EU-Kommission will UK-Angemessenheitsbeschluss verlängern

27. März 2025

Aufgrund eines Angemessenheitsbeschlusses können bislang personenbezogene Daten aus der EU ohne zusätzliche Schutzmaßnahmen ins Vereinigte Königreich übermittelt werden. Dieser Angemessenheitsbeschluss droht allerdings am 27.06.2025 auszulaufen, sofern er nicht erneuert wird. Jüngste Reformen des britischen Datenschutzrechts sowie die zunehmenden Kompetenzen britischer Geheimdienste könnten diese Verlängerung jedoch gefährden. Hierauf weist auch ein vom europäischen Parlament am 07.03.2025 veröffentlichtes Dokument hin. Sollten die Datenschutzstandards im Vereinigten Königreich aus Sicht der EU nicht mehr als “wesentlich gleichwertig” gelten, könnte sich die EU-Kommission gegen die Bestätigung des Angemessenheitsbeschlusses entscheiden. Zumindest kurzfristig plant die EU-Kommission jedoch laut eines am 18.03.2025 veröffentlichen Entwurfs, den UK-Angemessenheitsbeschluss zu verlängern.

Der Angemessenheitsbeschluss

Nach der Datenschutzgrundverordnung (DSGVO) ist die Übermittlung personenbezogener Daten in Drittstaaten nur zulässig, wenn die EU-Kommission eine Angemessenheitsentscheidung getroffen hat, alternative Schutzmechanismen zum Einsatz kommen oder die Bestimmungen von Art. 49 DSGVO greifen. Unternehmen profitieren in der Regel vom Bestehen einer Angemessenheitsentscheidung, da diese den administrativen Aufwand reduziert und Rechtssicherheit schafft. Alternativen wie Standardvertragsklauseln bedeuten für Unternehmen regelmäßig aufwendige Risikoprüfung und bieten meist keine absolute Sicherheit.

Bisherige Rechtslage für den Datenverkehr mit Großbritannien

Nach Austritt Großbritanniens aus der EU galt der Staat grundsätzlich als Drittland. Damit wäre eigentlich ein freier Datenverkehr, wie er innerhalb der EU möglich ist, nach europäischen Datenschutzrecht nicht mehr gestattet gewesen. Infolgedessen hat die EU-Kommission am 28.06.2021 einen Angemessenheitsbeschluss genehmigt. Hierin stellt sie fest, dass das Vereinigte Königreicht im Wesentlichen mit der DSGVO vergleichbare Datenschutzstandards hat. Dies ermöglicht, dass – abgesehen von einigen wenigen Ausnahmen – personenbezogenen Daten wie zuvor frei zwischen dem Vereinigten Königreich und den EU-Mitgliedstaaten ausgetauscht werden können.

Entwicklungen im britischen Datenschutzrecht

Der Angemessenheitsbeschluss bezieht sich zur Bewertung unteranderem auf die UK-GDPR. Diese überträgt die europäische DSGVO zu großen Teilen in britisches Datenschutzrecht. Aufgrund der weitgehenden Übereinstimmung der beiden Regelwerke lag es nahe, ein im wesentlichen vergleichbares Datenschutzniveau anzunehmen. Bereits damals zeichnete es sich allerdings schon ab, dass das Vereinigte Königreich darauf abzielt, durch eine Anpassung der UK-GDPR mehr Flexibilität im Datenschutzrecht bezüglich der nationalen Wirtschaft und sonstiger lokaler Gegebenheiten zu erreichen. Insbesondere soll eine Reform zu Wirtschaftswachstum und einer modernen digitalen Regierung führen sowie eine (rechts-)sichere Einführung neuer Technologien ermöglichen.

In diesem Zusammenhang wurde im März 2023 der Vorschlag für die Data Protection and Digital Information Bill (Bill No. 2) mit einigen wesentlichen Abweichungen vorgestellt, allerdings nicht verabschiedet. Im Rahmen des Regierungswechsels folgte ein neuer Entwurf über eine Data Use and Access (DUA) Bill im Oktober 2024.

