigatory Powers Tribunal) Rechtsbehelfe einlegen. Die gemäß dem IPA 2016 verfügbaren Rechtsbehelfsverfahren sind in den Erwägungsgründen 263 bis 269 unten beschrieben.

(175)

Gemäß der Rechtsordnung des Vereinigten Königreichs sind folgende Nachrichtendienste in Situationen, die für die Bewertung der Angemessenheit relevant sind, befugt, aus Gründen der nationalen Sicherheit, elektronische Informationen zu sammeln, die sich im Besitz von Verantwortlichen oder Auftragsverarbeitern befinden: der Security Service (258) (im Folgenden „MI5“), der Secret Intelligence Service (259) (im Folgenden „SIS“) und die Government Communications Headquarters (260) (im Folgenden „GCHQ“) (261).

(176)

Die Befugnisse der Nachrichtendienste des Vereinigten Königreichs sind im IPA 2016 und im RIPA 2000 festgelegt; zusammen mit dem DPA 2018 legen diese Rechtsakte den sachlichen und persönlichen Anwendungsbereich dieser Befugnisse sowie die Beschränkungen und Garantien für deren Ausübung fest. Die Befugnisse sowie die für sie geltenden Beschränkungen und Garantien werden in den folgenden Abschnitten im Detail bewertet.

(177)

Der IPA 2016 bildet den rechtlichen Rahmen für die Nutzung von Ermittlungsbefugnissen, d. h. die Befugnis, Kommunikationsdaten abzufangen und auf sie zuzugreifen sowie auf Geräte zuzugreifen. Gemäß dem IPA 2016 ist es allgemein verboten und eine Straftat, Techniken zu nutzen, die den Zugriff auf Kommunikationsinhalte, den Zugriff auf Kommunikationsdaten oder den Zugriff auf Geräte ohne gesetzliche Befugnis ermöglichen (262). Dies zeigt sich darin, dass der Einsatz dieser Ermittlungsbefugnisse nur dann rechtmäßig ist, wenn er auf der Grundlage einer entsprechenden Anordnung oder einer Genehmigung erfolgt (263).

(178)

Der IPA 2016 enthält detaillierte Vorschriften über den Anwendungsbereich und die Anwendung der einzelnen Ermittlungsbefugnisse sowie die diesbezüglichen spezifischen Beschränkungen und Garantien. Je nach Art der Ermittlungsbefugnis (Abfangen von Kommunikation, Beschaffung und Speicherung von Kommunikationsdaten und Gerätezugriff) (264) sowie je nachdem, ob die Befugnis auf ein bestimmtes Ziel ausgerichtet oder massenhaft ausgeübt wird, gelten unterschiedliche Vorschriften. Der Anwendungsbereich, die Garantien und die Beschränkungen der einzelnen im Rahmen des IPA 2016 vorgesehenen Maßnahmen werden im folgenden Abschnitt näher erläutert.

(179)

Außerdem wird der IPA 2016 durch eine Reihe von gesetzlichen Verhaltenskodizes („Codes of Practice“) ergänzt, die vom Secretary of State herausgegeben und von beiden Kammern des Parlaments gebilligt wurden (265); diese Kodizes gelten landesweit und enthalten weitere Leitlinien für die Nutzung dieser Befugnisse (266). Während sich betroffene Personen unmittelbar auf die Bestimmungen des IPA 2016 berufen können, um ihre Rechte geltend zu machen, ist in Anhang 7 Nummer 5 IPA 2016 festgelegt, dass die Codes of Practice als Beweismittel in Zivil- und Strafverfahren zulässig sind und das Gericht, Tribunal oder die Aufsichtsbehörde eine Nichteinhaltung dieser Kodizes bei einschlägigen Entscheidungen in Gerichtsverfahren berücksichtigen kann (267). Als sie die „Qualität des Gesetzes“ der früheren Gesetzgebung des Vereinigten Königreichs im Bereich Überwachung, den RIPA 2000, bewertete, hat die Große Kammer des Europäischen Gerichtshofs für Menschenrechte die Relevanz der britischen Verhaltenskodizes ausdrücklich anerkannt und akzeptiert, dass die in ihm enthaltenen Bestimmungen bei der Beurteilung der Vorhersehbarkeit der Gesetzgebung, die eine Überwachung erlaubt, berücksichtigt werden können (268).

(180)

Ferner sei darauf verwiesen, dass gezielte Befugnisse (gezieltes Abfangen (269), gezielte Beschaffung von Kommunikationsdaten (270), gezielte Speicherung von Kommunikationsdaten (271) und gezielter Gerätezugriff (272)) den nationalen Sicherheitsbehörden sowie bestimmten Strafverfolgungsbehörden (273) zur Verfügung stehen, während Massenbefugnisse (d. h. massenhaftes Abfangen (274), massenhafte Beschaffung von Kommunikationsdaten (275), massenhafter Gerätezugriff (276) und Erfassung in personenbezogenen Massendatensätzen (277)) nur von Nachrichtendiensten ausgeübt werden dürfen.

(181)

Bei der Entscheidung darüber, welche Ermittlungsbefugnis ausgeübt werden soll, muss der Nachrichtendienst den in Paragraf 2 Absatz 2 Buchstabe a IPA 2016 aufgeführten „allgemeinen Pflichten in Bezug auf den Schutz der Privatsphäre“ („general duties in relation to privacy“) nachkommen, die eine Prüfung der Notwendigkeit und Verhältnismäßigkeit umfassen. So muss eine Behörde, die die Absicht hat, eine Ermittlungsbefugnis zu nutzen, gemäß dieser Bestimmung Folgendes prüfen: i) ob das mit der Anordnung, der Genehmigung oder dem Bescheid angestrebte Ziel nach vernünftigem Ermessen auch mit anderen, weniger stark eingreifenden Mitteln erreicht werden könnte, ii) ob das Schutzniveau, das in Bezug auf die Beschaffung von Informationen aufgrund der Anordnung, der Genehmigung oder des Bescheids zugrunde zu legen ist, aufgrund der besonderen Sensibilität dieser Informationen höher ist, iii) das öffentliche Interesse an der Integrität und Sicherheit von Telekommunikationssystemen und Postdiensten sowie iv) alle anderen Aspekte des öffentlichen Interesses am Schutz der Privatsphäre (278).

(182)

Die Art und Weise, wie diese Kriterien anzuwenden sind – und wie ihre Einhaltung im Rahmen der Genehmigung der Nutzung derartiger Befugnisse durch den Secretary of State und die unabhängigen Judicial Commissioners bewertet wird –, wird in den entsprechenden Verhaltenskodizes näher erläutert. Insbesondere muss die Ausübung einer dieser Ermittlungsbefugnisse stets „in einem angemessenen Verhältnis zu dem angestrebten Ziel stehen, wofür die Schwere des Eingriffs in die Privatsphäre (sowie weitere Erwägungen gemäß Paragraf 2 Absatz 2) gegen die Notwendigkeit der Aktivität im Hinblick auf Ermittlungen, Einsatzzwecke oder Kapazitäten abgewogen werden muss“. Dies bedeutet insbesondere, dass „die Ausübung der Befugnis eine realistische Aussicht bieten sollte, dass sich der erwartete Nutzen einstellt, und nicht unverhältnismäßig oder willkürlich sein sollte“; ferner „sollte ein Eingriff in die Privatsphäre nicht als verhältnismäßig angesehen werden, wenn die benötigten Informationen nach vernünftigem Ermessen auch mit anderen, weniger stark eingreifenden Mitteln erlangt werden könnten“ (279). Im Einzelnen ist die Einhaltung des Grundsatzes der Verhältnismäßigkeit anhand folgender Kriterien zu beurteilen: „i) dem Ausmaß des vorgeschlagenen Eingriffs in die Privatsphäre im Vergleich zum angestrebten Ziel, ii) wie und warum die anzuwendenden Methoden die geringstmögliche Beeinträchtigung für die Person und für andere verursachen werden, iii) ob die Aktivität eine angemessene Anwendung des Gesetzes und – unter Berücksichtigung aller vernünftigen Alternativen – einen vernünftigen Weg darstellt, um das angestrebte Ziel zu erreichen, iv) welche anderen Methoden gegebenenfalls entweder nicht angewandt wurden oder zwar angewandt wurden, aber als unzureichend erachtet werden, um die operativen Ziele ohne den Einsatz der vorgeschlagenen Ermittlungsbefugnis zu erreichen“ (280).

(183)

Gemäß den Erläuterungen der britischen Behörden wird dadurch in der Praxis sichergestellt, dass ein Nachrichtendienst zunächst das operative Ziel festlegt (und damit die Erhebung eingrenzt, z. B. einen Zweck der internationalen Terrorismusbekämpfung in einem bestimmten geografischen Gebiet) und danach auf der Grundlage dieses operativen Ziels prüfen muss, welche technische Option (z. B. gezieltes oder massenhaftes Abfangen, gezielter oder massenhafter Gerätezugriff, gezielte oder massenhafte Beschaffung von Kommunikationsdaten) im Hinblick auf das angestrebte Ziel am verhältnismäßigsten ist (d. h. am wenigsten in die Privatsphäre eingreift, vgl. Paragraf 2 Absatz 2 IPA) und daher auf einer der verfügbaren gesetzlichen Grundlagen genehmigt werden kann.

(184)

Es ist auch anzumerken, dass diese Anwendung der Grundsätze der Notwendigkeit und Verhältnismäßigkeit auch vom UN-Sonderberichterstatter über das Recht auf Privatheit, Joseph Cannataci, zur Kenntnis genommen und begrüßt wurde; dieser stellte im Hinblick auf das durch den IPA 2016 geschaffene System fest, dass „die sowohl innerhalb der Nachrichtendienste als auch innerhalb der Strafverfolgungsbehörden bestehenden Verfahren es offenbar systematisch erforderlich machen, die Notwendigkeit und Verhältnismäßigkeit einer Überwachungsmaßnahme oder -aktion zu bewerten, bevor sie zur Genehmigung empfohlen wird, und sie aus denselben Gründen zu überprüfen“ (281). Des Weiteren stellte er fest, dass bei seinem Treffen mit Vertretern von Strafverfolgungsbehörden und nationalen Sicherheitsbehörden „die übereinstimmende Meinung herrschte, dass das Recht auf Privatsphäre bei jeder Entscheidung über Überwachungsmaßnahmen eine vorrangige Erwägung sein muss. Alle Vertreter haben die Grundsätze der Notwendigkeit und Verhältnismäßigkeit als die wesentlichen Prinzipien verstanden und geschätzt, die es zu berücksichtigen gilt.“

(185)

Die spezifischen Kriterien für den Erlass der verschiedenen Anordnungen sowie die gemäß dem IPA 2016 für die einzelnen Ermittlungsbefugnisse geltenden Beschränkungen und Garantien sind in den Erwägungsgründen 186 bis 243 aufgeführt.

(186)

Es gibt drei Arten von Anordnungen für gezieltes Abfangen: die Anordnung zum gezielten Abfangen (282), die Anordnung zur gezielten Überprüfung und eine Amtshilfeanordnung (283). Die Bedingungen für den Erhalt solcher Anordnungen und die entsprechenden Garantien sind in Teil 2 Kapitel 1 des IPA 2016 aufgeführt.

(187)

Eine Anordnung zum gezielten Abfangen gestattet das Abfangen der in der Anordnung beschriebenen Kommunikationsvorgänge während ihrer Übertragung sowie die Erlangung anderer für diese Kommunikationsvorgänge relevanter Daten (284), einschließlich Sekundärdaten (285). Eine Anordnung zur gezielten Überprüfung gestattet einer Person, abgefangene Inhalte, die aufgrund einer Anordnung zum massenhaften Abfangen erlangt wurden, für eine Überprüfung auszuwählen (286).

(188)

Eine Anordnung nach Maßgabe von Teil 2 des IPA 2016 kann vom Secretary of State ausgestellt (287) und von einem Judicial Commissioner genehmigt werden (288). In allen Fällen ist die Dauer einer Anordnung gleich welcher Art auf sechs Monate begrenzt (289); zudem gelten besondere Vorschriften für ihre Änderung (290) und Verlängerung (291).

(189)

Vor dem Erlass einer Anordnung muss der Secretary of State eine Prüfung der Notwendigkeit und Verhältnismäßigkeit durchführen (292). Insbesondere bei einer Anordnung zum gezielten Abfangen und einer Anordnung zur gezielten Überprüfung sollte der Secretary of State prüfen, ob die Maßnahme aus einem der folgenden Gründe notwendig ist: im Interesse der nationalen Sicherheit, zur Verhütung oder Aufdeckung von schweren Straftaten oder im Interesse des wirtschaftlichen Wohls des Vereinigten Königreichs (293), sofern diese Interessen auch für die Interessen der nationalen Sicherheit relevant sind (294). Hingegen kann eine Amtshilfeanordnung (siehe Erwägungsgrund 139 oben) nur dann ausgestellt werden, wenn nach Ansicht des Secretary of State Umstände vorliegen, die mit den Umständen vergleichbar sind, unter denen er eine Anordnung zum Zweck der Verhütung und/oder Aufdeckung schwerer Straftaten erlassen würde (295).

(190)

Darüber hinaus sollte der Secretary of State beurteilen, ob die Maßnahme im Hinblick auf das angestrebte Ziel verhältnismäßig ist (296). Bei der Beurteilung der Verhältnismäßigkeit der beantragten Maßnahmen sind die allgemeinen Pflichten in Bezug auf den Schutz der Privatsphäre gemäß Paragraf 2 Absatz 2 IPA 2016 zu berücksichtigen; insbesondere ist zu beurteilen, ob das mit der Anordnung, der Genehmigung oder dem Bescheid angestrebte Ziel nach vernünftigem Ermessen auch mit anderen, weniger stark eingreifenden Mitteln erreicht werden könnte und ob das Schutzniveau, das in Bezug auf die Erlangung von Informationen aufgrund der Anordnung, der Genehmigung oder des Bescheids zugrunde zu legen ist, aufgrund der besonderen Sensibilität dieser Informationen höher ist (siehe Erwägungsgrund 181 oben).

