Kiteworks | Your Private Data Network

Secure File Sharing and Governance Platfform

Kostenlos testen ERKUNDEN KITEWORKS
Home > Sicherheits- und Compliance-Blog > Unkategorisiert > Wie Organisationen im Vereinigten Königreich den Datenschutz angesichts der Unsicherheit bei der EU-Angemessenheitsprüfung zukunftssicher gestalten

Wie Organisationen im Vereinigten Königreich den Datenschutz angesichts der Unsicherheit bei der EU-Angemessenheitsprüfung zukunftssicher gestalten

von Marc ten Eikelder updated Februar 19, 2026 DSGVO-Compliance
Lesezeit: 11 Minuten

Britische Unternehmen, die personenbezogene Daten aus der EU verarbeiten, agieren auf Basis von Angemessenheitsbeschlüssen, die Datenübermittlungen aus der EU ohne zusätzliche Schutzmaßnahmen erlauben – diese Beschlüsse enthalten jedoch Sunset-Klauseln und werden regelmäßig überprüft. Die Neubewertung der Europäischen Kommission im Juni 2025 prüft, ob das britische Datenschutzniveau weiterhin im Wesentlichen dem der EU entspricht; Änderungen im britischen Recht, bei der Durchsetzung oder bei Überwachungsbefugnissen können zum Entzug der Angemessenheit führen.

Table of Contents

Besonders betroffen sind Unternehmen, deren Marktzugang in der EU allein auf dem Angemessenheitsbeschluss basiert und die keine technische Alternative haben. Dieser Beitrag beleuchtet die praktischen Auswirkungen der Überprüfung im Juni 2025, warum Standardvertragsklauseln allein bei Wegfall der Angemessenheit nicht ausreichen und wie kundenverwaltete Verschlüsselung einen EU-Datenschutz bietet, der unabhängig vom Ausgang der Überprüfung Bestand hat.

Executive Summary

Kernaussage: Britische Unternehmen, die eine kundenverwaltete Verschlüsselung implementieren, bei der EU-Kunden die Entschlüsselungsschlüssel kontrollieren, erfüllen die EU-Datenschutzanforderungen unter jedem Übertragungsmechanismus – Angemessenheit, Standardvertragsklauseln (SCCs) oder verbindliche Unternehmensregeln (BCRs) – da die technische Architektur den rechtlichen Rahmen für den tatsächlichen Datenschutz irrelevant macht. Dieser Ansatz sichert den EU-Marktzugang unabhängig vom Ergebnis der Angemessenheitsüberprüfung im Juni 2025 ab.

Warum das relevant ist: Ein Entzug der Angemessenheit würde britischen Unternehmen nur 60–90 Tage Zeit geben, alternative Übertragungsmechanismen zu implementieren, bevor EU-Datenflüsse unzulässig werden. Bereits 43 % der EU-Unternehmen fordern von britischen Anbietern kundenverwaltete Verschlüsselung – unabhängig vom aktuellen Angemessenheitsstatus. Unternehmen, die jetzt auf eine souveräne Architektur setzen, erfüllen sowohl die aktuellen Beschaffungsanforderungen als auch die ergänzenden Maßnahmen für SCCs nach Wegfall der Angemessenheit.