Bedenken des Europäischen Parlaments

Schon vor Erlass des Angemessenheitsbeschlusses 2021 hatte das Europäische Parlament verschiedene Bedenken geäußert. In ihrer aktuellen Mitteilung konzentriert sich das EU-parlament nun vor allem auf die Novellierung des Investigatory Powers Act von 2016 sowie die DUA Bill.

DUA Bill

Kritiker würden befürchten, dass die DUA Bill den Einfluss der Regierung auf Datenschutzentscheidungen erhöht und Transparenzanforderungen – insbesondere im Bereich von künstlicher Intelligenz – reduziert. Besonders umstritten sei die Möglichkeiten, automatisierte Entscheidungen ohne ausreichende Schutzmechanismen zu treffen und staatliche Eingriffe in die Datenverarbeitung zu erleichtern. Insgesamt ergebe sich auch eine Verringerung der Verantwortlichkeit des Zugriffs auf Daten zu öffentlichen Zwecken – etwa durch Strafverfolgungsbehörden.

Investigatory Powers Act

Der Investigatory Powers (Amendment) Act von 2024 zielt darauf ab, britische Geheimdienste besser für digitale Bedrohungen zu wappnen. Besonders besorgniserregend sei die Einführung einer neuen Kategorie von personenbezogenen Daten, bei denen der erwartete Privatsphärebezug besonders gering sei. Diese sollen die Geheimdienste dann ohne gerichtliche Einzelprüfung speichern dürfen. Insofern soll nur eine Prüfung der Datenkategorie erfolgen. Telekommunikationsunternehmen könnten weiterhin verpflichtet werden, geplante Service- oder Sicherheitsänderungen vorab mit der Regierung abzustimmen, was den Einsatz stärkerer Verschlüsselung erschweren könnte.

Folgen für Unternehmen und Datenschutz

Sollte die Europäische Kommission zu dem Schluss kommen, dass das Vereinigte Königreich kein angemessenes Datenschutzniveau mehr bietet, würde der Datentransfer aus der EU ab Ende Juli deutlich komplizierter. Unternehmen müssten auf Standardvertragsklauseln zurückgreifen und zusätzliche Sicherheitsmaßnahmen implementieren, was Kosten und Rechtsunsicherheit mit sich bringen kann.

Eine Studie aus dem Jahr 2020 schätzte, dass britische Unternehmen in einem solchen Szenario mit Mehrkosten zwischen 1 und 1,6 Milliarden Pfund rechnen müssten. In Bezug auf Bill No. 2 berechnete die damaligen britischen Regierung Compliance-Kosten von 410 Millionen Pfund sowie jährliche Verluste im Exportgeschäft von bis zu 420 Millionen Pfund. Eine für zehn Jahre beschlossene Angemessenheitsentscheidung würde hingegen einen Wert von etwa 2 Milliarden Pfund haben.

Verlängerung des Angemessenheitsbeschlusses

Nun plant die EU-Kommission laut eines am 18.03.2025 veröffentlichen Entwurfs, den UK-Angemessenheitsbeschluss zu verlängern. Darin weisen sie auf den Änderungsvorschlag durch die DUA Bill hin. Damit die EU-Kommission ausreichend Zeit hat, um die Änderungen im britischen Datenschutzrecht zu bewerten, möchte sie den Angemessenheitsbeschluss bis zum 27.12.2025 aufrechterhalten.

Fazit

Die langfristige Erneuerung des Datenschutzabkommens mit Großbritannien steht auf der Kippe. Zumindest kurzfristig plant die EU-Kommission jedoch den UK-Angemessenheitsbeschluss zu verlängern. Bis zum Ablauf dieser Frist muss die EU-Kommission nun prüfen, ob das Vereinigte Königreich weiterhin auch mit geändertem Datenschutzrecht ein mit der EU vergleichbares Datenschutzniveau gewährleistet. Sollten die britischen Reformen als unzureichend eingestuft werden, droht Unternehmen eine erhebliche Mehrbelastung durch zusätzliche Datenschutzmaßnahmen. Die kommenden Monate werden zeigen, in welche Richtung sich diese Debatte entwickelt.

Kategorien: Angemessenheitsbeschluss · Datenschutz International · DSGVO · Europäische Kommission · Europäisches Parlament · Internationaler Datenschutz · Spionage