England ist am 31. Dezember 2020 aus der Europäischen Union ausgetreten. Da die EU nach langen Verhandlungen ein Handels- und Zusammenarbeitsabkommen mit dem Vereinigten Königreich schließen konnte, ist der befürchtete „harte" Brexit zum Glück ausgeblieben.

Anders als das Markenrecht wurde das Datenschutzrecht in dem Austrittsabkommen jedoch nur mit einer Übergangsregelung bedacht. Nach dieser wird für einen Zeitraum von vier Monaten die Weitergabe personenbezogener Daten von der EU in das Vereinigte Königreich nicht als Übermittlung in ein Drittland angesehen. Den Zeitraum soll die EU-Kommission dafür nutzen, eine Angemessenheitsentscheidung nach Art. 45 Abs. 3 DSGVO zu fassen, die nach Ablauf der Übergangsfrist als Rechtsgrundlage für Datenübermittlungen nach UK dienen kann. Dank dieser Übergangslösung können zumindest bis Mai 2021 personenbezogene Daten wie gewohnt in das vereinigte Königreich übermittelt werden.

Angesicht der knappen Zeit ist nicht sicher, ob die Kommission den Angemessenheitsbeschluss fristgerecht erlassen wird, auch wenn dies natürlich angestrebt wird. Hinzu kommt, dass Bedenken bestehen, ob in England das für einen Angemessenheitsbeschluss notwendige gleichwertige Datenschutzniveau herrscht. So haben die britischen Behörden unter anderem aufgrund des „Investigatory Powers Act" von 2016 weitreichende Befugnisse und können etwa auf elektronische Überwachungsmittel zugreifen. Darüber hinaus sind die britischen Geheimdienste eng im Rahmen des „Five Eyes"–Netzes mit den amerikanischen Überwachungsbehörden verbunden. Es sind also durchaus Parallelen zu der Datenübermittlung in die USA zu erkennen, für die der EuGH den als „Privacy-Shield" bezeichneten Angemessenheitsbeschluss als unwirksam erklärt hat.

Unabhängig davon, wann die Kommission einen Angemessenheitsbeschluss erlässt und ob dieser einer Überprüfung durch den EuGH standhalten muss, sollten Sie bereits jetzt Ihr Datenschutzkonzept in einigen Punkten anpassen, wenn Sie personenbezogene Daten in das Vereinigte Königreich übermitteln. Gut zusammengefasst ist dies in den Empfehlungen des Landesbeauftragten für den Datenschutz von Rheinland-Pfalz:

• In Ihren Datenschutzhinweisen sollten Sie gemäß Art. 13 Abs. 1 lit. f) DSGVO nach der Übergangsphase über die Datenübermittlung nach Großbritannien als Drittland zu informieren. Sobald ein Angemessenheitsbeschluss vorliegt, ist auf diesen gem. Art 13 Abs. 1 lit. f) DSGVO zu verweisen.
  
  
• Im Verarbeitungsverzeichnis sind Datenübermittlungen in das vereinigte Königreich gemäß Art. 30 Abs. 1 lit. d) und lit. e) DSGVO bzw. Art. 30 Abs. 2 lit. c) DSGVO als Drittlandübermittlungen aufzuführen und die entsprechenden Angaben zu machen.
  
  
• Bei einer Auskunftserteilung nach Art. 15 Abs. 1 lit. c, Abs. 2 DSGVO müssen Sie die betroffene Person auch über die erfolgten Datenübermittlungen in Drittländer unterrichten.

Herausfordernder wird es, wenn die Kommission scheitert, bis Ende April 2021 einen Angemessenheitsbeschluss zu erlassen. Dann ist die Ausgangslage identisch zu den Datenübermittlungen in die USA und der Datentransfer müsste beispielsweise über die Standardvertragsklauseln legitimiert werden. Hier ist derzeit umstritten, ob zusätzliche Schutzmaßnahmen zu ergreifen sind oder ob – hierfür mehren sich die Stimmen – der Datentransfer in die USA und nach England alternativ durch eine Einwilligung der Betroffenen gem. Art. 49 Abs. 1 lit. a) DSGVO gerechtfertigt werden kann. Es bleibt also spannend für jeden, der geschäftsmäßig personenbezogene Daten in die USA oder das Vereinigte Königreich übermittelt – sei es in der direkten Zusammenarbeit mit Vertragspartnern oder wegen der Nutzung von Softwarelösungen von Anbietern aus diesen Ländern.