5 wichtige Erkenntnisse

  1. EU-Angemessenheitsbeschlüsse sind temporär und an Bedingungen geknüpft und können bei Abweichungen britischer Standards von EU-Anforderungen widerrufen werden. Die Angemessenheitsbeschlüsse der Europäischen Kommission für das Vereinigte Königreich enthalten Sunset-Klauseln und werden regelmäßig überprüft. Änderungen im britischen Datenschutzrecht, bei staatlichen Überwachungspraktiken oder bei der Zusammenarbeit der Aufsichtsbehörden können zum Entzug der Angemessenheit führen und britische Unternehmen sofort daran hindern, personenbezogene EU-Daten ohne zusätzliche Schutzmaßnahmen zu empfangen.
  2. Das Data Protection and Digital Information Bill bringt Änderungen, die die EU-Angemessenheitsbewertung beeinflussen können. Vorgeschlagene Änderungen an der britischen DSGVO – darunter gelockerte Anforderungen an die Interessenabwägung, vereinfachte internationale Übertragungsmechanismen und reduzierte regulatorische Pflichten – könnten als Schwächung des britischen Datenschutzniveaus gewertet werden. Die Europäische Kommission prüft im Rahmen der Überprüfung eigenständig, ob diese Änderungen die wesentliche Gleichwertigkeit mit der EU-DSGVO wahren.
  3. Standardvertragsklauseln bieten einen Rückfallmechanismus, erfordern aber ergänzende technische Maßnahmen gemäß Schrems II. Bei Wegfall der Angemessenheit müssen britische Unternehmen SCCs für EU-Datenübermittlungen einsetzen – laut Schrems II-Leitlinien des EDPB müssen Datenexporteure jedoch prüfen, ob das britische Recht die Wirksamkeit der SCCs beeinträchtigt, und technische Maßnahmen zur Sicherstellung des Datenschutzes implementieren. Vertragliche Schutzmaßnahmen allein reichen nicht aus, wenn keine technische Absicherung gegen staatlichen Zugriff besteht.
  4. EU-Kunden fordern zunehmend technische Datenschutzmaßnahmen, die unabhängig von rechtlichen Übertragungsmechanismen sind. Unternehmen aus Deutschland, Frankreich und den Niederlanden in regulierten Branchen verlangen von britischen Anbietern den Nachweis kundenverwalteter Verschlüsselung, geografischer Datenisolation und technischer Architektur, die staatlichen Zugriff über Landesgrenzen hinweg verhindert – unabhängig vom Angemessenheitsstatus. Das spiegelt die Erwartung nach Schrems II wider, dass technische Maßnahmen rechtliche Rahmen ergänzen müssen.
  5. Kundenverwaltete Verschlüsselungsarchitektur erfüllt Datenschutzanforderungen unter jedem Übertragungsmechanismus. Ob unter Angemessenheit, SCCs oder BCRs – Unternehmen, die kundenverwaltete Verschlüsselung mit EU-kontrollierten Entschlüsselungsschlüsseln einsetzen, erfüllen die technischen Schutzanforderungen, schützen sich vor dem Entzug der Angemessenheit und erfüllen aktuelle EU-Beschaffungsanforderungen.

EU-Angemessenheitsprüfung und Entzugsrisiko verstehen

Die Angemessenheitsbeschlüsse der Europäischen Kommission für das Vereinigte Königreich, erlassen im Juni 2021, erlauben den Fluss personenbezogener Daten aus der EU nach Großbritannien ohne zusätzliche Schutzmaßnahmen. Diese Beschlüsse enthalten Überprüfungsklauseln im Vierjahresrhythmus, die die Kommission verpflichten, das britische Datenschutzniveau zu überwachen und die fortbestehende Gleichwertigkeit mit den EU-Anforderungen zu bewerten.

Artikel 45 DSGVO definiert die Angemessenheitskriterien, die die Überprüfung 2025 auf aktuelle britische Gesetzesänderungen anwendet

Artikel 45 DSGVO legt Angemessenheitskriterien fest, nach denen die Kommission Rechtsstaatlichkeit, Menschenrechte, Datenschutzgesetze, Durchsetzungsmechanismen und internationale Verpflichtungen bewertet. Die Angemessenheitsbeschlüsse für Großbritannien hoben insbesondere Bedenken hinsichtlich des Investigatory Powers Act 2016 hervor und forderten eine Überwachung der britischen Überwachungspraxis und Kontrollmechanismen. Die Überprüfung im Juni 2025 analysiert britische Rechtsentwicklungen seit der Angemessenheit – einschließlich der geplanten Änderungen durch das Data Protection and Digital Information Bill – und ob diese eine wesentliche Abweichung von der EU-DSGVO darstellen.

