Verlängerung des Angemessenheitsbeschlusses 2025
Auf Grundlage von Art. 45 Abs. 3 DS-GVO wurde der Beschluss nun verlängert. Dies erfolgte nach einer positiven Stellungnahme des Europäischen Datenschutzausschusses (EDSA) und mit Zustimmung der EU-Mitgliedstaaten. Der geänderte Artikel 4 des Beschlusses (EU) 2021/1772 legt nun den 27. Dezember 2025 als neues Ablaufdatum fest.
Diese Verlängerung soll der Europäischen Kommission ausreichend Zeit verschaffen, um den kürzlich verabschiedeten britischen Datenschutzrechtsrahmen – den Data (Use and Access) Act 2025 – umfassend zu bewerten. Im entsprechenden Durchführungsbeschluss C(2025) 3928 vom 24. Juni 2025 wird noch der Data (Use and Access) Bill genannt, da das Gesetz erst am 19. Juni 2025 durch die Royal Assent offiziell in Kraft trat.
Wesentliche Neuerungen im britischen Datenschutzrecht
Der neue britische Rechtsrahmen bringt signifikante Änderungen mit sich, die das Datenschutzniveau im Vergleich zur DS-GVO in bestimmten Bereichen absenken könnten:
Lockerung der Voraussetzungen für automatisierte Einzelentscheidungen
Entscheidungen, die ohne menschliches Zutun getroffen werden – etwa im Scoring oder bei Kreditvergaben – sollen künftig auch bei Verarbeitung gewöhnlicher personenbezogener Daten leichter zulässig sein. Siehe Explanatory Notes, Clause 80 zum Data (Use and Access) Act 2025 – Einführung der Artikel 22A–22D UK GDPR.
Neuausrichtung der Zweckbindung
Bei der sogenannten „Kompatibilitätsprüfung“ wird künftig nicht mehr zwingend auf den ursprünglichen Zweck der Datenerhebung durch den Erstverantwortlichen abgestellt. Dadurch könnten Daten einfacher für neue Zwecke genutzt werden. Siehe Explanatory Notes, Clause 71 zum Data (Use and Access) Act 2025 – Einführung von Artikel 8A UK GDPR (neue Regeln zur Weiterverarbeitung).
Ausweitung legitimer Interessen als Rechtsgrundlage
Der Kreis zulässiger Interessen wurde durch gesetzlich festgelegte Beispiele (z. B. Direktwerbung, Netzwerksicherheit, konzerninterne Datenweitergabe) erweitert. Dies schafft mehr Spielraum für Unternehmen, wirft aber Fragen zum Schutz personenbezogener Daten auf. Siehe Schedule 4, Subsection 6 Data (Use and Access) Act 2025 – Ergänzung von Artikel 6(1)(ea) UK GDPR.
Stärkere Exekutivbefugnisse
Der britische Minister erhält die Möglichkeit, per Verordnung neue „besondere Kategorien personenbezogener Daten“ zu definieren. Das ist ein Schritt, der die Kontrolle vom Parlament auf die Regierung verlagert. Siehe Data (Use and Access) Act 2025, Section 2 – Delegationsbefugnisse für den Minister.
Neuer Standard für Datenübermittlungen ins Ausland
Das UK führt einen flexibleren Maßstab ein: Internationale Übermittlungen sind zulässig, wenn das Schutzniveau im Drittland „nicht wesentlich niedriger“ (not materially lower) ist – im Gegensatz zum strengeren EU-Kriterium der „im Wesentlichen gleichwertigen“ (essentially equivalent) Schutzvorkehrungen. Siehe Data (Use and Access) Act 2025 – UK Government Factsheet: „UK GDPR and DPA
Bewertung und Kritik
Der Europäische Datenschutzausschuss (EDSA) hatte bereits 2021 in seinen Stellungnahmen 14/2021 (Seite 33 fff.) und 15/2021 (Seite 9 fff.) Bedenken hinsichtlich der Entwicklungen der Rechtslage im Vereinigten Königreich geäußert – insbesondere in Bezug auf die weitreichenden Überwachungsbefugnisse britischer Sicherheitsbehörden sowie die mangelnde institutionelle Unabhängigkeit der Datenschutzaufsicht ICO. Diese Bedenken könnten sich durch das neue Gesetz noch verschärfen.
Die EU verfolgt die Entwicklungen im Vereinigten Königreich aufmerksam und prüft, ob wirtschaftlich motivierte Anpassungen im Datenschutzrecht das bisherige Schutzniveau für personenbezogene Daten verändern.
Praktische Konsequenzen für Unternehmen
Derzeit bleibt der Angemessenheitsbeschluss gültig, was Unternehmen bis zum 27. Dezember 2025 eine gewisse Rechtssicherheit bei der Übermittlung personenbezogener Daten in das Vereinigte Königreich bietet. Für die Zeit danach besteht jedoch noch keine abschließende Planungssicherheit.
Sollte die Europäische Kommission im Rahmen ihrer Neubewertung zu dem Ergebnis kommen, dass das britische Datenschutzniveau nicht länger als angemessen im Sinne der DS-GVO gilt, müssten Unternehmen auf alternative Übermittlungsinstrumente zurückgreifen. Dazu zählen insbesondere:
- Standardvertragsklauseln (SCCs): Dies sind von der EU-Kommission vorgegebene Musterverträge, die zwischen dem Datenexporteur in der EU und dem Datenimporteur im Drittland abgeschlossen werden. Sie verpflichten beide Parteien zur Einhaltung eines bestimmten Datenschutzniveaus. SCCs sind einfach anzuwenden, erfordern aber eine Einzelfallprüfung, insbesondere in Bezug auf das Rechtsumfeld im Drittland (sog, Transfer Impact Assessment).
- Binding Corporate Rules (BCRs): Dabei handelt es sich um konzernweite, verbindliche Datenschutzvorschriften, die internationale Unternehmensgruppen nutzen können, um interne Datenübermittlungen in Drittländer rechtssicher zu gestalten. Diese Regeln müssen dem Schutzniveau der DS-GVO entsprechen und von den Datenschutzbehörden genehmigt werden. Die Einführung ist aufwendig, bietet aber langfristige Flexibilität für global agierende Konzerne.
Der Rückgriff auf diese Instrumente bedeutet für viele Unternehmen zusätzlichen organisatorischen und rechtlichen Aufwand. Auch wenn derzeit ein Angemessenheitsbeschluss für das Vereinigte Königreich gilt, empfiehlt es sich für Unternehmen, zusätzlich Standardvertragsklauseln (SCC) zu vereinbaren. Dies kann als strategische Absicherung dienen, falls der Angemessenheitsbeschluss künftig aufgehoben oder nicht verlängert wird.
Fazit:
Die aktuelle Diskussion zeigt, wie dynamisch und zugleich sensibel das Thema internationaler Datenübermittlungen geworden ist. Die Entwicklungen im Vereinigten Königreich rücken zentrale Fragen in den Fokus – insbesondere nach einem ausgewogenen Verhältnis zwischen wirtschaftlicher Innovationsförderung und dem Schutz personenbezogener Daten. Für Unternehmen ist es daher unerlässlich, die Bewertung des Angemessenheitsbeschlusses durch die EU aufmerksam zu verfolgen und sich frühzeitig auf mögliche Veränderungen vorzubereiten.
