Seit dem Austritt des Vereinigten Königreichs aus der EU am 01. Januar 2021 ist es nicht mehr Teil des EU-Binnenmarktes und auch kein Mitglied der Zollunion mehr. Aus datenschutzrechtlicher Betrachtung gilt es Fallstricke zu beachten, wenn eine Datenübermittlung in das Vereinigte Königreich stattfindet. Denn mit dem Austritt aus der EU gilt das Vereinigte Königreich nicht nur faktisch als Drittland.
Aus datenschutzrechtlicher Sicht sind Übertragungen von personenbezogenen Daten in ein Drittland problematisch und sehen besondere Regelungen vor. Gemäß der DSGVO dürfen personenbezogene Daten nur dann außerhalb der EU übermittelt werden, wenn im Zielland ein adäquates Datenschutzniveau besteht (Art. 44 DSGVO). Manche Drittstaaten genießen durch einen sogenannten Angemessenheitsbeschluss der europäischen Kommission ein angemessenes bzw. adäquates Datenschutzniveau. In diesen Ländern ist die Übermittlung von personenbezogenen Daten auch ohne geeignete Garantien (Art. 46 DSGVO) möglich. Dazu gehören u.a. Andorra, Argentinien, Israel oder Japan. Ein Angemessenheitsbeschluss für das Vereinigte Königreich besteht bislang jedoch nicht.
Quasi in letzter Sekunde haben sich die EU und das Vereinigte Königreich auf einen Brexit-Deal geeinigt. In dieser Vereinbarung, Handels- und Kooperationsabkommen zwischen der Europäischen Union und der Europäischen Atomgemeinschaft sowie dem Vereinigten Königreich (Brexit-Abkommen), ist eine Aussetzung der Drittlandseigenschaft für das Vereinigte Königreich beschlossen worden (Kapitel: Article FINPROV.10A). In den Statuten des Brexit-Abkommens ist geregelt, dass Datenübermittlungen in das Vereinigte Königreich aus der EU und dem EWR nicht wie Übermittlungen in ein Drittland anzusehen sind. Dies gilt bis zur Erteilung eines Angemessenheitsbeschlusses, jedoch bis spätestens zum 01. Mai 2021. Sollte bis dahin kein Angemessenheitsbeschluss ergangen sein, gibt es eine im Abkommen vereinbarte automatische Verlängerung der ausgesetzten Drittlandseigenschaft bis zum 01. Juli 2021. Dies findet jedoch nur dann Anwendung, sofern keine der Parteien widerspricht. Wenn kein Angemessenheitsbeschluss bis spätestens 01. Juli 2021 ergangen ist, gilt das Vereinigte Königreich als Drittstaat.
Das Vereinigte Königreich wird ebenfalls zum Drittstaat im Sinne der DSGVO, wenn eine der Vertragsparteien der automatischen Verlängerung widerspricht. Diese Möglichkeit steht sowohl dem Vereinigten Königreich als auch der EU jederzeit offen. Das hätte zur Folge, dass Datenschutz-Garantien nach Art. 46 DSGVO erforderlich werden.
Wenn die Europäische Kommission keinen Angemessenheitsbeschluss erlässt und das Vereinigte Königreich folglich ab spätestens 01. Juli 2021 ein Drittland wird, sind besondere Hürden vorhanden. Problematisch ist dann, dass das Vereinigte Königreich ähnliche geheimdienstliche Aktivitäten ausübt, wie es beispielsweise in den USA der Fall ist. Die Befugnisse der Sicherheitsbehörden waren bislang unproblematisch, da die DSGVO im Vereinigten Königreich galt und ein angemessenes Datenschutzniveau gegeben war. Zudem hat die DSGVO Befugnisse von Sicherheitsbehörden gar nicht limitiert. Die Konsequenz für die Vereinigten Staaten als Drittland aus Gründen der geheimdienstlichen Befugnisse war, dass das EU-U.S. Privacy Shield durch das Schrems-II-Urteil unwirksam wurde und die Datenübermittlungen in die USA nicht mehr ohne geeignete Garantien (beispielsweise Standardvertragsklauseln inklusive Rechtsbehelfe für die betroffenen Personen) möglich ist. Eine Nutzung von Standardvertragsklauseln allein schafft keine Abhilfe mehr. Die gleiche Problematik würde auch beim Vereinigten Königreich gegeben sein.
Zusammengefasst bedeutet das, dass zum jetzigen Zeitpunkt noch keine langfristige Lösung dargestellt werden kann. Es besteht die Möglichkeit, dass die EU-Kommission bis zum 01. Mai 2021 oder allerspätestens bis zum 01. Juli 2021 einen Angemessenheitsbeschluss erlässt. Das hätte zur Folge, dass das Vereinigte Königreich zwar ein Drittland im Sinne der DSGVO wäre, gleichzeitig würde es jedoch aufgrund des Beschlusses dem Datenschutzniveau der DSGVO genügen. Sollte es keinen Angemessenheitsbeschluss geben, dann müssten Standardvertragsklauseln inklusive geeigneter Garantien für einen der DSGVO entsprechenden Datenschutz oder verbindliche Datenschutzregeln (Binding Corporate Rules) abgeschlossen werden. Eine weitere Möglichkeit wäre sich auf erforderliche Datentransfers zu beschränken, die für die betroffene Person erkennbar und für diese alternativlos sind. Nichtzuletzt kommen für die Datenübermittlungen auch Einwilligungen der betroffenen Personen in Betracht sowie weitere Ausnahmen, die durch Art. 49 DSGVO geregelt, jedoch meistens eher selten qualifiziert sind.