Der Monitoring-Bericht des EDPB 2024 identifizierte mehrere Abweichungen Großbritanniens, die eine Prüfung durch die Kommission erfordern

Der Monitoring-Bericht des Europäischen Datenschutzausschusses (EDPB) 2024 nannte mehrere Punkte, die eine Überprüfung durch die Kommission rechtfertigen: britische Vorschläge zur Lockerung der Cookie-Einwilligung, Änderungen bei Auskunftsersuchen und Anpassungen der Rahmenbedingungen für internationale Übermittlungen. Der EDPB betonte, dass die Angemessenheit von der Wahrung der wesentlichen Gleichwertigkeit abhängt und jede Schwächung der Schutzmaßnahmen eine Überprüfung auslösen kann. Während die britische Regierung die Änderungen des DPDI Bills als technische Verbesserungen darstellt, nimmt die Kommission eine eigene Bewertung vor – und die Bedenken des EDPB zeigen, dass die Überprüfung kein bloßer Formalakt wird.

Ein Entzug der Angemessenheit gibt britischen Unternehmen 60–90 Tage für alternative Mechanismen

Der Entzug der Angemessenheit erfolgt durch einen Kommissionsbeschluss nach Stellungnahme des EDPB. Der Prozess sieht kurze Übergangsfristen – typischerweise 60–90 Tage – für die Implementierung alternativer Übertragungsmechanismen vor. Britische Unternehmen, die personenbezogene EU-Daten verarbeiten, wären sofort mit operativen Unterbrechungen konfrontiert und müssten rasch SCCs, BCRs oder die Einstellung der Verarbeitung umsetzen. Die Auswirkungen gehen über die rechtliche Compliance hinaus: EU-Kunden in regulierten Branchen verlangen zunehmend technische Datenschutzmaßnahmen unabhängig vom Angemessenheitsstatus – ein Zeichen für die nach Schrems II anerkannte Notwendigkeit technischer Ergänzungen zu rechtlichen Mechanismen.

Eine vollständige Checkliste für DSGVO-Compliance

Jetzt lesen

Wie Schrems II technische Anforderungen über rechtliche Übertragungsmechanismen hinaus schafft

Das Schrems II-Urteil des Europäischen Gerichtshofs hat festgelegt, dass rechtliche Übertragungsmechanismen – ob Angemessenheitsbeschlüsse oder SCCs – nicht ausreichen, wenn staatliche Überwachungsprogramme im Empfängerland einen Zugriff erlauben, der über das notwendige und verhältnismäßige Maß hinausgeht. Diese Argumentation gilt für UK-EU-Übermittlungen unabhängig vom aktuellen Angemessenheitsstatus.

Fortschrittliche EU-Kunden führen bereits unabhängige Bewertungen des britischen Rechtsrahmens durch

Die Empfehlungen des EDPB zu ergänzenden Maßnahmen verlangen von Datenexporteuren, zu prüfen, ob die Gesetze und Praktiken von Drittländern die Wirksamkeit angemessener Schutzmaßnahmen beeinträchtigen. Für britische Unternehmen, die EU-Daten empfangen, umfasst diese Bewertung den Investigatory Powers Act 2016, Möglichkeiten zur Massendatenerfassung und Kontrollmechanismen durch den Investigatory Powers Commissioner. Selbst bei bestehender Angemessenheit fordern deutsche Banken, französische Versicherer und niederländische Konzerne zunehmend von britischen Dienstleistern, dass die technische Architektur einen Zugriff der britischen Regierung auf personenbezogene EU-Daten verhindert – unabhängig davon, was das britische Recht erlaubt. Damit entstehen de facto Anforderungen, die über die rechtlichen Übertragungsmechanismen hinausgehen.

EDPB-Leitlinien unterscheiden zwischen providerverwalteter und kundenverwalteter Verschlüsselung als ergänzende Maßnahmen

Die EDPB-Leitlinien zu ergänzenden Maßnahmen identifizieren Verschlüsselung unter Kundenkontrolle als primäre technische Maßnahme für den Datenschutz. Entscheidend ist die Unterscheidung: Verschlüsselung mit vom Dienstleister verwalteten Schlüsseln bietet nur begrenzten Schutz vor staatlichen Anordnungen, da der Dienstleister zur Herausgabe des Klartexts gezwungen werden kann. Bei kundenverwalteter Verschlüsselung mit exklusiver Schlüsselkontrolle kann der Dienstleister dem Entschlüsselungsbefehl nicht nachkommen, da er keinen Zugriff auf die Daten hat. Diese Unterscheidung entscheidet, ob die Verschlüsselungsarchitektur eines britischen Unternehmens die Schrems II-Anforderungen tatsächlich erfüllt oder nur scheinbar.

