Datenübermittlungen ins Vereinigte Königreich

Rechtslage

Das Vereinigte Königreich (VK) gilt im Sinne der Datenschutzgrundverordnung (DSGVO) als sogenannter Drittstaat.
Die Übermittlung personenbezogener Daten erfordert somit ein Abkommen zwischen der Europäischen Union (EU) und dem Vereinigte Königreich sowie einen Angemessenheitsbeschluss der EU-Kommission im Hinblick auf ein der EU angemessenes Datenschutzniveau.
Zwei solcher Angemessenheitsbeschlüsse sind am 28. Juni 2021 in Kraft getreten: einer im Rahmen der DSGVO, der andere in Bezug auf die Richtlinie zum Datenschutz bei der Strafverfolgung .
Laut Pressemitteilung der EU-Kommission gelte für den Umgang mit personenbezogenen Daten ein Schutzniveau, das dem des EU-Rechts der Sache nach gleichwertig sei. Personenbezogene Daten könnten demnach ungehindert aus der Europäischen Union in das Vereinigte Königreich übermittelt werden.
Die Geltungsdauer der Angemessenheitsbeschlüsse ist auf vier Jahre begrenzt, kann jedoch verlängert werden.
Der Angemessenheitsbeschluss wurde auf Grundlage von Artikel 45 Abs. 3 DS-GVO bis zum 27. Dezember 2025 verlängert. Diese Verlängerung soll der Europäischen Kommission ausreichend Zeit verschaffen, um den kürzlich verabschiedeten britischen Datenschutzrechtsrahmen – den Data (Use and Access) Act 2025 – umfassend zu bewerten.

Was ist bei der Datenübermittlung ins Vereinigte Königreich zu beachten?

Die Datenübermittlung ins Vereinigte Königreich als Nicht-EU-Land sowie die vorhandenen Garantien oder die Ausnahmen, auf die man sich bezieht (derzeit der Angemessenheitsbeschluss der EU-Kommission), sind im internen Verzeichnis der Verarbeitungstätigkeiten zu dokumentieren.
In der Datenschutzerklärung ist über die Datenübermittlung ins Vereinigte Königreich und über die vorhandenen Garantien oder Ausnahmen (derzeit der Angemessenheitsbeschluss der EU-Kommission) zu informieren.
Wenn eine betroffene Person ein Auskunftsersuchen stellt, ist sie auch über die Datenübermittlung ins Drittland zu unterrichten.
Unter die Übermittlung fällt nicht nur das Senden von Daten an den Empfänger, sondern auch die Möglichkeit des Zugriffs (zum Beispiel das Auslesen einer Datenbank).
Zudem bedarf es – wie üblich – stets einer Rechtsgrundlage für die Übermittlung personenbezogener Daten (zum Beispiel die Anbahnung oder Durchführung von Vertragsverhältnissen oder eine Einwilligung gemäß Artikel 6 Absatz 1 Buchstabe a beziehungsweise b DS-GVO).