Datenübermittlungen zwischen dem Vereinigten Königreich und der EU wirken weiterhin abgestimmt, aber die Arbeit teilt sich nun auf

Jedes Datenschutzteam hat einen Ordner mit einem Namen wie „internationale Übermittlungen“. Darin liegt die Tabelle, von der alle so tun, als wäre sie für alle Rechtsräume gleich. Im Jahr 2026 wird diese Datei zu einer kleinen Falle. Kennedys Law LLP beschreibt das operative Problem in seinem Artikel zur Anwendung voneinander abweichender UK-EU-Übermittlungsregeln, Tools und Risikobewertungen sehr klar. Für Cloud-Anbieter, KI-Produkte und SaaS-Anbieter geht es weniger um große Theorie als um Versionskontrolle. Die praktische Lektion ist nicht, dass die UK-DSGVO und die EU-DSGVO einander fremd geworden sind. Sie lautet: Ähnlichkeit auf dem Papier kann unterschiedliche Arbeit in der Akte verbergen. Ein Vertriebsteam sieht vielleicht einen Kundenvertrag, einen Support-Workflow und eine Analyse-Pipeline. Datenschutz muss jedoch das Routing, das rechtliche Regime, den Übermittlungsmechanismus und die Nachweisspur sehen.

Die Übermittlungsfrage beginnt jetzt mit dem Routing

Das ICO sagt, sein kurzer Leitfaden zu internationalen Übermittlungen, veröffentlicht am 15. Januar 2026, biete Checklisten, die Organisationen dabei helfen, eine eingeschränkte Übermittlung zu erkennen und durchzuführen. Das ist der richtige Ausgangspunkt, denn viele Compliance-Fehler entstehen, bevor überhaupt jemand zur Klauselbibliothek greift. Die erste operative Frage lautet, ob die Bewegung personenbezogener Daten nach dem anwendbaren Regime eine eingeschränkte Übermittlung ist. Wenn die Antwort ja lautet, muss das Team wissen, welches Regime diese Frage stellt.

In der Praxis bedeutet das: Die Datenlandkarte muss nützlicher sein als ein Diagramm für Prüfer. Sie sollte den Vertrag, die Produktfunktion, den Auftragsverarbeiter oder Unterauftragsverarbeiter und den Ort der relevanten Verarbeitung miteinander verbinden. Der ICO-Leitfaden ist als Einführung gestaltet, nicht als Ersatz für die detaillierte Anleitung. Eine Checkliste als vollständige Compliance-Akte zu behandeln, wäre daher optimistisch. Optimismus ist kein Übermittlungsmechanismus.

Die UK-Akte hat einen neuen Namen für den Test

Das ICO sagt, seine detaillierte Anleitung zum Ausfüllen einer Transfer Risk Assessment, also einer Übermittlungsrisikobewertung, sei zuletzt am 15. Januar 2026 aktualisiert worden. Es sagt außerdem, dass der Inhalt seines früheren Leitfadens zu internationalen Übermittlungen in spezifische detaillierte Leitfäden aufgeteilt wurde, darunter einer zu Übermittlungsrisikobewertungen. Besonders wichtig für Vorlagen: Das ICO sagt, die Anleitung sei aktualisiert worden, um die Sprache zu berücksichtigen, die durch den Data (Use and Access) Act eingeführt wurde. Eine Übermittlungsrisikobewertung wird im britischen Recht nun als „data protection test“, also Datenschutztest, bezeichnet.

Das bedeutet nicht, dass jede frühere Bewertung plötzlich unbrauchbar wird. Es bedeutet aber, dass UK-Akten zeigen sollten, dass die Organisation den UK-Test angewendet hat, mit der aktuellen Terminologie und den passenden Nachweisen. Das ICO sagt, die Anleitung richte sich an Datenschutzbeauftragte und Personen mit konkreten Datenschutzverantwortlichkeiten. In der Sprache der Aufsichtsbehörde heißt das: Überlasst das nicht vollständig dem Einkauf. Ein Anbieterfragebogen kann Fakten sammeln, aber die rechtliche Schlussfolgerung braucht eine verantwortliche Person.

Wo die EU-Copy-Paste-Gewohnheit scheitert

Freshfields sagt, das UK-DSGVO-Regime beschränke Übermittlungen personenbezogener Daten aus dem Vereinigten Königreich heraus und das ICO habe im Januar 2026 lang erwartete Aktualisierungen seiner Anleitung veröffentlicht. Freshfields sagt außerdem, diese Aktualisierungen seien entscheidend für Organisationen, die personenbezogene Daten verarbeiten, die der UK-DSGVO unterliegen. Die Analyse in Teil 2 konzentriert sich auf rechtmäßige eingeschränkte Übermittlungen und wichtige Abweichungen vom entsprechenden EU-Ansatz.

Das reicht, um die bequeme Frage „Sind wir DSGVO-konform?“ in den Ruhestand zu schicken. Die bessere Frage lautet: Konform mit welchem Übermittlungsregime, für welchen Datenfluss? Für Entwickler und Produktteams liegt die nützliche Änderung im Verfahren. Haltet getrennte UK- und EU-Schlussfolgerungen fest, wenn derselbe Produkt-Workflow beide Regime berührt. Aktualisiert Aufnahmeformulare so, dass sie das anwendbare Regime, den genutzten Übermittlungsmechanismus, die verantwortliche Person für die Bewertung und das Datum der geprüften Nachweise erfassen. Wenn ein Anbieter sagt, er begrüße aktualisierte Leitlinien, übersetzt das so: Fragt nach dem tatsächlichen Übermittlungstext, nicht nach der Blog-Zusammenfassung.

Auch die EU-Seite steht nicht still

LexisNexis UK enthält eine MLex-Notiz, wonach Microsoft die Genehmigung erhalten hat, die Verteidigung eines transatlantischen Datenübermittlungsabkommens durch die Europäische Kommission vor dem höchsten Gericht der EU zu unterstützen. Die Notiz sagt, Microsoft habe argumentiert, eine Entscheidung, die solche Übermittlungen stoppe, würde seine rechtliche Stellung verändern. Das erinnert daran, dass sich Annahmen zu EU-Übermittlungen nicht nur durch Leitlinien von Aufsichtsbehörden, sondern auch durch Gerichtsverfahren bewegen können.

Teams, die zwischen Rechtsräumen feststecken, sollten Compliance-Unterlagen so gestalten, dass sie überarbeitet werden können, ohne den Produkt-Workflow neu aufzubauen. Die vernünftige Haltung für 2026 ist langweilig, und genau dort gehört Datenschutzarbeit meistens hin. Kartiert die Daten, identifiziert die eingeschränkte Übermittlung, trennt die UK- und EU-Analyse, wenn beide gelten, und bewahrt genug Nachweise auf, damit jemand anderes die Entscheidung sechs Monate später verstehen kann. Beobachtet weitere ICO-Leitlinien und EU-Verfahren zu Datenübermittlungen, aber wartet nicht auf perfekte Symmetrie. Sie kommt nicht rechtzeitig für eure nächste Anbieterprüfung.