Kundenverwaltete Verschlüsselung erfüllt sowohl aktuelle EU-Kundenanforderungen als auch SCC-Anforderungen nach Wegfall der Angemessenheit

Für britische Unternehmen entsteht daraus ein strategischer Handlungsbedarf, der über die Angemessenheits-Compliance hinausgeht. Die Implementierung kundenverwalteter Verschlüsselung, bei der EU-Kunden die Entschlüsselungsschlüssel über Hardware-Sicherheitsmodule kontrollieren, erfüllt sowohl aktuelle Beschaffungsanforderungen als auch potenzielle SCC-Anforderungen nach Wegfall der Angemessenheit. Die Architektur schützt unabhängig davon, ob UK-EU-Übermittlungen unter Angemessenheit, SCCs oder alternativen Mechanismen erfolgen – eine Investition, die alle Angemessenheitsszenarien abdeckt.

Standardvertragsklauseln und Binding Corporate Rules als Alternativen zur Angemessenheit

Fällt die Angemessenheit weg, müssen britische Unternehmen alternative Übertragungsmechanismen einsetzen. SCCs bieten vertragliche Schutzmaßnahmen zwischen Datenexporteuren und -importeuren, während BCRs konzerninterne Übermittlungen für multinationale Unternehmen ermöglichen. Beide Mechanismen unterliegen nach Schrems II einer Prüfung und erfordern ergänzende technische Maßnahmen.

SCCs verlangen von britischen Unternehmen den Nachweis, dass der Investigatory Powers Act vertragliche Pflichten nicht untergräbt

Die modernisierten SCCs der Europäischen Kommission, gültig seit Juni 2021, enthalten Vorgaben, wonach die Parteien prüfen müssen, ob die Gesetze im Empfängerland die vertraglichen Pflichten beeinträchtigen. Britische Unternehmen, die SCCs implementieren, müssen nachweisen, dass der britische Rechtsrahmen – insbesondere der Investigatory Powers Act – die Einhaltung der SCC-Anforderungen an Datenschutz und Sicherheit nicht verhindert. Die EDPB-Leitlinien betonen, dass SCCs allein nicht ausreichen, wenn Drittländer staatlichen Zugriff über EU-Standards hinaus erlauben – ergänzende technische Maßnahmen sind zwingend und kein optionales Add-on.

BCRs unterliegen denselben Prüfungen zum staatlichen Zugriff wie SCCs und erfordern gleichwertige technische Maßnahmen

BCRs sind Alternativen für multinationale Konzerne und etablieren verbindliche interne Datenschutzrichtlinien, die von EU-Aufsichtsbehörden genehmigt werden. Doch auch BCRs werden hinsichtlich staatlicher Zugriffsrisiken geprüft. Britische Konzerne mit EU-Tochtergesellschaften müssen nachweisen, dass technische Maßnahmen den Zugriff der britischen Regierung auf Daten der EU-Tochter verhindern – unabhängig davon, was das britische Recht erlaubt. Kundenverwaltete Verschlüsselung erfüllt diese Anforderung, da britische Dienstleister technisch keinen Zugriff auf Klartextdaten haben – selbst bei rechtlicher Verpflichtung. So wird das Risiko staatlichen Zugriffs unabhängig vom Übertragungsmechanismus neutralisiert.

Beide Mechanismen erfordern EU-Bereitstellungsoptionen, die britischen Personalzugriff auf EU-Daten ausschließen

In der Praxis müssen britische Unternehmen EU-Kunden Bereitstellungsoptionen anbieten, die den Zugriff britischer Mitarbeiter auf EU-Daten verhindern. Dazu gehören Bereitstellungen in EU-Rechenzentren mit kundenverwalteter Verschlüsselung, technische Kontrollen gegen Zugriff britischer Mitarbeiter und geografische Zugriffsbeschränkungen, damit die Datenverarbeitung ausschließlich in der EU unter Kontrolle des EU-Kunden erfolgt. Diese architektonischen Anforderungen gelten für SCCs und BCRs gleichermaßen – Unternehmen, die sie jetzt umsetzen, erfüllen die Anforderungen künftiger Übertragungsmechanismen bereits im Vorfeld.

