Ende Dezember einigten sich die EU und das Vereinigte Königreich auf ein Handels- und Zusammenarbeitsabkommen, welches auch eine Übergangsregelung für den Transfer personenbezogener Daten enthält. Alle Daten, die nach dem 31. Dezember 2020 im Vereinigten Königreich gesammelt wurden, müssen sich künftig nach den Vorgaben des sogenannten Data Protection Act 2018 und einer neuen, angepassten Datenschutz-Grundverordnung (DSGVO) richten, der "UK GDPR". 

Dabei handelt es sich um eine weitgehend der hier gültigen DSGVO angepassten Variante, die jedoch ausschließlich für das Vereinigte Königreich gilt. In der EU legt die DSGVO den Rechtsrahmen und die Voraussetzungen fest, unter denen personenbezogene Daten international übertragen werden dürfen. Sie differenziert dabei zwischen sicheren und unsicheren Drittländern. Sichere Drittländer sind solche, deren Datenschutzniveau die Europäische Kommission durch einen Angemessenheitsbeschluss als vergleichbar eingestuft hat. Dazu gehören unter anderem Neuseeland, die Schweiz, Argentinien und Japan.

Übergangszeitraum bis April 2021

Im Handels- und Zusammenarbeitsabkommen haben sich die EU und Großbritannien darauf verständigt, dass das Vereinigte Königreich mit seinem jetzigen Datenschutzstandard vorübergehend nicht als Drittland zu betrachten ist (Teil 7, Artikel FINPROV.10A). Datentransfers aus der EU bedürfen daher derzeit neben den allgemeinen Voraussetzungen, die auch bei Übermittlungen innerhalb der EU gelten, keiner zusätzlichen Rechtfertigung. Diese Übergangsregelung gilt jedoch zunächst nur bis zum 1. April 2021 und verlängert sich, sofern weder die EU noch das Vereinigte Königreich widersprechen, maximal bis zum 1. Juni 2021.

Komplikationen nur ohne Abkommen

Gibt es kein gemeinsames Abkommen, gilt das Vereinigte Königreich spätestens ab diesem Zeitpunkt als unsicheres Drittland. Dies würde den Datentransfer nach Großbritannien - etwa bei der Nutzung von Cloud-Lösungen zur Verwaltung von Arbeitnehmerdaten - erheblich verkomplizieren. Unter anderem müssten dann die sogenannten "Standardvertragsklauseln" abgeschlossen werden, wie Rechtsanwalt Jens Nebel, Datenschutzexperte der Kanzlei Kümmerlein aus Essen, erklärt: "Dabei handelt es sich um spezielle Verträge, die das Datenschutzniveau der EU ins Ausland übertragen sollen." Mitunter fordern die deutschen Datenschutzbehörden auch noch zusätzliche Maßnahmen, wie beispielsweise die Verschlüsselung der Daten. 

Angemessenheitsbeschluss in Arbeit

Allerdings hat die EU-Kommission bereits den Entwurf eines sogenannten Angemessenheitsbeschlusses veröffentlicht. Wenn dieser - was nach Einschätzung von Rechtsanwalt Nebel zu erwarten ist - demnächst verabschiedet wird, gilt das Vereinigte Königreich als "sicheres" Drittland und Datentransfers aus der EU ins Vereinigte Königreich sind wie bisher möglich. 

Für europäische Unternehmen kann sich aufgrund des Austritts allerdings gleichwohl die Notwendigkeit ergeben, einen im Vereinigten Königreich ansässigen Repräsentanten gemäß Artikel 27 UK-GDPR zu bestellen, so Jens Nebel: "Wer seine Leistungen - zum Beispiel über das Internet - auf dem britischen Markt anbietet, unterliegt der UK-GDPR und muss dort einen lokalen Vertreter benennen, der beispielsweise für die britischen Datenschutzbehörden als Ansprechpartner fungiert." 

Das Bundesinnenministerium gibt auf seiner Internetseite einen Überblick über alle Fragen zum Thema "Brexit und Datenschutz".