(191)

Zu diesem Zweck muss der Secretary of State alle im Antrag der beantragenden Behörde dargelegten Elemente berücksichtigten, insbesondere diejenigen, die sich auf die zu überwachenden Personen und die Relevanz der Maßnahme für die Ermittlungen beziehen. Diese Elemente sind im Verhaltenskodex für das Abfangen von Kommunikationsvorgängen (Code of Practice on Interception of Communications) festgelegt und müssen hinreichend spezifisch beschrieben werden (297). Darüber hinaus ist in Paragraf 17 des IPA 2016 vorgesehen, dass in jeder gemäß Kapitel 2 des IPA 2016 ausgestellten Anordnung die jeweilige Person oder eine Personengruppe, Organisation oder Räumlichkeit, die überwacht werden sollen (das „Ziel“ („target“)), benannt oder beschrieben werden muss. Im Falle einer Anordnung zum gezielten Abfangen oder einer Anordnung zur gezielten Überprüfung können damit auch eine Personengruppe, mehrere Personen oder Organisationen oder mehrere Räumlichkeiten gemeint sein (auch genannt „thematische Anordnung“ („thematic warrant“)) (298). In diesen Fällen sollten in der Anordnung der gemeinsame Zweck oder die gemeinsame Tätigkeit der Personengruppe oder des Einsatzes/der Untersuchung beschrieben und so viele dieser Personen/Organisationen oder Räumlichkeiten benannt oder beschrieben werden, wie es nach vernünftigem Ermessen möglich ist (299). Schließlich sind in allen nach Teil 2 des IPA 2016 ausgestellten Anordnungen die Adressen, Nummern, Vorrichtungen, Faktoren oder Kombinationen von Faktoren anzugeben, die zur Identifizierung der Kommunikationsvorgänge verwendet werden sollen (300). Diesbezüglich heißt es im Code of Practice on Interception of Communications, dass im Falle einer Anordnung zum gezielten Abfangen und einer Anordnung zur gezielten Überprüfung „die Faktoren oder die Kombination von Faktoren anzugeben (oder zu beschreiben) sind, die zur Identifizierung der Kommunikationsvorgänge verwendet werden sollen. Sollten die Kommunikationsvorgänge beispielsweise anhand einer Telefonnummer identifiziert werden, muss diese Nummer vollständig angegeben werden. Sollen jedoch sehr komplexe oder sich laufend ändernde Internet-Selektoren zur Identifizierung der Kommunikationsvorgänge verwendet werden, sollten diese Selektoren so weit wie möglich beschrieben werden“ (301).

(192)

Eine wichtige Garantie in diesem Zusammenhang besteht darin, dass die vom Secretary of State vorgenommene Bewertung zur Ausstellung einer Anordnung von einem unabhängigen Judicial Commissioner genehmigt werden muss (302), wobei dieser insbesondere prüft, ob die Entscheidung zur Ausstellung der Anordnung den Grundsätzen der Notwendigkeit und Verhältnismäßigkeit entspricht (303) (zum Status und zur Rolle der Judicial Commissioners siehe Erwägungsgründe 251 bis 256 unten). Des Weiteren wird im IPA 2016 präzisiert, dass der Judicial Commissioner bei der Durchführung einer solchen Prüfung die gleichen Grundsätze zugrunde legen muss, die ein Gericht bei einer Anfechtungsklage anwenden würde (304). Dadurch wird sichergestellt, dass in jedem Fall und vor einem Datenzugriff die Einhaltung der Grundsätze der Notwendigkeit und Verhältnismäßigkeit systematisch durch eine unabhängige Stelle überprüft wird.

(193)

Der IPA 2016 sieht wenige spezifische und eng gefasste Ausnahmen für gezielte Abfangmaßnahmen ohne entsprechende Anordnung vor. Die wenigen Fälle sind gesetzlich geregelt (305) und werden – mit Ausnahme der Fälle, für die eine „Einwilligung“ („consent“) des Absenders/Empfängers vorliegt – von Personen (privaten oder öffentlichen Stellen) durchgeführt, die keine nationalen Sicherheitsbehörden sind. Darüber hinaus werden diese Arten des Abfangens zu anderen Zwecken als der Gewinnung „nachrichtendienstlicher Erkenntnisse“ („intelligence“) (306) durchgeführt, und für einige von ihnen ist es sehr unwahrscheinlich, dass die Erhebung im Rahmen einer „Übermittlung“ („transfer“) erfolgen kann (z. B. bei Abfangmaßnahmen in psychiatrischen Krankenhäusern oder in Gefängnissen). Angesichts der Art der Stelle, für die spezifischen Fälle gelten (andere als nationale Sicherheitsbehörden), gelten alle in Teil 2 des DPA 2018 und der UK GDPR vorgesehenen Garantien, einschließlich der Aufsicht durch das ICO und der verfügbaren Rechtsbehelfe. Zusätzlich zu den im DPA 2018 vorgesehenen Garantien ist darüber hinaus im IPA 2016 in bestimmten Fällen auch die Ex-post-Aufsicht durch das IPCO vorgesehen (307).

(194)

Bei der Durchführung von Abfangmaßnahmen gelten zusätzliche Beschränkungen und Garantien im Hinblick auf den spezifischen Status der überwachten Person(en) (308). Beispielsweise ist das Abfangen von Kommunikationsinhalten, die einem Rechtsprivileg unterliegen, nur in außergewöhnlichen und zwingenden Umständen zulässig; die Person, die die Anordnung ausstellt, muss das öffentliche Interesse an der Vertraulichkeit von einem Rechtsprivileg unterliegenden Inhalten berücksichtigen und sicherstellen, dass besondere Anforderungen für die Handhabung, Aufbewahrung und Offenlegung des betreffenden Materials bestehen (309).

(195)

Darüber hinaus sieht der IPA 2016 spezielle Garantien in Bezug auf Sicherheit, Aufbewahrung und Offenlegung vor, die der Secretary of State vor der Ausstellung einer gezielten Anordnung berücksichtigen sollte (310). So ist in Paragraf 53 Absatz 5 IPA 2016 vorgesehen, dass jede Kopie, die von dem im Rahmen der Anordnung gesammelten Material angefertigt wird, sicher aufbewahrt werden muss und vernichtet wird, sobald es keine maßgeblichen Gründe mehr für die Aufbewahrung gibt; Paragraf 53 Absatz 2 IPA 2016 wiederum schreibt vor, dass die Anzahl der Personen, an die das Material weitergegeben wird, und der Umfang, in dem Material offengelegt, zugänglich gemacht oder kopiert wird, auf das für die gesetzlichen Zwecke erforderliche Mindestmaß beschränkt werden müssen.

(196)

Schließlich gilt: Wenn das Material, das im Rahmen einer Anordnung zum gezielten Abfangen oder einer Amtshilfeanordnung abgefangen wurde, an ein Drittland übergeben werden soll (Offenlegung gegenüber dem Ausland („overseas disclosures“)), muss der Secretary of State gemäß dem IPA 2016 sicherstellen, dass geeignete Vorkehrungen getroffen werden, um zu gewährleisten, dass in diesem Drittland ähnliche Garantien in Bezug auf Sicherheit, Aufbewahrung und Offenlegung bestehen (311). Außerdem sieht Paragraf 109 Absatz 2 des DPA 2018 vor, dass Nachrichtendienste personenbezogene Daten nur dann aus dem Gebiet des Vereinigten Königreichs übermitteln dürfen, wenn die Übermittlung für die Erfüllung der gesetzlichen Aufgaben des Verantwortlichen oder für andere in Paragraf 2 Absatz 2 Buchstabe a des Security Service Act 1989 oder in Paragraf 2 Absatz 2 Buchstabe a und Paragraf 4 Absatz 2 Buchstabe a des Intelligence Services Act 1994 genannte Zwecke notwendig und verhältnismäßig ist (312). Wichtig ist, dass diese Anforderungen auch in Fällen gelten, in denen die Ausnahme zum Schutz der nationalen Sicherheit gemäß Paragraf 110 DPA 2018 geltend gemacht wird, da in Paragraf 110 DPA 2018 der Paragraf 109 DPA 2018 nicht als eine der Bestimmungen aufgeführt ist, die unangewendet bleiben können, wenn zum Schutz der nationalen Sicherheit eine Ausnahme von bestimmten Bestimmungen erforderlich ist.

(197)

Gemäß dem IPA 2016 darf der Secretary of State Telekommunikationsbetreiber auffordern, Kommunikationsdaten zu speichern, damit bestimmte Behörden, einschließlich Strafverfolgungsbehörden und Nachrichtendiensten, gezielt darauf zugreifen können. In Teil 4 des IPA 2016 ist die Speicherung von Kommunikationsdaten, in Teil 3 die gezielte Beschaffung von Kommunikationsdaten geregelt. Des Weiteren sind in den Teilen 3 und 4 des IPA 2016 spezifische Einschränkungen für die Nutzung dieser Befugnisse sowie spezifische Garantien vorgesehen.

(198)

Der Begriff „Kommunikationsdaten“ („communications data“) bezieht sich auf das „Wer“, „Wann“, „Wo“ und „Wie“ eines Kommunikationsvorgangs, nicht aber auf den Inhalt, d. h. was gesagt oder geschrieben wurde. Anders als beim Abfangen besteht das Ziel der Beschaffung und Speicherung von Kommunikationsdaten nicht darin, den Inhalt der Kommunikation zu erfassen, sondern Informationen wie den Teilnehmer eines Telefondienstes oder einen Einzelverbindungsnachweis zu erhalten. Hierzu zählen beispielsweise der Zeitpunkt und die Dauer eines Kommunikationsvorgangs, die Telefonnummer oder E-Mail-Adresse des Urhebers und des Empfängers und mitunter auch der Standort der Geräte, von denen aus die Kommunikation erfolgte (313).

(199)

Es ist zu beachten, dass sich die Speicherung und Beschaffung von Kommunikationsdaten in der Regel nicht auf personenbezogene Daten von betroffenen Personen in der EU bezieht, die gemäß diesem Beschluss in das Vereinigte Königreich übermittelt werden. Die Verpflichtung zur Speicherung oder Offenlegung von Kommunikationsdaten gemäß den Teilen 3 und 4 des IPA 2016 bezieht sich auf Daten, die von Telekommunikationsbetreibern im Vereinigten Königreich direkt von den Nutzern eines Telekommunikationsdienstes erhoben werden (314). Diese Art der „kundenseitigen“ Verarbeitung umfasst typischerweise keine Übermittlung auf der Grundlage dieses Beschlusses, d. h. eine Übermittlung von einem Verantwortlichen/Auftragsverarbeiter in der EU an einen Verantwortlichen/Auftragsverarbeiter im Vereinigten Königreich.

(200)

Der Vollständigkeit halber werden jedoch in den folgenden Erwägungsgründen die für diese Beschaffungs- und Speicherregelungen geltenden Bedingungen und Garantien analysiert.

(201)

Als Prämisse ist festzuhalten, dass sowohl nationale Sicherheitsbehörden (315) als auch bestimmte Strafverfolgungsbehörden auf die Speicherung und die gezielte Beschaffung von Kommunikationsdaten zurückgreifen können. Für die Beantragung der Speicherung bzw. Beschaffung von Kommunikationsdaten gelten unterschiedliche Bedingungen, abhängig von der Begründung des Antrags, d. h. ob Gründe der nationalen Sicherheit oder Strafverfolgungszwecke angegeben werden.

(202)

So wurde zwar mit der neuen Regelung das allgemeine Erfordernis einer Vorabgenehmigung durch eine unabhängige Stelle eingeführt, die in allen Fällen gelten wird, in denen Kommunikationsdaten gespeichert und/oder beschafft werden (entweder zu Strafverfolgungszwecken oder zu Zwecken der nationalen Sicherheit), doch wurden im Anschluss an das Urteil Tele2/Watson des Europäischen Gerichtshofs (316) für zu Strafverfolgungszwecken beantragte Maßnahmen spezifische Garantien eingeführt. Insbesondere wenn die Speicherung oder die Beschaffung von Kommunikationsdaten zu Strafverfolgungszwecken beantragt wird, muss die Vorabgenehmigung stets vom Investigatory Power Commissioner erteilt werden. Wird die Maßnahme aus Gründen der nationalen Sicherheit beantragt, ist dies nicht immer der Fall, da für diese Art von Maßnahmen, wie nachstehend beschrieben, in bestimmten Fällen die Genehmigung von einer anderen „genehmigenden Person“ erteilt werden kann. Darüber hinaus wurde mit der neuen Regelung die Schwelle für die Zulässigkeit der Speicherung und Beschaffung von Kommunikationsdaten auf „schwere Straftaten“ angehoben (317).

(203)

Gemäß Teil 3 des IPA 2016 sind einschlägige Behörden berechtigt, Kommunikationsdaten von einem Telekommunikationsbetreiber oder einer Person, die in der Lage ist, solche Daten zu erhalten und weiterzugeben, zu erhalten. Die Genehmigung darf nicht die Befugnis zum Abfangen des Inhalts der Kommunikationsvorgänge erteilen (318) und tritt nach einem Monat außer Kraft (319), wobei vorbehaltlich einer zusätzlichen Genehmigung die Möglichkeit einer Verlängerung besteht (320). Für die Beschaffung von Kommunikationsdaten ist eine Genehmigung des Investigatory Powers Commissioner (IPC) (321) (zum Status und zu den Befugnissen des IPC siehe Erwägungsgründe 250 bis 251) erforderlich. Dies ist immer dann der Fall, wenn die Beschaffung von Kommunikationsdaten von einer einschlägigen Strafverfolgungsbehörde beantragt wird. Nach Paragraf 61 IPA 2016 kann bei der Beschaffung von Daten im Interesse der nationalen Sicherheit oder im Interesse des wirtschaftlichen Wohls des Vereinigten Königreichs, sofern es für die nationale Sicherheit relevant ist, oder bei einer Antragstellung durch ein Mitglied eines Nachrichtendienstes nach Paragraf 61 Absatz 7 Buchstabe b (322) die Beschaffung der Daten alternativ (323) auch vom IPC oder von einem benannten hohen Beamten (324) genehmigt werden. Der benannte Beamte muss von der betreffenden Ermittlung oder Operation unabhängig sein und über einschlägige Kenntnisse der Grundsätze und Rechtsvorschriften im Bereich der Menschenrechte, insbesondere der Grundsätze der Notwendigkeit und Verhältnismäßigkeit, verfügen (325). Die von dem benannten Beamten getroffene Entscheidung unterliegt einer Ex-post-Aufsicht durch den IPC (siehe Erwägungsgrund 254 für weitere Einzelheiten zu den Ex-post-Aufsichtsfunktionen des IPC).