EU-Beschaffungsanforderungen unabhängig vom Angemessenheitsstatus

EU-Unternehmen, die Dienstleistungen britischer Anbieter beziehen, stellen zunehmend technische Datenschutzanforderungen, die unabhängig von rechtlichen Übertragungsmechanismen gelten. Diese Anforderungen spiegeln die Erwartung nach Schrems II wider, dass die technische Architektur rechtliche Schutzmaßnahmen ergänzt – unabhängig davon, ob die britische Angemessenheit weiterhin besteht.

Deutsche, französische und niederländische Unternehmen verlangen souveräne Architektur als Ausschlusskriterium

Deutsche Finanzinstitute verlangen von britischen Dienstleistern den Nachweis kundenverwalteter Verschlüsselung, Bereitstellung in EU-Rechenzentren und technische Garantien, dass die britische Regierung keinen Zugriff auf deutsche Kundendaten erhält. Französische Behörden fordern von britischen Anbietern eine souveräne Architektur, bei der französische Behörden die Verschlüsselungsschlüssel kontrollieren und die Datenverarbeitung ausschließlich in Frankreich erfolgt. Niederländische Konzerne verlangen von britischen Technologieanbietern private Cloud-Optionen, die grenzüberschreitende Datenflüsse verhindern. Die Sicherheitsfragebögen dieser Kunden enthalten inzwischen binäre Qualifikationskriterien – britische Anbieter, die mit „Nein“ oder unklar antworten, werden vor der kommerziellen Bewertung automatisch ausgeschlossen.

Die Beschaffungsanforderungen betreffen nicht nur Technologieanbieter, sondern auch Beratungsunternehmen

Die Anforderungen gelten nicht nur für Technologieanbieter, sondern auch für Beratungsunternehmen. Britische Wirtschaftsprüfer, Kanzleien und Beratungsfirmen mit EU-Kunden müssen technische Schutzmaßnahmen nachweisen, die sicherstellen, dass EU-Kundendaten vor britischem Regierungszugriff geschützt sind – einschließlich EU-basierter Datenverarbeitung, kundenverwalteter Verschlüsselung und vertraglicher Zusagen, dass britisches Personal ohne ausdrückliche Genehmigung keinen Zugriff auf EU-Kundendaten erhält. Die Architekturentscheidungen bei der Produkt- und Servicegestaltung bestimmen nun direkt die adressierbare Marktgröße in EU-Unternehmenssegmenten.

Kundenverwaltete Verschlüsselungsarchitektur für den UK-EU-Datenschutz

Kundenverwaltete Verschlüsselung bietet eine technische Architektur, die die EU-Datenschutzanforderungen unabhängig davon erfüllt, ob UK-EU-Übermittlungen unter Angemessenheit, SCCs oder alternativen Mechanismen erfolgen. Die Architektur stellt sicher, dass EU-Kunden die alleinige Kontrolle über Entschlüsselungsschlüssel behalten und britische Dienstleister selbst bei staatlichen Anordnungen keinen Zugriff auf Klartextdaten haben.

Von EU-Kunden kontrollierte Schlüssel aus EU-HSMs sind die Basis für Angemessenheits-unabhängigen Schutz

Die Implementierung beginnt mit der Schlüsselerzeugung unter Kontrolle des EU-Kunden. Die Schlüssel werden in Hardware-Sicherheitsmodulen in EU-Rechenzentren oder beim Kunden vor Ort erzeugt. Der EU-Kunde steuert den gesamten Lebenszyklus – Generierung, Speicherung, Rotation und Löschung – ohne Beteiligung des britischen Dienstleisters. Zu keinem Zeitpunkt gelangen Schlüssel auf britische Infrastruktur oder werden britischem Personal zugänglich, sodass keine britische Anordnung zur Entschlüsselung von EU-Kundendaten führen kann.

