Einigung zwischen EU und UK: Daten können ungehindert fließen

Sicherer Datenfluss zwischen EU und UK sorgt für Klarheit

Die Fußball-EM brachte im Duell England gegen Deutschland ein klares Ergebnis. Ein mindestens genauso bedeutendes Ereignis wurde im Bereich der Wirtschaftskooperation zwischen Europäischer Union und Vereinigtem Königreich (UK) vor wenigen Tagen bekanntgegeben. Die EU-Kommission nahm einen Angemessenheitsbeschluss im Rahmen der Datenschutzgrundverordnung (DSGVO) an. Im Vereinigten Königreich existiert für die Daten ein Schutzniveau, das dem Niveau gemäß EU-Recht der Sache nach gleichwertig ist, so die EU. Das Vereinigte Königreich ist somit ein datenschutzrechtlich sicheres Drittland. Folge: Persönliche Daten können zwischen der EU und UK künftig ohne zusätzliche Hürden ausgetauscht werden. Der Angemessenheitsbeschluss war aufgrund des EU-Austritts von Großbritannien erforderlich geworden. „Das ist ein guter Tag für Unternehmen diesseits und jenseits des Ärmelkanals. Die Einigung zwischen beiden Wirtschaftsräumen sorgt für Sicherheit in unsicheren Zeiten“, erklärt UIMC-Geschäftsführer Dr. Jörn Voßbein anlässlich der Bekanntgabe der Einigung durch die EU-Kommission.

Seit dem 01. Januar 2021 ist das Vereinigte Königreich nicht mehr Mitglied der EU. Deshalb wird das Land von der EU gemäß DSGVO als sogenanntes Drittland eingestuft. Diese Vorgehensweise soll dazu führen, dass personenbezogene Daten von Unionsbürgern angemessen geschützt werden, obwohl die verarbeitenden Unternehmen nicht den Datenschutzregelungen der DSGVO unterliegen. Letztlich will die EU damit die Gewährleistung eines angemessenen Datenschutzniveaus erreichen. Besonders erstrebenswert sind aus Sicht der EU und der sogenannten Drittländer solche Übereinkünfte, um den Waren-, Handels- und Datenverkehr nicht zu behindern, sondern im Gegenteil Arbeitsplätze durch rechtssichere Rahmensetzungen und ungehinderten Datenverkehr zu sichern. Mit Südkorea gelang eine Übereinkunft im März 2021, aber bisher fehlt noch die formelle Annahme der Einigung durch die EU-Kommission. Zuvor konnten bereits Vereinbarungen unter anderem mit Japan, der Schweiz und Kanada getroffen werden.   

Zentrale Elemente der Angemessenheitsbeschlüsse sind:

• Das Datenschutzsystem des Vereinigten Königreichs basiert weiterhin auf denselben Regeln, die galten, als das Vereinigte Königreich noch Mitgliedstaat der EU war. Das Land hat die Grundsätze, Rechte und Pflichten der DSGVO vollumfänglich in sein aktuelles Rechtssystem übernommen.
• Der Angemessenheitsbeschluss enthält erstmals eine Verfallsklausel, durch die seine Geltungsdauer strikt begrenzt wird: Der Beschluss läuft vier Jahre nach seinem Inkrafttreten aus. Dann wird eine Evaluation vorgenommen, um festzustellen, ob das Vereinigte Königreich weiterhin ein vergleichbares Datenschutzniveau besitzt wie die EU.

Die Vorteile liegen auf der Hand: Datenverarbeitende Unternehmen mit Datentransfers in das Vereinigte Königreich müssen erstmal nichts weiter tun, was auch für Auftragsverarbeiter bzw. Dienstleister wie beispielsweise Cloud-, IT-Dienstleister oder konzern-interne Shared-Service-Center gilt. Wäre es nicht zu einem Angemessenheitsbeschluss gekommen, wäre meist der Abschluss von EU-Standardvertragsklauseln notwendig geworden. „Anders als beim EM-Spiel in Wembley gibt es aufgrund des EU-Angemessenheitsbeschlusses nur Gewinner. Generell sollte der Datentransfer in Drittländer aber nicht zu sorglos erfolgen“, mahnt der erfahrene Datenschutzfachmann Dr. Jörn Voßbein ein hohes Maß an Seriosität bei der Datenverarbeitung an.