(204)

Die Genehmigung zur Beschaffung von Kommunikationsdaten beruht auf einer Bewertung der Notwendigkeit und Verhältnismäßigkeit der Maßnahme. Konkret bedeutet dies, dass die Notwendigkeit der Maßnahme im Hinblick auf die in der Gesetzgebung aufgeführten Gründe bewertet wird (326). In Anbetracht des zielgerichteten Charakters dieser Maßnahme besteht zudem das Erfordernis, dass sie für eine bestimmte Untersuchung oder Operation notwendig ist (327). Weitere Anforderungen bezüglich der Bewertung der Notwendigkeit der Maßnahmen sind im Code of Practice on Communication Data dargelegt (328). Demnach muss der von der ersuchenden Behörde eingereichte Antrag drei Mindestelemente aufweisen, mit denen die Notwendigkeit eines solchen Ersuchens begründet wird: i) das zu untersuchende Ereignis, z. B. eine Straftat oder der Aufenthaltsort einer gefährdeten vermissten Person, ii) die Person, deren Daten beschafft werden sollen, z. B. ein Verdächtiger, ein Zeuge oder eine vermisste Person, und Angaben dazu, wie diese Person mit dem Ereignis in Verbindung steht, und iii) die Kommunikationsdaten, die beschafft werden sollen, z. B. eine Telefonnummer oder IP-Adresse, und Angaben dazu, wie diese Daten mit der Person und dem Ereignis in Verbindung stehen (329).

(205)

Darüber hinaus muss die Beschaffung von Kommunikationsdaten im Hinblick auf das angestrebte Ziel verhältnismäßig sein (330). Laut dem Verhaltenskodex zu Kommunikationsdaten (Code of Practice on Communication Data) sollte die genehmigende Person bei der Durchführung einer solchen Bewertung eine Abwägung zwischen „dem Ausmaß des Eingriffs in die Rechte und Freiheiten einer Person und einem spezifischen Nutzen für die von einer zuständigen Behörde im öffentlichen Interesse durchgeführte Untersuchung oder Maßnahme“ treffen; ferner könnte unter Berücksichtigung aller Erwägungen eines bestimmten Falls „ein Eingriff in die Rechte einer Person dennoch nicht gerechtfertigt sein, weil die nachteiligen Auswirkungen auf die Rechte einer anderen Person oder Personengruppe zu schwerwiegend sind“. Für die konkrete Bewertung der Verhältnismäßigkeit einer Maßnahme ist im Kodex zudem eine Reihe von Elementen aufgeführt, die in dem Antrag der ersuchenden Behörde enthalten sein sollten (331). Darüber hinaus ist besonders die Art der zu beschaffenden Kommunikationsdaten („Entitätsdaten“ oder „Ereignisdaten“ (332)) zu berücksichtigen, wobei bevorzugt Datenkategorien zu verwenden sind, die mit einem geringeren Eingriff verbunden sind (333). Des Weiteren enthält der Verhaltenskodex zu Kommunikationsdaten (Code of Practice on Communication Data) spezielle Anweisungen für Genehmigungen, die die Kommunikationsdaten von Personen in bestimmten Berufen (wie Ärzten, Anwälten, Journalisten, Parlamentsmitgliedern oder Geistlichen) (334) betreffen; für diese Art von Daten gelten zusätzliche Garantien (335).

(206)

Teil 4 des IPA 2016 enthält Vorschriften für die Speicherung von Kommunikationsdaten, insbesondere die Kriterien, die es dem Secretary of State erlauben, eine Speicherungsanordnung („retention notice“) zu erteilen (336). Die durch den IPA eingeführten Garantien sind dieselben, wenn die Daten entweder zu Strafverfolgungszwecken oder im Interesse der nationalen Sicherheit gespeichert werden.

(207)

Mit dem Erlass einer solchen Speicherungsanordnung soll sichergestellt werden, dass Telekommunikationsbetreiber relevante Kommunikationsdaten, die ansonsten gelöscht würden, sobald sie nicht mehr für geschäftliche Zwecke benötigt werden, für einen Zeitraum von maximal 12 Monaten speichern (337). Die gespeicherten Daten müssen so lange zur Verfügung stehen, wie es für den Fall erforderlich wäre, dass eine Behörde sie nachträglich im Rahmen einer in Teil 3 des IPA 2016 vorgesehenen und in den Erwägungsgründen 203 bis 205 beschriebenen Genehmigung für eine gezielte Beschaffung von Kommunikationsdaten beschaffen muss.

(208)

Die Ausübung dieser Befugnis, die Speicherung bestimmter Daten zu anzuordnen, unterliegt einer Reihe von Beschränkungen und Garantien. So kann der Secretary of State nur dann einem oder mehreren Betreibern (338) eine Speicherungsanordnung erteilen, wenn er der Meinung ist, dass die Speicherung aus einem der gesetzlichen Zwecke erforderlich ist (339) und im Hinblick auf das angestrebte Ziel verhältnismäßig ist (340). Daher muss der Secretary of State, wie im IPA 2016 selbst festgelegt ist (341), vor der Erteilung einer Speicherungsanordnung Folgendes berücksichtigen: den voraussichtlichen Nutzen der Anordnung (342); eine Beschreibung der Telekommunikationsdienste; die Frage, ob es angemessen ist, mit Verweis auf den Ort zu speichernde Daten oder Beschreibungen von Personen, für die Telekommunikationsdienste erbracht werden, zu begrenzen (343); die voraussichtliche Anzahl der Nutzer (sofern bekannt) aller Telekommunikationsdienste, auf die sich die Anordnung bezieht (344); die technische Durchführbarkeit der Erfüllung der Anordnung; die voraussichtlichen Kosten der Erfüllung der Anordnung und alle sonstigen Auswirkungen der Anordnung auf den Telekommunikationsbetreiber (oder Beschreibung der Betreiber), auf den sie sich bezieht (345). Wie in Kapitel 17 des Verhaltenskodex zu Kommunikationsdaten weiter ausgeführt, ist in jeder Speicherungsanordnung anzugeben, welche Art von Daten zu speichern ist und inwieweit diese Art von Daten die für die Speicherung erforderlichen Voraussetzungen erfüllt.

(209)

In allen Fällen (sowohl aus Gründen der nationalen Sicherheit als auch für Strafverfolgungszwecke) muss die Entscheidung des Secretary of State, eine Speicherungsanordnung auszustellen, von einem unabhängigen Judicial Commissioner im Rahmen des sogenannten „Double-Lock-Verfahrens“ genehmigt werden, der insbesondere prüfen muss, ob die Anordnung zur Speicherung der relevanten Kommunikationsdaten für einen oder mehrere gesetzliche Zwecke erforderlich und verhältnismäßig ist (346).

(210)

Der Zugriff auf Geräte („equipment interference“) umfasst eine Reihe von Techniken, mit denen eine Vielzahl unterschiedlicher Daten von Geräten (347) erfasst wird, unter anderem von Computern, Tablets und Smartphones sowie Kabeln, Drähten und Speichergeräten (348). Durch Gerätezugriff können sowohl Inhalte von Kommunikationsvorgängen als auch Gerätedaten (349) erfasst werden.

(211)

Gemäß Paragraf 13 Absatz 1 IPA 2016 bedarf es für den Gerätezugriff durch einen Nachrichtendienst einer Genehmigung mittels einer Anordnung im Rahmen des durch den IPA 2016 eingeführten „Double-Lock“-Verfahrens, sofern eine „Verbindung zu den Britischen Inseln“ vorliegt (350). Laut den Erläuterungen der britischen Behörden würde in Situationen, in denen Daten im Rahmen dieses Beschlusses von der Europäischen Union an das Vereinigte Königreich übermittelt werden, immer eine „Verbindung zu den Britischen Inseln“ bestehen, sodass jeder Gerätezugriff, der sich auf derartige Daten bezieht, zwingend einer Anordnung gemäß Paragraf 13 Absatz 1 IPA 2016 unterliegen würde (351).

(212)

Die Vorschriften für Anordnungen zum gezielten Gerätezugriff sind in Teil 5 des IPA 2016 festgelegt. Ähnlich wie beim gezielten Abfangen muss sich der gezielte Gerätezugriff auf ein bestimmtes „Ziel“ beziehen, das in der Anordnung genannt sein muss (352). Die Einzelheiten dazu, wie ein „Ziel“ zu identifizieren ist, hängen vom jeweiligen Sachverhalt und der Art der zu überwachenden Geräte ab. In Paragraf 115 Absatz 3 IPA sind die Elemente aufgeführt, die in der Anordnung enthalten sein sollten (z. B. Name der Person oder Organisation, Beschreibung des Ortes); diese hängen beispielsweise davon ab, ob der Zugriff ein Gerät betrifft, das einer bestimmten Person oder einer Organisation oder einer Gruppe von Personen gehört, von ihnen benutzt wird oder sich in ihrem Besitz befindet, sich an einem bestimmten Ort befindet usw. (353) Die Zwecke, für die Anordnungen zum gezielten Gerätezugriff ausgestellt werden können, hängen davon ab, welche Behörde den Antrag stellt (354).

(213)

Ähnlich wie beim gezielten Abfangen muss die anordnende Behörde prüfen, ob die Maßnahme zur Erreichung eines bestimmten Ziels erforderlich und im Hinblick auf das angestrebte Ziel verhältnismäßig ist (355). Darüber hinaus sollte sie prüfen, ob Garantien in Bezug auf Sicherheit, Aufbewahrung und Offenlegung sowie in Bezug auf die „Offenlegung gegenüber dem Ausland“ (356) bestehen (siehe Erwägungsgrund 196).

(214)

Die Anordnung muss von einem Judicial Commissioner genehmigt werden, ausgenommen in dringenden Fällen (357). In dringenden Fällen muss ein Judicial Commissioner über die Ausstellung einer Anordnung unterrichtet werden, und er muss diese innerhalb von drei Arbeitstagen genehmigen. Verweigert der Judicial Commissioner die Genehmigung, tritt die Anordnung außer Kraft und kann nicht erneuert werden (358). Darüber hinaus ist der Judicial Commissioner befugt, die Löschung der im Rahmen der Anordnung erlangten Daten zu verlangen (359). Die Dringlichkeit der Ausstellung einer Anordnung beeinflusst nicht die Ex-post-Aufsicht (siehe Erwägungsgründe 244 bis 255) oder die Möglichkeit, dass Einzelpersonen Rechtsbehelfe einlegen (siehe Erwägungsgründe 260 bis 270). Einzelpersonen können beim ICO eine Beschwerde einlegen oder beim Investigatory Powers Tribunal in der üblichen Weise Ansprüche in Bezug auf mutmaßliche Handlungen geltend machen. Um über die Genehmigung einer Anordnung zu entscheiden, führt der Judicial Commissioner in allen Fällen eine Prüfung der Notwendigkeit und Verhältnismäßigkeit durch, wie sie auch für Anträge auf gezieltes Abfangen gilt (siehe Erwägungsgrund 192 oben) (360).

(215)

Schließlich finden bestimmte für das gezielte Abfangen geltende Garantien auch auf Gerätezugriffe Anwendung, beispielsweise Garantien in Bezug auf die Dauer, Verlängerung und Änderung der Anordnung sowie für das Überwachen von Mitgliedern des Parlaments und das Abfangen von einem Rechtsprivileg unterliegenden Kommunikationsinhalten sowie von journalistischem Material (für weitere Einzelheiten siehe Erwägungsgrund 193).

(216)

Die Ausübung von Massenbefugnissen („bulk powers“) ist in Teil 6 des IPA 2016 geregelt. Weitere Einzelheiten enthalten auch die einschlägigen Verhaltenskodizes. Zwar enthält das britische Recht keine Definition des Begriffs der „Massenbefugnis“, dennoch wird er im Zusammenhang mit dem IPA 2016 umschrieben als die Sammlung und Speicherung großer Datenmengen, welche die Regierung auf verschiedene Weise (d. h. im Rahmen der Befugnisse zum massenhaften Abfangen, zur massenhaften Beschaffung, zum massenhaften Gerätezugriff und für personenbezogene Massendatensätze) beschafft hat und auf die die Behörden anschließend zugreifen können. Diese Beschreibung wird deutlicher, wenn man sich vor Augen führt, was eine „Massenbefugnis“ nicht ist: nämlich die sogenannte „Massenüberwachung“ („mass surveillance“) ohne Beschränkungen oder Garantien. Im Gegenteil: Für Massenbefugnisse gelten, wie nachstehend erläutert, sehr wohl Beschränkungen und Garantien, durch die sichergestellt werden soll, dass der Zugang zu Daten nicht auf wahllose oder ungerechtfertigte Weise gewährt wird (361). So können Massenbefugnisse nur dann genutzt werden, wenn ein Zusammenhang zwischen der technischen Maßnahme, die ein nationaler Nachrichtendienst einzusetzen beabsichtigt, und dem operativen Ziel, für das die betreffende Maßnahme beantragt wird, besteht.

(217)

Darüber hinaus stehen Massenbefugnisse nur Nachrichtendiensten zur Verfügung und erfordern stets eine Anordnung, die vom Secretary of State ausgestellt und von einem Judicial Commissioner genehmigt werden muss. Bei der Wahl der Mittel zur Sammlung nachrichtendienstlicher Erkenntnisse gilt es zu berücksichtigen, ob das betreffende Ziel mit „weniger stark eingreifenden Mitteln“ („less intrusive means“) erreicht werden kann (362). Dieser Ansatz leitet sich aus dem rechtlichen Rahmen ab, der auf dem Grundsatz der Verhältnismäßigkeit aufbaut und daher der gezielten Erfassung gegenüber der massenhaften Erfassung den Vorzug gibt.