Verschlüsselung bei der Erfassung stellt sicher, dass britische Infrastruktur nur Chiffretext speichert – unabhängig vom Speicherort

Wenn personenbezogene EU-Daten auf Plattformen britischer Dienstleister gelangen – etwa über sichere E-Mail, Filesharing oder Managed File Transfer – erfolgt die Verschlüsselung sofort mit Schlüsseln aus dem HSM des EU-Kunden. Die verschlüsselten Daten können dann auf britischer Infrastruktur gespeichert werden, da der Anbieter technisch keine Möglichkeit zur Entschlüsselung hat. Das erfüllt die Verschlüsselungsanforderungen aus Artikel 32 DSGVO, die Erwartungen an ergänzende Maßnahmen aus Schrems II und die Beschaffungsanforderungen der EU-Kunden – mit einer einzigen Architektur statt separater Lösungen für jede Anforderung.

Flexible Bereitstellung ermöglicht EU-Kunden die Anpassung an ihre Souveränitätsanforderungen

Flexible Bereitstellungsoptionen erlauben es EU-Kunden, Datenschutzanforderungen und operative Bedürfnisse auszubalancieren. Kunden mit maximalen Souveränitätsanforderungen setzen ausschließlich auf EU-Rechenzentren unter eigener Kontrolle. Kunden, die britische Expertise nutzen und dennoch Datenschutz wahren wollen, kombinieren kundenverwaltete Verschlüsselung mit britisch betriebener Infrastruktur – der Anbieter verarbeitet verschlüsselte Daten, erhält aber keinen Zugriff auf Klartext. Für britische Unternehmen bedeutet diese Flexibilität, dass sie mit derselben souveränen Architektur Kunden entlang des gesamten Souveränitätsspektrums bedienen können, ohne separate Produktvarianten zu pflegen.

Implementierungsüberlegungen für britische Unternehmen

Britische Unternehmen, die kundenverwaltete Verschlüsselung zum Schutz des EU-Markts implementieren, müssen Entscheidungen zu Schlüsselmanagement, Bereitstellungsmodellen, operativen Abläufen und kommerzieller Positionierung treffen.

Die Schlüsselmanagement-Architektur muss sicherstellen, dass Schlüssel nie britische Infrastruktur passieren oder britischem Personal zugänglich werden

Die Schlüsselmanagement-Architektur muss die exklusiven Kontrollanforderungen der EU-Kunden erfüllen. Optionen sind die Integration mit HSMs beim Kunden vor Ort, die Nutzung von EU-basierten HSM-Diensten etwa von Thales oder Utimaco oder gehärtete virtuelle Appliances, die Kunden das Schlüsselmanagement ohne eigene HSM-Infrastruktur ermöglichen. Entscheidend bei allen Optionen: Schlüssel dürfen nie auf britische Infrastruktur gelangen oder britischem Personal zugänglich werden – der technische Schutz, nicht die rechtliche Zusicherung, ist die Basis für den EU-Datenschutz.

Operative Prozesse müssen britischen Personalzugriff ausschließen, ohne die Servicequalität zu beeinträchtigen

Operative Prozesse müssen so angepasst werden, dass britisches Personal keinen Zugriff auf EU-Kundendaten erhält, die Servicequalität aber erhalten bleibt. Dazu gehören kundenkontrollierte Freigabeworkflows für Support-Aktivitäten, Notfallprozesse („Break-Glass“-Verfahren) mit EU-Kundenautorisierung und Diagnosetools, die auf verschlüsselten Daten arbeiten, ohne Klartext zu lesen. Support-Teams benötigen Schulungen, um EU-Kunden ohne Zugriff auf geschützte Daten zu unterstützen – eine Fähigkeit, die sich im Vertrieb als Differenzierungsmerkmal erweist, wenn EU-Beschaffungsteams nach Supportzugriff fragen.

Die kommerzielle Positionierung sollte Angemessenheitsunabhängigkeit als Hauptnutzen herausstellen

Die kommerzielle Positionierung sollte die Unabhängigkeit von der Angemessenheit betonen. Britische Unternehmen, die EU-Kunden ansprechen, können sich mit souveräner Architektur differenzieren, die Schutz unabhängig von der Entwicklung des UK-EU-Rechtsrahmens bietet. Das spricht EU-Unternehmen an, die langfristige Partnerschaften ohne geopolitische oder regulatorische Unsicherheiten suchen – und ist ein nachhaltiger Wettbewerbsvorteil, da Angemessenheit widerrufen werden kann, technische Architektur jedoch nicht.

