Endlich Angemessenheitsbeschluss: UK ist ein sicheres Drittland

rotes Hexagon mit einem weißen Vorhandschloss in der Mitte IT-SECURITY,

Johanna Hametner

IT-Consultant Information Security

E-Mail schreiben

Wie bereits berichtet, gab es diverse Überlegungen wie eine Übermittlung von personenbezogene Daten in das Vereinigte Königreich nach dem Brexit datenschutzkonform erfolgen kann.

Wie in unserem vorhergehenden Artikel erklärt, war das Vereinigte Königreich seit dem 01.01. 2021 nicht mehr Mitglied der EU und stellte somit ein Drittland nach Artikel 44 DSGVO dar. Zur Sicherstellung eines angemessenen Datenschutzniveaus wurde im Brexit-Abkommen eine Übergangsregelung vereinbart, durch welche das UK für vier Monate als sicher galt. Diese Frist wurde im April anschließend nochmals um zwei Monate verlängert, da noch kein Angemessenheitsbeschluss vorlag.

Am 28.06.2021 (beinahe 7 Monate nach dem Brexit) war es endlich soweit und die Europäische Kommission hat einen Angemessenheitsbeschluss für das Vereinigte Königreich erlassen, wodurch es als sicheres Drittland gilt. 

Anforderungen an einen Angemessenheitsbeschluss

Ein von der EU-Kommission erlassener Angemessenheitsbeschluss nach Artikel 45 DSGVO stellt für Verantwortliche, die unmittelbar oder mittelbar personenbezogene ins Drittland exportieren, die Vorgehensweise mit dem geringsten Aufwand dar. Die europäische Kommission kann nach umfangreicher Prüfung beschließen, dass das Datenschutzniveau im Drittstaat für einen Datentransfer aus dem Geltungsbereich der DSGVO angemessen hoch ist. Es ermöglicht also einen ungehinderten Datenverkehr von der EU in ein sicheres Drittland. 

Doch wie kommt ein solcher Angemessenheitsbeschluss zustande? Dies regelt Artikel 2 DSGVO. So sind insbesondere

  • die Rechtsstaatlichkeit, die Achtung der Menschenrechte und die Grundfreiheiten,
  • die Regelungen zur Weiterübermittlung von Daten an andere Drittländer,
  • das Vorhandensein unabhängiger Aufsichtsbehörden sowie
  • vom Drittstaat eingegangene Verpflichtungen in Bezug auf personenbezogene Daten

 
zu prüfen. Da UK bereits für lange Zeit Mitglied der EU war und die DSGVO somit auch galt, liegt es auf der Hand, dass der britische Datenschutz der DSGVO in vielen Punkten ähnlich ist.

Vorteile UK-Angemessenheitsbeschluss

Die Empfehlungen des EDSA fordern vor allem eine umfassende Dokumentationspflicht. Da es nun einen Angemessenheitsbeschluss gibt, bleibt dem Verantwortlichen Folgendes erspart:
Verantwortliche in der EU müssen vor dem Datenexport in ein Drittland ohne Angemessenheitsbeschluss prüfen, ob es nicht geeignete Anbieter innerhalb der EU (und ohne Datenexport in ein Drittland) gibt.
Sind solche Anbieter vorhanden, muss begründet werden warum diese Anbieter nicht gewählt werden. Zudem ist eine Risikobeurteilung, welche die Daten, den Umfang, den Zweck, die Betroffenenrechte, die Rechtslage im Drittland und den voraussichtlichen Schutz der personenbezogenen Daten miteinschließt verpflichtend.
Zusätzlich müssen die geplanten Maßnahmen (sowohl vertragliche wie auch technische und organisatorische) bei einer Übermittlung in ein unsicheres Drittland dokumentiert werden. Als adäquate Maßnahmen gelten insbesondere die Pseudonymisierung sowie eine sichere Verschlüsselung.

Zusammenfassend erleichtert der Angemessenheitsbeschluss die Zusammenarbeit und verringert den Aufwand für Datenschützer im Vergleich zu einer Übermittlung in einem nicht sicheren Drittland. Nicht zu vergessen ist jedoch, dass die datenschutzrechtliche Lage im Vereinigten Königreich und der EU ähnlich ist, aber nicht vollkommen übereinstimmt. So sind noch einige Herausforderungen offen, welche einer Untersuchung bedürfen. 
 
Weitere Drittländer mit Angemessenheitsbeschlüsse können Sie hier nachlesen: aktuelle Liste gültiger Angemessenheitsbeschlüsse