(218)

Das massenhafte Abfangen ist in Teil 6 Kapitel 1 des IPA 2016 geregelt, der massenhafte Gerätezugriff in Teil 6 Kapitel 3. Die Regelungen sind im Wesentlichen gleich; die für diese Anordnungen geltenden Bedingungen und zusätzlichen Garantien werden daher gemeinsam analysiert.

(219)

Eine Anordnung zum massenhaften Abfangen beschränkt sich auf das Abfangen von Kommunikationsvorgängen während ihrer Übertragung, die von Personen gesendet oder empfangen werden, die sich außerhalb der Britischen Inseln (363) befinden (sogenannte auslandsbezogene Kommunikationsvorgänge („overseas-related communications“)) (364), sowie auf andere relevante Daten und die anschließende Auswahl des abgefangenen Materials zur Überprüfung (365). Durch eine Anordnung zum massenhaften Gerätezugriff (366) erhält der Adressat die Befugnis zum Zugriff auf jegliche Geräte zum Zwecke der Beschaffung von auslandsbezogenen Kommunikationsvorgängen (einschließlich aller Arten von Sprache, Musik, Tönen, visuellen Bildern oder Daten), Gerätedaten (Daten, die das Funktionieren eines Postdienstes, eines Telekommunikationssystems oder eines Telekommunikationsdienstes ermöglichen oder erleichtern) oder sonstigen Informationen (367).

(220)

Der Secretary of State kann eine Massenanordnung ausschließlich auf Antrag eines Leiters eines Nachrichtendienstes ausstellen (368). Eine Anordnung zum massenhaften Abfangen oder massenhaften Gerätezugriff darf nur dann erteilt werden, wenn dies im Interesse der nationalen Sicherheit und für einen weiteren Zweck der Verhütung oder Aufdeckung schwerer Straftaten oder im Interesse des wirtschaftlichen Wohls des Vereinigten Königreichs erforderlich ist, sofern dies für die nationale Sicherheit relevant ist (369). Des Weiteren muss eine Anordnung zum massenhaften Abfangen gemäß Paragraf 142 Absatz 7 IPA 2016 präzisere Angaben enthalten als den bloßen Verweis auf die „Interessen der nationalen Sicherheit“, das „wirtschaftliche Wohl des Vereinigten Königreichs“ und die „Verhütung und Bekämpfung schwerer Straftaten“; demnach muss ein Zusammenhang zwischen der beantragten Maßnahme und einem oder mehreren Einsatzzwecken („operational purposes“) bestehen, die in der Anordnung aufgeführt sein müssen.

(221)

Die Wahl des Einsatzzwecks ist das Ergebnis eines mehrstufigen Prozesses. Gemäß Paragraf 142 Absatz 4 müssen die in der Anordnung genannten Einsatzzwecke in einer von den Leitern der Nachrichtendienste geführten Liste als Zwecke angegeben werden, die sie als Einsatzzwecke erachten, für die abgefangene Inhalte oder Sekundärdaten, die im Rahmen einer Anordnung zum massenhaften Abfangen erlangt wurden, für eine Überprüfung ausgewählt werden können. Die Liste der Einsatzzwecke muss vom Secretary of State genehmigt werden. Der Secretary of State darf diese Genehmigung nur erteilen, wenn er sich davon überzeugt hat, dass der Einsatzzweck präziser definiert ist als die allgemeinen Gründe für die Genehmigung der Anordnung (nationale Sicherheit oder nationale Sicherheit und wirtschaftliches Wohl oder Verhütung schwerer Straftaten) (370). Am Ende eines Zeitraums von jeweils drei Monaten muss der Secretary of State dem parlamentarischen Ausschuss für Nachrichtendienste und Sicherheit (Intelligence and Security Committee – ISC) eine Kopie der Liste der Einsatzzwecke zukommen lassen. Schließlich muss der Premierminister die Liste der Einsatzzwecke mindestens einmal jährlich überprüfen (371). Wie der High Court feststellte, dürfen „diese nicht als unbedeutende Garantien abgewertet werden, da sie ein komplexes System von Rechenschaftspflichten bilden, an dem sowohl das Parlament als auch Mitglieder der Regierung auf höchster Ebene beteiligt sind“ (372).

(222)

Ferner bewirken derartige Einsatzzwecke Einschränkungen dahingehend, inwieweit abgefangenes Material für eine Überprüfung ausgewählt werden kann. Die Auswahl jeglichen im Rahmen der Massenanordnung gesammelten Materials für eine Überprüfung muss im Hinblick auf den bzw. die Einsatzzweck(e) gerechtfertigt sein. Laut den Erläuterungen der britischen Behörden bedeutet dies, dass der Secretary of State die praktischen Vorkehrungen bezüglich der Überprüfung bereits in der Phase der Ausstellung der Anordnung bewerten muss, wobei ausreichende Angaben gemacht werden müssen, um die gesetzlichen Pflichten gemäß den Paragrafen 152 und 193 IPA 2016 zu erfüllen (373). Die Angaben, die der Secretary of State bezüglich dieser Vorkehrungen erhält, müssen beispielsweise (gegebenenfalls) Informationen darüber enthalten, wie sich die Filtereinrichtungen während der Zeit, in der eine Anordnung wirksam ist, ändern könnten (374). Weitere Einzelheiten zum Verfahren und zu den Garantien im Hinblick auf die Filter- und Überprüfungsphase finden sich im Erwägungsgrund 229.

(223)

Eine Massenbefugnis darf nur dann genehmigt werden, wenn sie im Hinblick auf das angestrebte Ziel verhältnismäßig ist (375). Laut dem Verhaltenskodex für das Abfangen von Kommunikationsvorgängen muss bei jeder Beurteilung der Verhältnismäßigkeit „die Schwere des Eingriffs in die Privatsphäre (sowie weitere Erwägungen gemäß Paragraf 2 Absatz 2) gegen die Notwendigkeit der Aktivität im Hinblick auf Ermittlungen, Einsatzzwecke oder Kapazitäten abgewogen werden. Die genehmigte Handlung sollte eine realistische Aussicht bieten, dass sich der erwartete Nutzen einstellt, und darf nicht unverhältnismäßig oder willkürlich sein“ (376). Wie bereits erwähnt, bedeutet dies in der Praxis, dass die Verhältnismäßigkeitsprüfung auf einer Abwägung zwischen dem angestrebten Ziel („Einsatzzweck(e)“ („operational purpose/s“) und den zur Verfügung stehenden technischen Optionen (z. B. gezieltes oder massenhaftes Abfangen, gezielter oder massenhafter Gerätezugriff, gezielte oder massenhafte Beschaffung von Kommunikationsdaten) beruht, wobei den am wenigsten eingreifenden Mitteln der Vorzug gegeben wird (siehe Erwägungsgründe 181 und 182). Ist mehr als eine Maßnahme zur Erreichung des Ziels geeignet, ist dem weniger stark eingreifenden Mittel der Vorzug zu geben.

(224)

Eine weitere Garantie im Hinblick auf die Beurteilung der Verhältnismäßigkeit der beantragten Maßnahme besteht darin, dass der Secretary of State die relevanten Informationen erhalten muss, die er für die ordnungsgemäße Durchführung seiner Beurteilung benötigt. So ist im Verhaltenskodex für das Abfangen von Kommunikationsvorgängen (Code of Practice on Interception of Communications) sowie im Verhaltenskodex für den Gerätezugriff (Code of Practice on Equipment Interference) insbesondere vorgesehen, dass der von der zuständigen Behörde eingereichte Antrag folgende Angaben enthalten muss: die Hintergründe des Antrags, eine Beschreibung der abzufangenden Kommunikationsvorgänge und der Telekommunikationsbetreiber, deren Unterstützung erforderlich ist, eine Beschreibung der zu genehmigenden Handlung, die Einsatzzwecke und eine Erläuterung dazu, warum die Handlung notwendig und verhältnismäßig ist (377).

(225)

Schließlich – und dies ist ein wichtiger Punkt – muss die Entscheidung des Secretary of State zur Ausstellung einer Anordnung von einem unabhängigen Judicial Commissioner genehmigt werden, der die Notwendigkeit und Verhältnismäßigkeit der vorgeschlagenen Maßnahme nach denselben Grundsätzen beurteilt, die ein Gericht bei einer Anfechtungsklage zugrunde legen würde (378). Konkret überprüft der Judicial Commissioner die Schlussfolgerungen des Secretary of State dahin gehend, ob die Anordnung notwendig ist und ob die Handlung im Lichte der Grundsätze gemäß Paragraf 2 Absatz 2 IPA 2016 (allgemeine Pflichten in Bezug auf den Schutz der Privatsphäre) verhältnismäßig ist. Darüber hinaus prüft der Judicial Commissioner die Schlussfolgerungen des Secretary of State dahin gehend, ob jeder der in der Anordnung angegebenen Einsatzzwecke ein Zweck ist, für den eine Auswahl erforderlich ist oder sein kann. Verweigert der Judicial Commissioner die Genehmigung einer Entscheidung zur Erteilung einer Anordnung, so kann der Secretary of State i) die Entscheidung entweder akzeptieren und folglich keine Anordnung erteilen oder ii) die Angelegenheit an den Investigatory Powers Commissioner zur Entscheidung weiterleiten (sofern der Investigatory Powers Commissioner nicht die ursprüngliche Entscheidung getroffen hat) (379).

(226)

Mit dem IPA 2016 wurden weitere Beschränkungen in Bezug auf die Dauer, Verlängerung und Änderung einer Massenanordnung eingeführt. Die Geltungsdauer einer Anordnung darf höchstens sechs Monate betragen, und jede Entscheidung zur Verlängerung oder Änderung (mit Ausnahme geringfügiger Änderungen) einer Anordnung muss ebenfalls von einem Judicial Commissioner genehmigt werden (380). Gemäß dem Verhaltenskodex für das Abfangen von Kommunikationsvorgängen sowie dem Verhaltenskodex für den Gerätezugriff gilt eine Änderung der Einsatzzwecke der Anordnung als wesentliche Änderung der Anordnung (381).

(227)

Ähnlich wie in den Bestimmungen für das gezielte Abfangen ist in Teil 6 des IPA 2016 vorgesehen, dass der Secretary of State sicherstellen muss, dass Vorkehrungen für Garantien in Bezug auf die Aufbewahrung und Offenlegung von im Rahmen der Anordnung erlangtem Material (382) sowie für die Offenlegung gegenüber dem Ausland (383) getroffen werden. So ist in Paragraf 150 Absatz 5 und Paragraf 191 Absatz 5 IPA 2016 vorgesehen, dass jede Kopie, die von dem im Rahmen der Anordnung gesammelten Material angefertigt wird, sicher aufbewahrt werden muss und vernichtet wird, sobald es keine maßgeblichen Gründe mehr für die Aufbewahrung gibt; Paragraf 150 Absatz 2 und Paragraf 191 Absatz 2 IPA 2016 wiederum schreiben vor, dass die Anzahl der Personen, an die das Material weitergegeben wird, und der Umfang, in dem Material offengelegt, zugänglich gemacht oder kopiert wird, auf das für die gesetzlichen Zwecke erforderliche Mindestmaß beschränkt werden müssen (384).

(228)

Schließlich gilt: Wenn das Material, das im Rahmen eines massenhaften Abfangens oder eines massenhaften Gerätezugriffs abgefangen wurde, an ein Drittland übergeben werden soll (Offenlegung gegenüber dem Ausland), muss der Secretary of State gemäß dem IPA 2016 sicherstellen, dass geeignete Vorkehrungen getroffen werden, um zu gewährleisten, dass in diesem Drittland ähnliche Garantien in Bezug auf Sicherheit, Speicherung und Offenlegung bestehen (385). Zudem enthält Paragraf 109 DPA 2018 konkrete Anforderungen an die internationale Übermittlung personenbezogener Daten durch Nachrichtendienste an Drittländer oder internationale Organisationen und erlaubt die Übermittlung von Daten in ein Land oder Gebiet außerhalb des Vereinigten Königreichs oder an eine internationale Organisation nur dann, wenn die Übermittlung für die Erfüllung der gesetzlichen Aufgaben des Verantwortlichen oder für andere in Paragraf 2 Absatz 2 Buchstabe a des Security Services Act 1989 oder in Paragraf 2 Absatz 2 Buchstabe a und Paragraf 4 Absatz 2 Buchstabe a des Intelligence Service Act 1994 genannte Zwecke notwendig und verhältnismäßig ist (386). Wichtig ist, dass diese Anforderungen auch in Fällen gelten, in denen die Ausnahme zum Schutz der nationalen Sicherheit nach Paragraf 110 DPA 2018 geltend gemacht wird, da Paragraf 110 DPA 2018 den Paragraf 109 DPA 2018 nicht als eine der Bestimmungen aufführt, die außer Kraft gesetzt werden können, wenn eine Ausnahme von bestimmten Bestimmungen zum Schutz der nationalen Sicherheit erforderlich ist.

(229)

Sobald die Anordnung genehmigt wurde und die massenhafte Sammlung der Daten abgeschlossen ist, werden die Daten einem Auswahlverfahren unterzogen, bevor sie überprüft werden. In der Phase der Auswahl und der Überprüfung erfolgt eine weitere Verhältnismäßigkeitsprüfung durch einen Analysten, der auf der Grundlage der in der Anordnung angegebenen Einsatzzwecke (und möglicherweise vorhandener Filtereinrichtungen) die Kriterien für die Auswahl festlegt. Gemäß den Paragrafen 152 und 193 IPA muss der Secretary of State bei der Ausstellung der Anordnung sicherstellen, dass Vorkehrungen getroffen werden, um zu gewährleisten, dass die Auswahl des Materials nur für die angegebenen Einsatzzwecke erfolgt und unter allen Umständen notwendig und verhältnismäßig ist. Diesbezüglich haben die britischen Behörden erläutert, dass die Auswahl des massenhaft abgefangenen Materials zunächst durch automatisches Filtern erfolgt, um diejenigen Daten auszusortieren, die voraussichtlich nicht von Interesse für die nationale Sicherheit sind. Die Filter können im Laufe der Zeit variieren (da sich Muster, Typen und Protokolle des Internetverkehrs ändern) und hängen vom technologischen und operativen Kontext ab. Nach dieser Phase können die Daten nur dann für eine Überprüfung ausgewählt werden, wenn sie für die in der Anordnung angegebenen Einsatzzwecke relevant sind (387). Die im IPA 2016 vorgesehenen Garantien für die Prüfung des gesammelten Materials gelten für alle Arten von Daten (sowohl abgefangene Inhalte als auch Sekundärdaten) (388). Gemäß den Paragrafen 152 und 193 IPA 2016 besteht zudem ein allgemeines Verbot, Material für eine Überprüfung auszuwählen, das sich auf Kommunikationsvorgänge bezieht, die von Personen gesendet wurden oder für Personen bestimmt sind, die sich auf den Britischen Inseln aufhalten. Wollen die Behörden derartiges Material untersuchen, müssen sie einen Antrag auf eine gezielte Überprüfung gemäß Teil 2 und Teil 4 des IPA 2016 stellen, der vom Secretary of State ausgestellt und von einem Judicial Commissioner genehmigt werden muss (389). Wer abgefangene Inhalte vorsätzlich entgegen den gesetzlichen Vorgaben zur Überprüfung (390) auswählt, begeht eine Straftat (391).