Wie Kiteworks britische Unternehmen bei der Absicherung des EU-Datenschutzes unterstützt

Britische Unternehmen, die jetzt kundenverwaltete Verschlüsselung implementieren, erfüllen sowohl die aktuellen Beschaffungsanforderungen der EU-Kunden als auch die ergänzenden Maßnahmen für SCCs nach Wegfall der Angemessenheit – ohne ihre Architektur bei negativem Ausgang der Überprüfung im Juni 2025 neu aufbauen zu müssen. Das 60–90-tägige Übergangsfenster nach Entzug der Angemessenheit reicht nicht aus, um eine souveräne Architektur von Grund auf zu entwerfen, zu implementieren und zu verifizieren; wer wartet, geht ein operatives Risiko ein, das proaktive Umsetzung vollständig eliminiert.

Kiteworks bietet britischen Unternehmen eine kundenverwaltete Verschlüsselungsarchitektur, die die EU-Datenschutzanforderungen unabhängig vom Angemessenheitsstatus erfüllt. Die Plattform nutzt vom Kunden kontrollierte Verschlüsselungsschlüssel, die nie die Infrastruktur des EU-Kunden verlassen – selbst wenn Kiteworks einer britischen Anordnung unterliegt, besteht keine technische Möglichkeit, auf EU-Kundendaten zuzugreifen.

Die Plattform unterstützt flexible Bereitstellungen, darunter Installation im EU-Rechenzentrum, Private Cloud in EU-Einrichtungen unter Kundenkontrolle und gehärtete virtuelle Appliances, die Souveränitätsvorteile mit geringerer operativer Komplexität verbinden. Britische Unternehmen können EU-Kunden Bereitstellungsoptionen anbieten, die deren Datenschutzanforderungen und Risikotoleranz entsprechen und so die Beschaffungsanforderungen nach souveräner Architektur erfüllen.

Kiteworks integriert sichere E-Mail, Filesharing, Managed File Transfer und Web-Formulare in eine einheitliche Architektur, die britischen Unternehmen das Management von EU-Kundendaten über souveräne Plattformen ermöglicht. Diese Integration vereinfacht die Umsetzung kundenverwalteter Schlüssel und bietet ein zentrales Audit-Logging, das die DSGVO-Anforderungen an die Protokollierung nach Artikel 30 erfüllt.

Für britische Unternehmen, die SCCs als Alternative zur Angemessenheit einsetzen, erfüllt die Plattformarchitektur die ergänzenden Maßnahmen des EDPB. Kundenverwaltete Verschlüsselung adressiert die Schrems II-Bedenken hinsichtlich staatlichen Zugriffs, während die flexible Bereitstellung eine geografische Steuerung der Datenverarbeitung ermöglicht, sodass EU-Daten ausschließlich innerhalb der EU unter Kontrolle des EU-Kunden verbleiben.

Erfahren Sie mehr darüber, wie Kiteworks britische Unternehmen unterstützt, den EU-Datenschutz zukunftssicher gegen Unsicherheiten der Angemessenheitsüberprüfung zu machen – vereinbaren Sie jetzt eine individuelle Demo.

Häufig gestellte Fragen

Die Kommission bewertet britische Rechtsentwicklungen wie das Data Protection and Digital Information Bill, Überwachungsbefugnisse nach dem Investigatory Powers Act, Unabhängigkeit und Wirksamkeit des Information Commissioner’s Office, Zusammenarbeit mit EU-Behörden und britische Rahmen für internationale Datenübermittlungen. Ein Entzug der Angemessenheit kann erfolgen, wenn Gesetzesänderungen das Datenschutzniveau schwächen, die staatliche Überwachung unzureichend kontrolliert wird, die regulatorische Unabhängigkeit sinkt oder die Zusammenarbeit bei der Durchsetzung mangelhaft ist. Die Monitoring-Berichte des EDPB, die Abweichungen Großbritanniens von EU-Standards hervorheben, erhöhen das Risiko eines Entzugs.

