Sichere Datenübertragung ins Vereinigte Königreich

Angemessenheitsbeschluss verabschiedet für UK

Die Europäische Kommission hat am 28.06.2021 einen Angemessenheitsbeschluss für Datenübertragungen zu Firmen erlassen, die ihren Sitz im Vereinigten Königreich (UK) haben. Nach dem sog. „BREXIT“ war UK zum „Drittland“ geworden. Datenübertragungen zu Auftragsverarbeitern in den UK waren seitdem so zu handhaben, als ob die Daten in unsichere Drittländer übertragen werden.

Der Beschluss ist als 110-seitiges Dokument hier abrufbar. Er erhält 292 Erwägungsgründe und anschließend lediglich 5 Artikel. Der wichtigste (Artikel 1) lautet:

Für die Zwecke des Artikels 45 der Verordnung (EU) 2016/679 gewährleistet das Vereinigte Königreich ein angemessenes Schutzniveau für personenbezogene Daten, die im Rahmen der Verordnung (EU) 2016/679 aus der Europäischen Union an das Vereinigte Königreich übermittelt werden.

Was bedeutet das für deutsche und europäische Firmen?

Die Firmen, die personenbezogene Daten in UK verarbeiten lassen (Auftragsverarbeitung) können sich nun ganz entspannt auf diesen neuen Angemessenheitsbeschluss beziehen. Trotzdem muss mit der UK-Firma ein Auftragsverarbeitungsvertrag (AV-Vertrag) oder die neuen Standardvertragsklauseln (s. Blogbeitrag) abgeschlossen werden. Zusätzliche Maßnahmen im Vertrag (wie z.B. bei US-Anbietern) sind hier nicht erforderlich. Selbstverständlich muss auch in der eigenen Datenschutzerklärung ergänzt werden, dass die Daten zu UK-Anbietern übertragen werden und dass man sich auf den Angemessenheitsbeschluss beruft.

Befristung für 4 Jahre

Der Angemessenheitsbeschluss wurde befristet bis zum 27.06.2025. Bis dahin soll weiterhin überwacht werden, ob das Datenschutzniveau im Vereinigten Königreich sich weiterhin positiv entwickelt. Wenn ja, ist wahrscheinlich, dass der Angemessenheitsbeschluss verlängert wird.

Wenn sich bis Mitte 2025 das Datenschutzniveau im Vereinigten Königreich verschlechtern sollte, könnte es sein, dass der Angemessenheitsbeschluss dann aufgehoben wird. Folge wäre, dass dann alle Daten von dem UK-Anbieter zurückgeholt werden müssen oder es müssen zusätzliche Maßnahmen mit dem UK-Anbieter getroffen werden (ähnlich wie mit einem US-Anbieter).