(230)

Die vom Analysten im Hinblick auf die Auswahl des Materials durchgeführte Bewertung unterliegt einer Ex-post-Aufsicht durch den IPC; dabei beurteilt dieser die Einhaltung der im IPA 2016 für die Überprüfungsphase festgelegten spezifischen Garantien (siehe auch Erwägungsgrund 229) (392). Der IPC muss die Ausübung der im IPA 2016 aufgeführten Ermittlungsbefugnisse durch öffentliche Behörden laufend überprüfen (unter anderem durch Überprüfungen, Kontrollen und Untersuchungen) (393). Diesbezüglich ist im Verhaltenskodex für das Abfangen von Kommunikationsvorgängen und im Verhaltenskodex für den Gerätezugriff vorgesehen, dass der betreffende Nachrichtendienst Aufzeichnungen für spätere Untersuchungen und Überprüfungen führen muss; aus diesen Aufzeichnungen muss hervorgehen, warum der Zugriff auf das Material durch befugte Personen notwendig und verhältnismäßig ist und welche Einsatzzwecke damit verfolgt werden (394). In seinem Jahresbericht 2018 gelangte das Investigatory Powers Commissioner Office (IPCO) (395) beispielsweise zu dem Schluss, dass die von den Analysten dokumentierten Begründungen für die Überprüfung von bestimmtem, massenhaft gesammeltem Material dem erforderlichen Grundsatz der Verhältnismäßigkeit entsprachen, da die Gründe für die Abfragen („queries“) im Hinblick auf das zu erreichende Ziel ausreichend detailliert beschrieben waren (396). In seinem Bericht aus dem Jahr 2019 zu den Massenbefugnissen stellte das IPCO ganz klar seine Absicht fest, das massenhafte Abfangen auch weiterhin zu kontrollieren und dabei auch die Selektoren und Suchkriterien im Einzelnen zu überprüfen (397). Darüber hinaus wird es die Wahl der Überwachungsmaßnahmen (gezielt oder massenhaft) sowohl bei der Prüfung von Anträgen auf Anordnungen im Rahmen des „Double-Lock“-Verfahrens als auch bei Inspektionen weiterhin im Einzelfall sorgfältig prüfen (398). Diese weitere Überwachung wird im Zusammenhang mit der in den Erwägungsgründen 281 bis 284 genannten Überwachung dieses Beschlusses durch die Kommission gebührend berücksichtigt.

(231)

Teil 6 Kapitel 2 des IPA 2016 enthält Bestimmungen zu Anordnungen zur massenhaften Beschaffung; durch eine solche Anordnung enthält der Adressat die Befugnis, von einem Telekommunikationsbetreiber die Offenlegung oder die Herausgabe von in seinem Besitz befindlichen Kommunikationsdaten zu verlangen. Des Weiteren erhält die ersuchende Behörde die Befugnis zur Auswahl der Daten für eine weitere Überprüfung. Ähnlich wie die gezielte Speicherung und Beschaffung von Kommunikationsdaten (siehe Erwägungsgrund 199) bezieht sich auch die massenhafte Beschaffung von Kommunikationsdaten in der Regel nicht auf personenbezogene Daten von betroffenen Personen in der EU, die gemäß diesem Beschluss in das Vereinigte Königreich übermittelt werden. Die Verpflichtung zur Offenlegung von Kommunikationsdaten gemäß Teil 6 Kapitel 2 des IPA 2016 bezieht sich auf Daten, die von Telekommunikationsbetreibern im Vereinigten Königreich direkt von den Nutzern eines Telekommunikationsdienstes erhoben werden (399). Diese Art der „kundenseitigen“ Verarbeitung umfasst typischerweise keine Übermittlung auf der Grundlage dieses Beschlusses, d. h. eine Übermittlung von einem Verantwortlichen/Auftragsverarbeiter in der EU an einen Verantwortlichen/Auftragsverarbeiter im Vereinigten Königreich.

(232)

Der Vollständigkeit halber werden jedoch im Folgenden die für die massenhafte Beschaffung von Kommunikationsdaten geltenden Bedingungen und Garantien beschrieben.

(233)

Der IPA 2016 ersetzt die Rechtsvorschrift über die massenhafte Beschaffung von Kommunikationsdaten, die Gegenstand des EuGH-Urteils in der Rechtssache Privacy International war. Die Rechtsvorschrift, um die es in dieser Rechtssache ging, wurden aufgehoben, und die neue Regelung sieht spezifische Bedingungen und Garantien für die Genehmigung einer solchen Maßnahme vor.

(234)

Anders als bei der vorherigen Regelung, gemäß der der Secretary of State die Maßnahme nach freiem Ermessen genehmigen konnte (400), darf er gemäß dem IPA 2016 nur noch dann eine Anordnung ausstellen, wenn die Maßnahme notwendig und verhältnismäßig ist. In der Praxis bedeutet das, dass ein Zusammenhang zwischen dem Datenzugriff und dem verfolgten Ziel bestehen sollte (401). Konkret muss der Secretary of State prüfen, ob ein Zusammenhang zwischen der beantragten Maßnahme und einem oder mehreren in der Anordnungen angegebenen „Einsatzzweck(en)“ besteht (siehe Erwägungsgrund 219). In Bezug auf die Beurteilung der Verhältnismäßigkeit heißt es im einschlägigen Verhaltenskodex, dass „der Secretary of State berücksichtigen muss, ob das mit der Anordnung angestrebte Ziel nach vernünftigem Ermessen auch mit anderen, weniger stark eingreifenden Mitteln erreicht werden könnte (Paragraf 2 Absatz 2 Buchstabe a IPA 2016). So ist beispielsweise zu prüfen, ob die benötigten Informationen durch Ausübung einer weniger stark eingreifenden Befugnis wie der gezielten Beschaffung von Kommunikationsdaten erlangt werden könnten“ (402).

(235)

Bei der Durchführung dieser Beurteilung stützt sich der Secretary of State auf Informationen, die die Leiter der Nachrichtendienste (403) in ihrem Antrag angeben müssen, z. B. die Gründe, warum die Maßnahme aus einem der gesetzlichen Gründe als notwendig erachtet wird, und die Gründe, weshalb das angestrebte Ziel nach vernünftigem Ermessen nicht mit anderen, weniger stark eingreifenden Mitteln erreicht werden kann (404). Ferner bewirken die Einsatzzwecke Einschränkungen dahin gehend, inwieweit die im Rahmen einer Anordnung erlangten Daten für eine Überprüfung ausgewählt werden können (405). Gemäß dem einschlägigen Verhaltenskodex müssen die Einsatzzwecke eine klare Anforderung umfassen und ausreichend detailliert sein, damit sich der Secretary of State davon überzeugen kann, dass die beschafften Daten nur aus bestimmten Gründen für eine Überprüfung ausgewählt werden (406). So muss der Secretary of State vor der Genehmigung der Anordnung sicherstellen, dass besondere Vorkehrungen getroffen wurden, um zu gewährleisten, dass nur das Material für eine Überprüfung ausgewählt wird, das für einen Einsatzzweck und einen gesetzlichen Zweck als notwendig erachtet wurde, und dass die Auswahl unter allen Umständen verhältnismäßig und notwendig ist. Dieses in den Paragrafen 158 und 172 IPA 2016 beschriebene spezifische Erfordernis (407), wonach die für die Zwecke der Auswahl verwendeten Kriterien im Vorfeld auf ihre Notwendigkeit und Verhältnismäßigkeit hin bewertet werden müssen, stellt eine weitere wichtige Neuerung der durch den IPA 2016 eingeführten Regelung im Vergleich zu der zuvor geltenden Regelung dar.

(236)

Zudem wurde mit dem IPA 2016 die Verpflichtung eingeführt, wonach der Secretary of State vor dem Erlass der Anordnung für die massenhafte Beschaffung von Kommunikationsdaten sicherstellen muss, dass spezifische Beschränkungen in Bezug auf die Sicherheit, Speicherung und Offenlegung der gesammelten personenbezogenen Daten gelten (408). Im Falle einer Offenlegung gegenüber dem Ausland gelten die in Erwägungsgrund 227 beschriebenen Garantien für das massenhafte Abfangen und den massenhaften Gerätezugriff auch in diesem Kontext (409). Weitere Beschränkungen sind in den Bestimmungen über die Dauer (410), Verlängerung (411) und Änderung von Massenanordnungen festgelegt (412).

(237)

Wichtig ist, dass der Secretary of State, wie auch bei den anderen Massenbefugnissen, vor dem Erlass der Anordnung die Genehmigung eines Judicial Commissioner einholen muss (413). Dies ist ein zentrales Merkmal der mit dem IPA 2016 eingeführten Regelung.

(238)

Der IPC führt eine Ex-post-Aufsicht über das Verfahren zur Überprüfung des massenhaft beschafften Materials (Kommunikationsdaten) durch (siehe Erwägungsgrund 254). Diesbezüglich wurde mit dem IPA 2016 die Anforderung eingeführt, wonach der Analyst des Nachrichtendienstes, der die Überprüfung durchführt, vor der Auswahl der zu überprüfenden Daten den Grund festhalten muss, warum die vorgeschlagene Überprüfung für einen bestimmten Einsatzzweck notwendig und verhältnismäßig ist (414). In seinem Jahresbericht 2019 stellte das IPCO im Hinblick die Methoden der GCHQ und des MI5 fest, dass „die kritische Rolle von Massenkommunikationsdaten für die verschiedenen Tätigkeiten der GCHQ in den vom IPCO geprüften Fällen klar dargelegt wurde. Wir [das IPCO] haben die Art der angeforderten Daten und die angegebenen nachrichtendienstlichen Erfordernisse geprüft und sind zu der Überzeugung gelangt, dass die Dokumentation belegt, dass die Vorgehensweise der GCHQ notwendig und verhältnismäßig war (415). […] Die vom MI5 dokumentierten Begründungen entsprachen einem guten Standard sowie den Grundsätzen der Notwendigkeit und Verhältnismäßigkeit“ (416).

(239)

Durch Anordnungen für personenbezogene Massendatensätze (Bulk Personal Datasets – im Folgenden „BPD“) (417) erhalten Nachrichtendienste die Befugnis, Datensätzen, die personenbezogene Daten zu einer Reihe von Personen enthalten, zu speichern und zu überprüfen. Laut den Erläuterungen der britischen Behörden stellt die Analyse solcher Datensätze mitunter „die einzige Möglichkeit für die UK Intelligence Community (UKIC) dar, Ermittlungsfortschritte zu erzielen und Terroristen zu identifizieren, wenn nur sehr wenige nachrichtendienstliche Hinweise vorliegen oder wenn Kommunikationsvorgänge absichtlich verheimlicht wurden“ (418). Es gibt zwei Arten von Anordnungen: Anordnungen für personenbezogene Massendatensätze einer Klasse („Class BPD warrants“) (419), die sich auf eine bestimmte Kategorie von Datensätzen beziehen, d. h. Datensätze, die sich in Bezug auf ihren Inhalt und ihre vorgeschlagene Verwendung ähneln und bei denen ähnliche Erwägungen – z. B. in Bezug auf das Ausmaß des Eingriffs sowie die Sensibilität und Verhältnismäßigkeit der Verwendung der Daten – zu berücksichtigen sind, sodass der Secretary of State die Notwendigkeit und Verhältnismäßigkeit der Beschaffung aller Daten innerhalb der betreffenden Klasse auf einmal prüfen kann. Eine solche Anordnung kann sich beispielsweise auf Datensätze von Reisedaten erstrecken, die sich auf ähnliche Reiserouten beziehen (420). Anordnungen für einen spezifischen personenbezogenen Massendatensatz („Specific BPD warrants“) (421) betreffen hingegen einen bestimmten Datensatz, z. B. einen Datensatz mit einer neuartigen oder ungewöhnlichen Art von Informationen, der nicht unter eine bestehende Anordnung für BPD einer Klasse fällt, oder einen Datensatz, der bestimmte Arten von personenbezogenen Daten betrifft (422) und daher zusätzliche Garantien erfordert (423). Gemäß den Bestimmungen des IPA 2016 zu BPD dürfen derartige Datensätze nur dann überprüft und gespeichert werden, wenn dies notwendig und verhältnismäßig ist (424) und im Einklang mit den allgemeinen Verpflichtungen in Bezug auf den Datenschutz steht (425).

(240)

Die Befugnis zum Erlass einer BPD-Anordnung unterliegt dem „Double-Lock“-Verfahren: Die Beurteilung der Notwendigkeit und Verhältnismäßigkeit der Maßnahme erfolgt zunächst durch den Secretary of State und anschließend durch den Judicial Commissioner (426). Dabei muss der Secretary of State Folgendes berücksichtigen: die Art und den Umfang der beantragten Anordnung, die Kategorie der betroffenen Daten und die Anzahl der einzelnen personenbezogenen Massendatensätze, die voraussichtlich unter die jeweilige Art der Anordnung fallen (427). Darüber hinaus müssen gemäß dem Verhaltenskodex für die Speicherung und Verwendung von personenbezogenen Massendatensätzen durch die Nachrichtendienste (Code of Practice on Intelligence Services’ Retention and Use of Bulk Personal Datasets) detaillierte Aufzeichnungen geführt werden, die der Prüfung durch den IPC unterliegen (428). Die Speicherung und Überprüfung von BPD außerhalb des gesetzlichen Rahmens des IPA 2016 stellt eine Straftat dar (429).