Angemessenheitsbeschlüsse erlauben Datenübermittlungen ohne zusätzliche Schutzmaßnahmen, während SCCs vertragliche Verpflichtungen zwischen Datenexporteur und -importeur zu Sicherheitsmaßnahmen, Verarbeitungsbeschränkungen, Benachrichtigungspflichten bei staatlichen Datenanfragen (soweit rechtlich zulässig) und ergänzenden Maßnahmen im Hinblick auf Drittlandsgesetze vorsehen. Nach Schrems II müssen britische Unternehmen prüfen, ob britisches Recht die Wirksamkeit der SCCs beeinträchtigt, und technische Maßnahmen wie kundenverwaltete Verschlüsselung implementieren, um den Datenschutz unabhängig von staatlichen Überwachungsbefugnissen zu gewährleisten – Pflichten, die unter Angemessenheit nicht bestehen, aber bei deren Wegfall sofort greifen.

Implementieren Sie kundenverwaltete Verschlüsselung, bei der EU-Kunden die Entschlüsselungsschlüssel über HSMs in EU-Rechenzentren oder beim Kunden vor Ort kontrollieren. Bieten Sie EU-Bereitstellungsoptionen an, die eine Datenverarbeitung ausschließlich in der EU unter Kundenkontrolle ermöglichen. Schließen Sie den Zugriff britischen Personals auf Klartextdaten durch kundenkontrollierte Freigabeworkflows und verschlüsselte Diagnosetools aus. Dokumentieren Sie die technische Architektur so, dass britische Dienstleister selbst bei staatlichen Anordnungen keinen Zugriff auf EU-Kundendaten haben – so erfüllen Sie sowohl aktuelle Beschaffungsanforderungen als auch SCC-Anforderungen nach Wegfall der Angemessenheit ohne separate architektonische Lösungen.

Stellen Sie detaillierte technische Unterlagen bereit, die die kundenverwaltete Verschlüsselungsarchitektur, Bereitstellungstopologien mit EU-Rechenzentren, Schlüsselmanagementprozesse mit exklusiver Kundenschlüsselkontrolle und Betriebsabläufe ohne Zugriff britischen Personals auf EU-Kundendaten belegen. Fügen Sie Architekturdiagramme, Zugriffsmatrix und vertragliche Zusagen bei, damit EU-Kunden verifizieren können, dass britische Anbieter technisch keinen Zugriff auf Klartextdaten haben. Betonen Sie, dass der Schutz unabhängig vom Angemessenheitsstatus oder Übertragungsmechanismus gewährleistet ist – die Antwort bleibt also korrekt, egal wie die Überprüfung 2025 ausgeht.

Vereinbaren Sie kundenverwaltete Verschlüsselung mit exklusiver Kundenschlüsselkontrolle, Bereitstellungsoptionen für die Verarbeitung in EU-Rechenzentren, Einschränkungen für den Zugriff britischen Personals auf EU-Kundendaten, Benachrichtigungspflichten bei Änderungen des Angemessenheitsstatus, Unterstützung bei Datenrückführung auf Kundenwunsch und technische Dokumentation zur Erfüllung von DSGVO-Artikel 32 und ergänzenden Maßnahmen aus Schrems II. Verweisen Sie auf SCCs als alternativen Übertragungsmechanismus für den Fall des Wegfalls der Angemessenheit – mit einer technischen Architektur, die die ergänzenden SCC-Maßnahmen erfüllt, sodass der richtige rechtliche Mechanismus automatisch greift, ohne Neuverhandlung bei Entzug der Angemessenheit.

Weitere Ressourcen 

  • Blog Post  
    Datenhoheit: Best Practice oder regulatorische Pflicht?
  • eBook  
    Datenhoheit und DSGVO
  • Blog Post  
    Diese Fallstricke bei der Datenhoheit vermeiden
  • Blog Post  
    Best Practices für Datenhoheit
  • Blog Post  
    Datenhoheit und DSGVO [Datensicherheit verstehen]

    •  

Jetzt loslegen.

Es ist einfach, mit Kiteworks die gesetzliche Vorgaben einzuhalten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sicher sind, wie sie vertrauliche Daten zwischen Personen, Maschinen und Systemen austauschen. Beginnen Sie noch heute.

DEMO ANSCHAUEN

Table of Contents

Table of Content
Teilen
Twittern
Teilen
Explore Kiteworks