Datenübermittlungen ins Vereinigte Königreich

Das Vereinigte Königreich (VK) gilt im Sinne der Datenschutzgrundverordnung (DSGVO) als sogenannter Drittstaat.

Die Übermittlung personenbezogener Daten erfordert somit ein Abkommen zwischen der Europäischen Union (EU) und dem VK sowie einen Angemessenheitsbeschluss der EU-Kommission im Hinblick auf ein der EU angemessenes Datenschutzniveau.

Zwei solcher Angemessenheitsbeschlüsse sind am 28. Juni 2021 in Kraft getreten: einer im Rahmen der DSGVO, der andere in Bezug auf die Richtlinie zum Datenschutz bei der Strafverfolgung .

Laut Pressemitteilung der EU-Kommission gelte für den Umgang mit personenbezogenen Daten ein Schutzniveau, das dem des EU-Rechts der Sache nach gleichwertig sei. Personenbezogene Daten könnten demnach ungehindert aus der Europäischen Union in das Vereinigte Königreich übermittelt werden.

Die Geltungsdauer der Angemessenheitsbeschlüsse ist auf vier Jahre begrenzt, kann jedoch verlängert werden.

Die Datenübermittlung ins VK als Nicht-EU-Land sowie die vorhandenen Garantien oder die Ausnahmen, auf die man sich bezieht (derzeit der Angemessenheitsbeschluss der EU-Kommission), sind im internen Verzeichnis der Verarbeitungstätigkeiten zu dokumentieren. 

In der Datenschutzerklärung ist über die Datenübermittlung ins VK und über die vorhandenen Garantien oder Ausnahmen (derzeit der Angemessenheitsbeschluss der EU-Kommission) zu informieren.

Wenn eine betroffene Person ein Auskunftsersuchen stellt, ist sie auch über die Datenübermittlung ins Drittland zu unterrichten.

Unter die Übermittlung fällt nicht nur das Senden von Daten an den Empfänger, sondern auch die Möglichkeit des Zugriffs (zum Beispiel das Auslesen einer Datenbank).

Zudem bedarf es – wie üblich – stets einer Rechtsgrundlage für die Übermittlung personenbezogener Daten (zum Beispiel die Anbahnung oder Durchführung von Vertragsverhältnissen oder eine Einwilligung gemäß Artikel 6 Absatz 1 Buchstabe a beziehungsweise b DS-GVO).