(241)

Personenbezogene Daten, die gemäß Teil 4 des DPA 2018 verarbeitet werden, dürfen nicht in einer Weise verarbeitet werden, die mit dem Zweck, für den sie erhoben wurden, unvereinbar ist (430). Gemäß dem DPA 2018 kann der Verantwortliche die Daten für einen anderen Zweck verarbeiten als den, für den die Daten erhoben wurden, wenn dieser Zweck mit dem ursprünglichen Zweck vereinbar ist, wenn der Verantwortliche gesetzlich befugt ist, die Daten zu verarbeiten, und wenn diese Verarbeitung notwendig und verhältnismäßig ist (431). Ferner sind die Leiter der Nachrichtendienste gemäß dem Security Service Act 1989 und dem Intelligence Services Act 1994 verpflichtet, sicherzustellen, dass Informationen nur dann erlangt oder offengelegt werden, wenn dies für die ordnungsgemäße Erfüllung der Aufgaben der Nachrichtendienste oder für andere begrenzte und spezifische Zwecke, die in den entsprechenden Bestimmungen aufgeführt sind (432), erforderlich ist.

(242)

Darüber hinaus enthält Paragraf 109 DPA 2018 besondere Anforderungen in Bezug auf internationale Übermittlungen personenbezogener Daten durch Nachrichtendienste an Drittländer oder internationale Organisationen. Nach diesen Bestimmungen dürfen personenbezogene Daten nur dann in ein Land oder Gebiet außerhalb des Vereinigten Königreichs oder an eine internationale Organisation übermittelt werden, wenn die Übermittlung für die Erfüllung der gesetzlichen Aufgaben des Verantwortlichen oder für andere in Paragraf 2 Absatz 2 Buchstabe a des Security Service Act 1989 oder in Paragraf 2 Absatz 2 Buchstabe a und Paragraf 4 Absatz 2 Buchstabe a des Intelligence Services Act 1994 genannte Zwecke notwendig und verhältnismäßig ist (433). Wichtig ist, dass diese Anforderungen auch in Fällen gelten, in denen die Ausnahme zum Schutz der nationalen Sicherheit nach Paragraf 110 DPA 2018 geltend gemacht wird, da Paragraf 110 DPA 2018 den Paragraf 109 DPA 2018 nicht als eine der Bestimmungen aufführt, die außer Kraft gesetzt werden können, wenn eine Ausnahme von bestimmten Bestimmungen zum Schutz der nationalen Sicherheit erforderlich ist.

(243)

Darüber hinaus unterliegt ein Nachrichtendienst, wie die ICO in ihren Leitlinien zur Verarbeitung durch Nachrichtendienste betont hat, zusätzlich zu den in Teil 4 des DPA 2018 vorgesehenen Garantien beim Austausch von Daten mit einem Nachrichtendienst eines Drittlands auch Garantien, die in anderen für sie geltenden Rechtsvorschriften vorgesehen sind, damit sichergestellt ist, dass personenbezogene Daten rechtmäßig und verantwortungsbewusst erhoben, weitergegeben und verarbeitet werden (434). Beispielsweise enthält der IPA 2016 weitere Garantien in Bezug auf die Übermittlung von Material, das durch gezieltes Abfangen (435), gezielten Gerätezugriff (436), massenhaftes Abfangen (437), massenhafte Beschaffung von Kommunikationsdaten (438) und massenhaften Gerätezugriff (439) gesammelt wurde, an ein Drittland (Offenlegung gegenüber dem Ausland). Insbesondere muss die Behörde, die die Anordnung ausstellt, sicherstellen, dass Vorkehrungen getroffen werden, um zu gewährleisten, dass das Drittland, das die Daten erhält, die Anzahl der Personen, denen gegenüber das Material offengelegt wird, den Umfang, in dem das Material offengelegt wird, und die Anzahl der Kopien, die von dem Material angefertigt werden, auf das für die genehmigten Zwecke gemäß IPA 2016 notwendige Mindestmaß beschränkt (440).

(244)

Der staatliche Zugriff für Zwecke der nationalen Sicherheit unterliegt der Aufsicht durch eine Reihe unterschiedlicher Stellen. Der Information Commissioner beaufsichtigt die Verarbeitung personenbezogener Daten im Lichte des DPA 2018 (weitere Informationen zur Unabhängigkeit, Ernennung, Rolle und zu den Befugnissen des Information Commissioner enthalten die Erwägungsgründe 85 bis 98); für die unabhängige und gerichtliche Aufsicht über die Ausübung von Ermittlungsbefugnissen gemäß dem IPA 2016 ist hingegen der IPC zuständig. Der IPC beaufsichtigt die Ausübung der durch den IPA 2016 gewährten Ermittlungsbefugnisse sowohl durch Strafverfolgungsbehörden als auch durch nationale Sicherheitsbehörden. Auf politischer Ebene wird die Aufsichtsfunktion durch den Nachrichtendienstausschuss (Intelligence Service Committee) des Parlaments wahrgenommen.

(245)

Die Verarbeitung personenbezogener Daten durch die Nachrichtendienste gemäß Teil 4 des DPA 2018 wird durch den Information Commissioner beaufsichtigt (441).

(246)

Die allgemeinen Aufgaben des Information Commissioner im Zusammenhang mit der Verarbeitung personenbezogener Daten durch Nachrichtendienste gemäß Teil 4 des DPA 2018 sind in Anhang 13 des DPA 2018 festgelegt. Zu diesen Aufgaben gehören unter anderem die Überwachung und Durchsetzung der Bestimmungen von Teil 4 des DPA 2018, die Sensibilisierung der Öffentlichkeit, die Beratung des Parlaments, der Regierung und anderer Einrichtungen zu rechtlichen und administrativen Maßnahmen, die Förderung des Bewusstseins der Verantwortlichen und Auftragsverarbeiter für ihre Pflichten, die Aufklärung betroffener Personen über die Ausübung der Rechte betroffener Personen, die Durchführung von Untersuchungen usw.

(247)

Wie im Hinblick auf Teil 3 des DPA 2018 ist der Information Commissioner befugt, Verantwortliche oder Auftragsverarbeiter auf einen mutmaßlichen Verstoß hinzuweisen, Warnungen dahin gehend auszusprechen, dass eine Verarbeitung voraussichtlich gegen Vorschriften verstößt, und Verweise erteilen, wenn der Verstoß bestätigt wird. Ferner kann er Durchsetzungs- und Bußgeldbescheide für Verstöße gegen bestimmte Bestimmungen des Rechtsaktes erteilen (442). Anders als bei anderen Teilen des DPA 2018 kann der Information Commissioner jedoch keinen Bewertungsbescheid an eine nationale Sicherheitsbehörde erteilen (443).

(248)

Darüber hinaus sieht Paragraf 110 DPA 2018 bezüglich der Ausübung bestimmter Befugnisse des Information Commissioner eine Ausnahme vor, wenn dies zum Schutz der nationalen Sicherheit erforderlich ist. Dies betrifft die Befugnis des Information Commissioner, Bescheide (Informations-, Bewertungs-, Durchsetzungs- und Bußgeldbescheide) gemäß dem DPA zu erteilen, die Befugnis zur Einsichtnahme gemäß internationalen Verpflichtungen, die Befugnis zum Zugang zu Räumlichkeiten und zur Durchführung von Kontrollen („powers of entry and inspection“) sowie die Vorschriften über Straftaten (444). Wie in Erwägungsgrund 126 erläutert, gelten diese Ausnahmen nur im Einzelfall und nur dann, wenn sie notwendig und verhältnismäßig sind.

(249)

Das ICO und die britischen Nachrichtendienste haben eine Absichtserklärung (445) unterzeichnet, die den Rahmen für die Zusammenarbeit in einer Reihe von Bereichen bildet, unter anderem in Bezug auf die Meldung von Datenschutzverletzungen und die Bearbeitung von Beschwerden betroffener Personen. Darin ist insbesondere vorgesehen, dass das ICO nach Eingang einer Beschwerde prüft, ob die Inanspruchnahme einer Ausnahme zum Schutz der nationalen Sicherheit angemessen war. Anfragen, die das ICO im Rahmen der Prüfung einzelner Beschwerden stellt, müssen innerhalb von 20 Arbeitstagen vom betreffenden Nachrichtendienst beantwortet werden; wenn es sich um Verschlusssachen handelt, sind hierfür geeignete sichere Kanäle zu nutzen. Von April 2018 bis heute hat das ICO 21 Beschwerden von Einzelpersonen erhalten, die Nachrichtendienste betrafen. Jede Beschwerde wurde geprüft, und das Ergebnis wurde der betroffenen Person mitgeteilt (446).

(250)

Für die Aufsicht über die Ausübung von Ermittlungsbefugnissen ist gemäß Teil 8 des IPA 2016 der Investigatory Powers Commissioner (IPC) zuständig. Unterstützt wird er dabei von anderen Judicial Commissioners, die gemeinsam als Judicial Commissioners bezeichnet werden (447). Das IPA 2016 enthält Garantien zum Schutz der Unabhängigkeit der Judicial Commissioners. Judicial Commissioners müssen ein hohes richterliches Amt bekleiden oder bekleidet haben (448) (d. h. sie müssen einem der höchsten Gerichte angehören oder angehört haben) und sind, wie alle Angehörigen des Justizwesens, von der Regierung unabhängig (449). Nach Paragraf 227 IPA 2016 ernennt der Premierminister den IPC und so viele Judicial Commissioners, wie er es für erforderlich hält. Alle Commissioners, unabhängig davon, ob sie Angehörige des Justizwesens sind oder waren, können nur auf der Grundlage einer gemeinsamen Empfehlung der drei Obersten Richter für England & Wales, Schottland und Nordirland und des Lord Chancellor ernannt werden (450). Der Secretary of State muss dem IPC Personal, Räumlichkeiten, Ausrüstung sowie sonstige Einrichtungen und Dienstleistungen zur Verfügung stellen (451). Die Amtszeit der Judicial Commissioners beträgt drei Jahre; eine Wiederernennung ist möglich (452). Ihre Unabhängigkeit wird zudem noch dadurch abgesichert, dass für die Amtsenthebung eines Judicial Commissioner strenge Voraussetzungen und hohe Hürden gelten; sie erfolgt entweder durch den Premierminister unter den in Paragraf 228 Absatz 5 IPA 2016 erschöpfend aufgeführten besonderen Umständen (z. B. Konkurs oder Inhaftierung), oder wenn beide Kammern des Parlaments einen entsprechenden Beschluss zur Genehmigung der Amtsenthebung erlassen haben (453).

(251)

Der IPC und die Judicial Commissioners werden bei der Erfüllung ihrer Aufgaben durch das Investigatory Powers Commissioner's Office (IPCO) unterstützt. Zum Stab des IPCO zählen ein Team von Inspektoren, interne Rechts- und Technikexperten sowie ein Sachverständigengremium für Beratung in technischen Angelegenheiten. Ebenso wie bei den einzelnen Judicial Commissioners, ist die Unabhängigkeit des IPCO geschützt. Das IPCO ist eine nachgelagerte Behörde („arm's-length body“) des Innenministeriums; das heißt, es erhält Mittel vom Innenministerium, führt seine Aufgaben jedoch unabhängig aus (454).

(252)

Die wesentlichen Aufgaben der Judicial Commissioners sind in Paragraf 229 IPA 2016 (455) festgelegt. Insbesondere besitzen sie weitreichende Befugnisse zur Vorabgenehmigung, die zu den Garantien zählt, die mit dem IPA 2016 in den Rechtsrahmen des Vereinigten Königreichs eingeführt wurden. Anordnungen für gezieltes Abfangen, Gerätezugriffe, personenbezogene Massendatensätze, massenhaftes Abfangen von Kommunikationsdaten sowie Speicherungsanordnungen für Kommunikationsdaten müssen allesamt von den Judicial Commissioners genehmigt werden (456). Ferner muss der IPC die Beschaffung von Kommunikationsdaten für Strafverfolgungszwecke stets im Voraus genehmigen (457). Verweigert ein Commissioner die Genehmigung einer Anordnung, so kann der Secretary of State beim Investigatory Powers Commissioner Berufung einlegen, dessen Entscheidung endgültig ist.

(253)

Der UN-Sonderberichterstatter über das Recht auf Privatheit hat die Einrichtung des Amts der Judicial Commissioners durch den IPA 2016 nachdrücklich begrüßt, da „alle sensibleren oder mit größeren Eingriffen verbundenen Ersuchen zur Durchführung von Überwachungsmaßnahmen sowohl von einem Kabinettsminister als auch vom Investigatory Powers Commissioner's Office genehmigt werden müssen“. Insbesondere betonte er, dass „dieses Element der gerichtlichen Überprüfung [durch die Rolle der IPC], die nunmehr durch ein besser ausgestattetes Team erfahrener Inspektoren und Technologieexperten unterstützt wird, eine der bedeutendsten neuen Garantien darstellt, die durch den IPA eingeführt wurden; durch den IPA wurde ein bislang zersplittertes System von Aufsichtsbehörden abgelöst und die Rolle des Ausschusses für Nachrichtendienste und Sicherheit (Intelligence and Security Committee) des Parlaments und des Gerichts für Ermittlungsbefugnisse (Investigatory Powers Tribunal) ergänzt“ (458).

(254)

Darüber hinaus besitzt der IPC Befugnisse zur Ex-post-Aufsicht (459) über die Wahrnehmung von Ermittlungsbefugnissen gemäß dem IPA 2016, auch im Wege von Überprüfungen, Kontrollen und Untersuchungen, sowie einige andere in einschlägigen Rechtsvorschriften vorgesehene Befugnisse und Aufgaben (460). Die Ergebnisse dieser solchen Ex-post-Aufsicht sind Teil des Berichts, den der IPC jährlich erstellen und dem Premierminister zuleiten muss (461) und der veröffentlicht und dem Parlament vorgelegt werden muss (462). Der Bericht enthält einschlägige Statistiken und Informationen über die Nutzung der Ermittlungsbefugnisse durch Nachrichtendienste und Strafverfolgungsbehörden sowie über die Anwendung der Garantien in Bezug auf Kommunikationsinhalte, die einem Rechtsprivileg unterliegen, vertrauliches journalistisches Material und Quellen für journalistische Informationen; ferner umfasst er Informationen über die getroffenen Vorkehrungen und die Einsatzzwecke, die im Zusammenhang mit Massenanordnungen geltend gemacht werden. Schließlich wird im Jahresbericht des IPCO erläutert, in welchen Bereichen Empfehlungen an die Behörden ergingen und wie diese umgesetzt wurden (463).

(255)

Gemäß Paragraf 231 IPA 2016 muss der IPC, wenn ihm bekannt wird, dass eine Behörde in der Ausübung ihrer Ermittlungsbefugnisse einen maßgeblichen Fehler begangen hat, die von diesem Fehler betroffene Person informieren, wenn er der Auffassung ist, dass der Fehler schwerwiegend ist und die Unterrichtung der Person im öffentlichen Interesse liegt (464). Nach Paragraf 231 IPA 2016 muss der IPC bei der Unterrichtung einer Person über einen Fehler die Person insbesondere über ihre Rechte auf Anrufung des Investigatory Powers Tribunal informieren und die Einzelheiten des Fehlers offenlegen, die nach Auffassung des Commissioner für die Ausübung dieser Rechte erforderlich sind und deren Offenlegung im öffentlichen Interesse liegt (465).

(256)

Die Rechtsgrundlage für die parlamentarische Aufsicht durch den Intelligence and Security Committee (ISC) bildet das Justiz- und Sicherheitsgesetz (Justice and Security Act) von 2013 (im Folgenden „JSA 2013“) (466). Durch das Gesetz wurde der ISC als Ausschuss des britischen Parlaments eingerichtet. Der ISC hat seit 2013 erweiterte Befugnisse erhalten, darunter die Aufsicht über die operativen Tätigkeiten der Nachrichtendienste. Nach Paragraf 2 JSA 2013 hat der ISC die Aufgabe, die Ausgaben, die Verwaltung, die Strategien und die operativen Maßnahmen der nationalen Sicherheitsbehörden zu überwachen. Im JSA 2013 ist festgelegt, dass der ISC Untersuchungen zu operativen Angelegenheiten durchführen kann, wenn diese sich nicht auf laufende Operationen beziehen (467). In der gemeinsamen Absichtserklärung des Premierministers und des ISC (468) ist im Einzelnen dargelegt, welche Elemente zu berücksichtigen sind, wenn geprüft wird, ob eine Tätigkeit Teil einer laufenden Operation ist (469). Der ISC kann zudem vom Premierminister zur Untersuchung laufender Operationen aufgefordert werden und von den Nachrichtendiensten freiwillig bereitgestellte Informationen überprüfen.

(257)

Nach Anhang 1 des JSA 2013 kann der ISC die Leitung jeder der drei Nachrichtendienste zur Offenlegung jeder Art von Informationen auffordern. Der Dienst muss die entsprechenden Informationen vorlegen, sofern der Secretary of State dem nicht widerspricht (470). Den Erläuterungen der britischen Behörden zufolge werden dem ISC in der Praxis nur sehr selten Informationen vorenthalten (471).

(258)

Der ISC setzt sich aus Mitgliedern beider Kammern des Parlaments zusammen, die vom Premierminister nach Konsultation des Oppositionsführers ernannt werden (472). Der ISC muss dem Parlament einen jährlichen Tätigkeitsbericht und weitere Berichte vorlegen, die er für angebracht hält (473). Des Weiteren hat der ISC Anspruch darauf, alle drei Monate die Liste der Einsatzzwecke zu erhalten, anhand derer massenhaft erlangtes Material überprüft wird (474). Der Premierminister übermittelt dem ISC Kopien der Untersuchungs-, Kontroll- und Überprüfungsberichte des Investigatory Powers Commissioner, wenn der Gegenstand der Berichte für die gesetzlichen Zuständigkeiten des Ausschusses relevant ist (475). Schließlich kann der ISC den IPC auffordern, eine Untersuchung durchzuführen, und der IPC muss den ISC darüber unterrichten, ob eine solche Untersuchung durchgeführt wird (476).

(259)

Des Weiteren lieferte der ISC Beiträge zum Entwurf des IPA 2016 und brachte eine Reihe von Änderung ein, die letztendlich in das Gesetz übernommen wurden (477). Insbesondere empfahl der Ausschuss die Stärkung des Schutzes der Privatsphäre durch Einführung einer Reihe von Datenschutzbestimmungen, die für das gesamte Spektrum der Ermittlungsbefugnisse gelten (478). Ferner schlug er Änderungen an den vorgeschlagenen Kapazitäten in Bezug auf Gerätezugriff, personenbezogene Massendatensätze und Kommunikationsdaten vor und forderte weitere spezifische Änderungen, um die Beschränkungen und Garantien für die Nutzung von Ermittlungsbefugnissen zu stärken (479).

(260)

Im Bereich des staatlichen Zugriffs für Zwecke der nationalen Sicherheit müssen die betroffenen Personen die Möglichkeit haben, Rechtsbehelfe vor einem unabhängigen und unparteiischen Gericht einzulegen, um Zugang zu den sie betreffenden personenbezogenen Daten zu erlangen oder die Berichtigung oder Löschung solcher Daten zu erwirken (480). Eine solche gerichtliche Instanz muss insbesondere die Befugnis haben, gegenüber den Nachrichtendiensten verbindliche Entscheidungen zu treffen (481). Wie in den Erwägungsgründen 261 bis 271 erläutert, verfügen betroffenen Personen im Vereinigten Königreich über eine Reihe von Möglichkeiten, um derartige Rechtsbehelfe einzulegen.

(261)

Gemäß Paragraf 165 DPA 2018 hat eine betroffene Person das Recht auf Beschwerde beim Information Commissioner, wenn sie der Ansicht ist, dass im Zusammenhang mit sie betreffenden personenbezogenen Daten ein Verstoß gegen Teil 4 des DPA 2018 vorliegt. Der Information Commissioner hat die Befugnis, die Einhaltung des DPA 2018 durch den Verantwortlichen und den Auftragsverarbeiter zu bewerten und sie aufzufordern, notwendige Maßnahmen zu ergreifen. Darüber hinaus sind natürliche Personen nach Teil 4 des DPA 2018 berechtigt, beim High Court (bzw. beim Court of Session in Schottland) den Erlass einer Anordnung zu beantragen, die den Verantwortlichen verpflichtet, dem Recht auf Auskunft über personenbezogene Daten (482), auf Widerspruch gegen die Verarbeitung (483) und auf Berichtigung oder Löschung (484) nachzukommen.

(262)

Ferner sind natürliche Personen berechtigt, vom Verantwortlichen oder von einem Auftragsverarbeiter Ersatz für einen Schaden zu verlangen, den sie aufgrund eines Verstoßes gegen eine Anforderung von Teil 4 des DPA 2018 erlitten haben (485). Als Schaden gilt sowohl ein finanzieller als auch ein nichtfinanzieller Schaden, wie z. B. seelisches Leid (486).

(263)

Natürliche Personen können bei Verstößen gegen den IPA 2016 vor dem Gericht für Ermittlungsbefugnisse (Investigatory Powers Tribunal) Rechtsbehelfe einlegen.

(264)

Das Investigatory Powers Tribunal wurde durch den RIPA 2000 eingerichtet und ist unabhängig von der Exekutive (487). Gemäß Paragraf 65 RIPA 2000 werden die Mitglieder des Tribunals von Ihrer Majestät für einen Zeitraum von fünf Jahren ernannt. Ein Mitglied des Tribunals kann von Ihrer Majestät nach einer Meinungsäußerung („Address“) (488) beider Kammern des Parlaments seines Amtes enthoben werden (489).

(265)

Nach Paragraf 65 RIPA 2000 ist das Tribunal die zuständige gerichtliche Instanz für Beschwerden von Personen, die durch eine Handlung im Rahmen des IPA 2016 oder des RIPA 2000 oder durch das Verhalten eines Nachrichtendienstes geschädigt wurde (490).

(266)

Möchte eine natürliche Person vor dem Investigatory Powers Tribunal Klage erheben („standing requirement“), so muss sie nach Paragraf 65 RIPA 2000 überzeugt sein (491), dass Handlungen eines Nachrichtendienstes in Bezug auf sie selbst, ihr Eigentum, von ihr übermittelte oder empfangene oder für sie bestimmte Kommunikationsvorgänge oder auf ihre Nutzung eines Postdienstes, Telekommunikationsdienstes oder Telekommunikationssystems stattgefunden haben (492). Ferner muss der Beschwerdeführer Überzeugt sein, dass die Handlungen „unter anfechtbaren Umständen“ („challengeable circumstances“) (493) oder „durch oder im Namen der Nachrichtendienste ausgeführt wurden“ („to have been carried out by or on behalf of the intelligence services“) (494). Da insbesondere dieses Kriterium der „Überzeugung“ („belief“) recht weit ausgelegt worden ist (495), sind die Anforderungen für eine Klageerhebung vor dem Tribunal niedrig.

(267)

Prüft das Investigatory Powers Tribunal eine bei ihm eingegangene Beschwerde, so ist es verpflichtet, zu untersuchen, ob die Personen, gegen die in der Beschwerde Vorwürfe erhoben werden, gegenüber dem Beschwerdeführer tätig geworden sind; ferner muss das Tribunal die Behörde untersuchen, die die Verstöße begangen haben soll, und es muss prüfen, ob die angeblichen Handlungen stattgefunden haben (496). Kommt es vor dem Tribunal zu einem Verfahren, so muss es bei seiner Entscheidungsfindung dieselben Grundsätze anwenden, die ein Gericht bei einer Anfechtungsklage zugrunde legen würde (497). Darüber hinaus sind die Adressaten der Anordnungen oder Bescheide gemäß dem IPA 2016 und jede andere Person, die ein Amt unter der Krone innehat oder bei der Polizei oder dem Police Investigations and Review Commissioner tätig ist, verpflichtet, diesem Tribunal alle Dokumente und Informationen offenzulegen oder zur Verfügung zu stellen, die das Tribunal benötigt, um seine Zuständigkeit ausüben zu können (498).

(268)

Das Investigatory Powers Tribunal muss dem Beschwerdeführer mitteilen, ob zu seinen Gunsten entschieden wurde oder nicht (499). Gemäß Paragraf 67 Absätze 6 und 7 RIPA 2000 ist das Gericht befugt, einstweilige Verfügungen zu erlassen und eine Entschädigung zu gewähren oder andere Beschlüsse zu treffen, die es für angemessen hält. Hierzu zählen unter anderem Beschlüsse zur Aufhebung oder Annullierung einer Anordnung oder einer Genehmigung sowie Beschlüsse zur Vernichtung von Aufzeichnungen über Informationen, die eine Person betreffen und in Ausübung einer durch eine Anordnung, eine Genehmigung oder einen Bescheid übertragenen Befugnis erlangt wurden oder sich anderweitig im Besitz einer Behörde befinden (500). Nach Paragraf 67A RIPA 2000 kann gegen eine Entscheidung des Tribunals Berufung eingelegt werden, sofern das Tribunal oder das zuständige Berufungsgericht seine Erlaubnis erteilt.

(269)

Abschließend sei darauf hingewiesen, dass die Rolle des Investigatory Powers Tribunal auch mehrfach im Rahmen von Klagen vor dem Europäischen Gerichtshof für Menschenrechte erörtert wurde, insbesondere in der Rechtssache Kennedy/the United Kingdom (501) und zuletzt in der Rechtssache Big Brother Watch and others/United Kingdom (502); darin erklärte der Gerichtshof, dass „sich das Investigatory Powers Tribunal als eine robuste Rechtsbehelfsinstanz für jeden erwiesen hat, der den Verdacht hat, dass seine Kommunikation durch Nachrichtendienste abgefangen wird“ (503).

(270)

Wie in den Erwägungsgründen 109 bis 111 erläutert, stehen auch im Bereich der nationalen Sicherheit Rechtsbehelfe nach dem Human Rights Act 1998 und vor dem des Europäischen Gerichtshof für Menschenrechte (504) zur Verfügung. Nach Paragraf 65 Absatz 2 RIPA 2000 besitzt das Investigatory Powers Tribunal die ausschließliche Zuständigkeit für alle auf der Grundlage des Human Rights Act gegen Nachrichtendienste erhobenen Klagen (505). Dem High Court zufolge bedeutet dies, dass „die Frage, ob in einem bestimmten Fall ein Verstoß gegen den Human Rights Act vorliegt, grundsätzlich von einem unabhängigen Gericht gestellt und entschieden werden kann, das Zugang zu allen relevanten Materialien, einschließlich Verschlusssachen, haben kann. […] Wir bedenken in diesem Zusammenhang auch, dass inzwischen auch gegen Entscheidungen des Tribunal selbst bei einem zuständigen Berufungsgericht (in England und Wales wäre das der Court of Appeal) ein Rechtsmittel eingelegt werden kann und dass der Supreme Court unlängst entschieden hat, dass das Tribunal grundsätzlich Gegenstand einer gerichtlichen Überprüfung sein kann: siehe R (Privacy International)/Investigatory Powers Tribunal, [2019] UKSC 22; [2019] 2 WLR 1219“ (506).

(271)

Aufgrund der vorstehenden Ausführungen lässt sich Folgendes festhalten: Der Zugriff britischer Strafverfolgungsbehörden oder nationaler Sicherheitsbehörden auf personenbezogene Daten, die in den Anwendungsbereich des vorliegenden Beschlusses fallen, wird durch Gesetze geregelt, mit denen die Bedingungen für den Zugriff festgelegt werden und sichergestellt wird, dass der Zugriff und die weitere Verwendung der Daten auf das beschränkt sind, was im Hinblick auf das verfolgte Ziel im Bereich der Strafverfolgung oder nationalen Sicherheit notwendig und angemessen ist. Darüber hinaus unterliegt ein solcher Zugriff in den meisten Fällen der vorherigen Genehmigung durch ein Justizorgan – und zwar durch Genehmigung einer allgemeinen Anordnung oder einer Herausgabeanordnung – und in jedem Fall einer unabhängigen Aufsicht. Sobald Behörden Zugriff auf Daten haben, unterliegt deren Verarbeitung, darunter auch der weitere Austausch und die Weiterübermittlung dieser Daten, besonderen Datenschutzgarantien gemäß Teil 3 des DPA 2018 (die den Garantien der Richtlinie (EU) 2016/680 entsprechen) für die Verarbeitung durch Strafverfolgungsbehörden und gemäß Teil 4 des DPA 2018 für die Verarbeitung durch Nachrichtendienste. Schließlich stehen betroffenen Personen in diesem Bereich wirksame verwaltungsrechtliche und gerichtliche Rechtsbehelfe zur Verfügung, einschließlich des Rechts auf Auskunft über ihre Daten oder auf deren Berichtigung oder Löschung.

(272)

Angesichts der Bedeutung solcher Bedingungen, Einschränkungen und Garantien für die Zwecke dieses Beschlusses wird die Kommission die Anwendung und Auslegung der britischen Vorschriften über den Zugang der Regierung zu Daten genau überwachen. Dazu gehören einschlägige Entwicklungen in den Bereichen Gesetzgebung, Regulierung und Rechtsprechung sowie die Tätigkeiten des ICO und anderer Aufsichtsbehörden in diesem Bereich. Besondere Aufmerksamkeit wird auch der Umsetzung einschlägiger Urteile des Europäischen Gerichtshofs für Menschenrechte durch das Vereinigte Königreich gewidmet, einschließlich der Maßnahmen, die in den „Aktionsplänen“ und „Aktionsberichten“ aufgeführt sind, die dem Ministerkomitee im Rahmen der Überwachung der Einhaltung der Urteile des Gerichtshofs vorgelegt werden.

(273)

Die Kommission ist der Ansicht, dass die UK GDPR und der DPA 2018 ein Schutzniveau für aus der Europäischen Union übermittelte personenbezogene Daten gewährleisten, das der Sache nach dem durch die Verordnung (EU) 2016/679 garantierten Schutzniveau gleichwertig ist.

(274)

Darüber hinaus ist die Kommission der Auffassung, dass die Aufsichtsmechanismen und Rechtsbehelfe im Recht des Vereinigten Königreich es insgesamt ermöglichen, Verstöße zu erkennen und in der Praxis zu ahnden und der betroffenen Person Rechtsbehelfe anzubieten, um Auskunft über die sie betreffenden personenbezogenen Daten zu erhalten und schließlich die Berichtigung oder Löschung dieser Daten zu erwirken.

(275)

Schließlich vertritt die Kommission auf der Grundlage der verfügbaren Informationen über die Rechtsordnung des Vereinigten Königreichs die Auffassung, dass jeder Eingriff britischer Behörden in die Grundrechte der Personen, deren personenbezogene Daten aus der Europäischen Union in das Vereinigte Königreich zu Zwecken des öffentlichen Interesses, insbesondere zu Zwecken der Strafverfolgung und der nationalen Sicherheit, übermittelt werden, auf das zur Erreichung des betreffenden rechtmäßigen Ziels unbedingt erforderliche Maß beschränkt ist und dass ein wirksamer Rechtsschutz gegen derartige Eingriffe besteht.

(276)

Daher sollte in Anbetracht der Feststellungen dieses Beschlusses beschlossen werden, dass das Vereinigte Königreich ein angemessenes Schutzniveau im Sinne von Artikel 45 der Verordnung (EU) 2016/679 gemäß seiner Auslegung im Lichte der Charta der Grundrechte der Europäischen Union gewährleistet.

(277)

Diese Schlussfolgerung beruht sowohl auf der einschlägigen innerstaatlichen Regelung als auch auf den internationalen Verpflichtungen des Vereinigten Königreichs, die sich insbesondere durch den Beitritt zur Europäischen Menschenrechtskonvention und die Anerkennung der Gerichtsbarkeit des Europäischen Gerichtshofs für Menschenrechte ergeben. Die kontinuierliche Einhaltung dieser internationalen Verpflichtungen ist daher ein besonders wichtiges Element der Bewertung, auf die sich dieser Beschluss stützt.

(278)

Die Mitgliedstaaten und ihre Organe müssen die notwendigen Maßnahmen treffen, um Rechtsakten der Unionsorgane nachzukommen, da für diese Rechtsakte eine Vermutung der Rechtmäßigkeit gilt, sodass sie Rechtswirkungen entfalten, solange sie nicht auslaufen, zurückgenommen, im Rahmen einer Nichtigkeitsklage für nichtig erklärt oder infolge eines Vorabentscheidungsersuchens oder einer Einrede der Rechtswidrigkeit für ungültig erklärt wurden.

(279)

Daher ist ein nach Artikel 45 Absatz 3 der Verordnung (EU) 2016/679 erlassener Angemessenheitsbeschluss der Kommission für alle Organe der Mitgliedstaaten, an die er gerichtet ist, einschließlich ihrer unabhängigen Aufsichtsbehörden, verbindlich. Insbesondere können während der Geltungsdauer dieses Beschlusses Übermittlungen von einem Verantwortlichen oder Auftragsverarbeiter in der Europäischen Union an Verantwortliche oder Auftragsverarbeiter im Vereinigten Königreich erfolgen, ohne dass eine weitere Genehmigung eingeholt werden muss.

(280)

Es sei daran erinnert, dass gemäß Artikel 58 Absatz 5 der Verordnung (EU) 2016/679 und wie vom Gerichtshof im Urteil in der Rechtssache Schrems erläutert (507) Folgendes gilt: Wenn eine nationale Datenschutzbehörde, auch auf eine Beschwerde hin, die Vereinbarkeit eines Angemessenheitsbeschlusses der Kommission mit den Grundrechten des Einzelnen auf Privatsphäre und Datenschutz infrage stellt, muss das nationale Recht Rechtsbehelfe vorsehen, die es der Datenschutzbehörde ermöglichen, diese Rügen vor einem nationalen Gericht geltend zu machen, das gegebenenfalls ein Vorabentscheidungsverfahren beim Gerichtshof einleiten muss (508).

(281)

Gemäß Artikel 45 Absatz 4 der Verordnung (EU) 2016/679 überwacht die Kommission nach Erlass dieses Beschlusses fortlaufend die einschlägigen Entwicklungen im Vereinigten Königreich, um festzustellen, ob das Vereinigte Königreich weiterhin ein der Sache nach gleichwertiges Schutzniveau gewährleistet. Eine solche Überwachung ist im vorliegenden Fall von besonderer Bedeutung, da das Vereinigte Königreich eine neue Datenschutzregelung erlassen, anwenden und durchsetzen wird, die nicht mehr dem Recht der Europäischen Union unterliegt und sich möglicherweise weiterentwickeln wird. In diesem Zusammenhang gilt die besondere Aufmerksamkeit der praktischen Anwendung der Vorschriften des Vereinigten Königreichs über die Übermittlung personenbezogener Daten an Drittländer und deren möglichen Auswirkungen auf das Schutzniveau für die im Rahmen dieses Beschlusses übermittelten Daten; der Wirksamkeit der Ausübung individueller Rechte, einschließlich einschlägiger rechtlicher und praktischer Entwicklungen in Bezug auf Ausnahmen oder Beschränkungen dieser Rechte (insbesondere im Zusammenhang mit der Aufrechterhaltung einer wirksamen Einwanderungskontrolle); sowie der Einhaltung der Beschränkungen und Garantien in Bezug auf den Zugang der Regierung. Unter anderem wird die Kommission Entwicklungen in der Rechtsprechung sowie die Aufsicht durch das ICO und andere unabhängige Stellen in ihre Überwachung einfließen lassen.

(282)

Um diese Überwachung zu erleichtern, sollten die Behörden des Vereinigten Königreichs die Kommission unverzüglich über jede wesentliche Änderung der Rechtsordnung des Vereinigten Königreichs unterrichten, die sich auf den Rechtsrahmen, der Gegenstand dieses Beschlusses ist, auswirkt, sowie über jede Entwicklung der in diesem Beschluss bewerteten Verfahrensweisen im Zusammenhang mit der Verarbeitung personenbezogener Daten, sowohl was die Verarbeitung personenbezogener Daten durch Verantwortliche und Auftragsverarbeiter im Rahmen der DSGVO des Vereinigten Königreichs als auch die Beschränkungen und Garantien für den Zugang der Behörden zu personenbezogenen Daten anbelangt. Dies sollte auch Entwicklungen in Bezug auf die in Erwägungsgrund 281 genannten Elemente einschließen.

(283)

Damit die Kommission ihre Kontrollfunktion wirksam ausüben kann, sollten die Mitgliedstaaten die Kommission über alle relevanten Maßnahmen der nationalen Datenschutzbehörden informieren, insbesondere über Anfragen oder Beschwerden von betroffenen EU-Bürgern in Bezug auf die Übermittlung personenbezogener Daten aus der Europäischen Union an Verantwortliche oder Auftragsverarbeiter im Vereinigten Königreich. Ferner sollte die Kommission über jeden Hinweis darauf informiert werden, dass die Maßnahmen der Behörden des Vereinigten Königreichs, die für die Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder für die nationale Sicherheit zuständig sind, einschließlich der Aufsichtsbehörden, nicht das erforderliche Schutzniveau gewährleisten.

(284)

Lassen verfügbare Informationen – insbesondere Informationen, die sich aus der Überwachung dieses Beschlusses ergeben oder von den Behörden des Vereinigten Königreichs oder der Mitgliedstaaten zur Verfügung gestellt werden – darauf schließen, dass das vom Vereinigten Königreich gewährleistete Schutzniveau möglicherweise nicht mehr angemessen ist, sollte die Kommission die zuständigen Behörden des Vereinigten Königreichs unverzüglich davon in Kenntnis setzen und sie auffordern, innerhalb einer bestimmten Frist, die drei Monate nicht überschreiten darf, geeignete Maßnahmen zu ergreifen. Dieser Zeitraum kann erforderlichenfalls um einen bestimmten Zeitraum verlängert werden, wobei die Art des Problems und/oder die zu treffenden Maßnahmen zu berücksichtigen sind. Ein solches Verfahren würde beispielsweise in Fällen eingeleitet, in denen Weiterübermittlungen – auch auf der Grundlage neuer, vom Secretary of State erlassener Angemessenheitsvorschriften oder vom Vereinigten Königreich geschlossener internationaler Übereinkünfte – nicht mehr im Rahmen der Garantien erfolgen würden, die die Kontinuität des Schutzes im Sinne des Artikel 44 der Verordnung (EU) 2016/679 gewährleisten.

(285)

Falls die zuständigen Behörden des Vereinigten Königreichs nach Ablauf dieser Frist keine derartigen Maßnahmen ergriffen haben oder nicht auf andere Weise glaubhaft gemacht haben, dass dieser Beschluss weiterhin auf einem angemessenen Schutzniveau beruht, wird die Kommission das Verfahren gemäß Artikel 93 Absatz 2 der Verordnung (EU) 2016/679 einleiten, um diesen Beschluss teilweise oder vollständig auszusetzen oder aufzuheben.

(286)

Alternativ wird die Kommission dieses Verfahren einleiten, um den Beschluss zu ändern, indem sie insbesondere Datenübermittlungen zusätzlichen Bedingungen unterwirft oder den Anwendungsbereich der Angemessenheitsfeststellung auf Datenübermittlungen beschränkt, für die auch weiterhin ein angemessenes Schutzniveau gewährleistet ist.

(287)

In hinreichend begründeten Fällen äußerster Dringlichkeit wird die Kommission von der Möglichkeit Gebrauch machen, nach dem in Artikel 93 Absatz 3 der Verordnung (EU) 2016/679 genannten Verfahren sofort geltende Durchführungsrechtsakte zur Aussetzung, Aufhebung oder Änderung des Beschlusses zu erlassen.

(288)

Die Kommission muss berücksichtigen, dass das Vereinigte Königreich mit dem Ende des im Austrittsabkommen vorgesehenen Übergangszeitraums und dem Außerkrafttreten der Übergangsbestimmung gemäß Artikel 782 des Handels- und Kooperationsabkommens zwischen der EU und dem Vereinigten Königreich eine neue Datenschutzregelung erlassen, anwenden und durchsetzen wird, die nicht mehr der Regelung entsprechen wird, die galt, als das Vereinigte Königreich noch an Unionsrecht gebunden war. Vor diesem Hintergrund können insbesondere Ergänzungen oder Änderungen des in diesem Beschluss bewerteten Datenschutzrahmens vorgenommen werden und andere relevante Entwicklungen stattfinden.

(289)

Daher sollte dieser Beschluss ab seinem Inkrafttreten für einen Zeitraum von vier Jahren gelten.

(290)

Ergibt sich insbesondere aus der Überwachung dieses Beschlusses, dass die Feststellungen zur Angemessenheit des im Vereinigten Königreich gewährleisteten Schutzniveaus weiterhin sachlich und rechtlich gerechtfertigt sind, sollte die Kommission spätestens sechs Monate vor Ablauf der Geltungsdauer dieses Beschlusses das Verfahren zur Änderung dieses Beschlusses einleiten, indem sie seinen zeitlichen Anwendungsbereich grundsätzlich um weitere vier Jahre verlängert. Ein solcher Durchführungsrechtsakt zur Änderung dieses Beschlusses ist nach dem in Artikel 93 Absatz 2 der Verordnung (EU) 2016/679 genannten Verfahren zu erlassen.

(291)

Der Europäische Datenschutzausschuss hat seine Stellungnahme (509) veröffentlicht, der bei der Ausarbeitung dieses Beschlusses Rechnung getragen wurde.

(292)

Die in diesem Beschluss vorgesehenen Maßnahmen entsprechen der Stellungnahme des gemäß Artikel 93 der Verordnung (EU) 2016/679 eingesetzten Ausschusses —