Die Übergangsphase für den Austritt Großbritanniens aus der Europäischen Union wird nicht verlängert und endet damit am 31. Dezember 2020. Von der nach dem Austrittsabkommen möglichen einvernehmlichen Verlängerung der Übergangsphase wurde kein Gebrauch gemacht. Wir gehen davon aus, dass bis zum 31. Dezember 2020 auch kein oder nur ein sehr eingeschränktes Freihandelsabkommen vorliegen wird ‑ damit würde es zu einem „No Deal Brexit“ kommen.
Europäische und britische Unternehmen aller Branchen und Größenordnungen werden vor große Herausforderungen gestellt. Im datenschutzrechtlichen Bereich müssen Unternehmen zügig Vorkehrungen treffen, damit auch nach dem Ende der Übergangsphase ab dem 1. Januar 2021 Datentransfers zwischen der EU und Großbritannien möglich bleiben.
Mit dem 31. Dezember 2020 wird das EU-Recht (mit einigen Ausnahmen) vollständig in das nationale britische Recht übernommen. Dies gilt auch für die DSGVO, die unter Ausschluss einiger Artikel zur Zusammenarbeit mit anderen europäischen Behörden und unter Anpassung zur britischen Situation wortwörtlich ins nationale Recht übernommen wird („UK-GDPR“). Vorerst sind daher keine inhaltlichen Änderungen im Datenschutzrecht ersichtlich.
Allerdings ist Großbritannien ab 31. Dezember 2020 aus europäischer Sicht als Drittland zu behandeln. Danach dürfen personenbezogene Daten nach Großbritannien nur dann übermittelt werden, wenn für die Übermittlung ein angemessenes Datenschutzniveau sichergestellt ist, wie in den Artikeln 44 ff. DSGVO festgelegt ist. Grundsätzlich wird von den Beteiligten ein „Angemessenheitsbeschluss“ angestrebt, der Datenübermittlungen aus der EU an Großbritannien nach Maßgabe der Art. 45 DSGVO grundsätzlich erlauben würde. Die Fassung eines solchen Angemessenheitsbeschlusses vorm Ende der Übergangsphase ist jedoch keineswegs gewiss. Zum einen stehen andere Länder (z.B. Südkorea) seit langem an, die mit einer zeitlichen Bevorzugung Großbritanniens höchst unzufrieden wären. Zum anderen besteht trotz fast identischer datenschutzrechtlicher Rechtslage die realistische Möglichkeit, dass ein Angemessenheitsbeschluss (zumindest vorübergehend) nicht kommt. Die weitreichenden Überwachungsgesetze – insbesondere das Investigatory Powers Act 2016 – und die großen Befugnisse der Geheimdienste in Großbritannien sorgen für erhebliche Bedenken für den entsprechenden Angemessenheitsbeschluss.
Aus diesem Grund sollten sich Verantwortliche innerhalb der EU auf den Brexit ohne schnellen Angemessenheitsbeschluss vorbereiten. Sie sollten sicherstellen, dass Datenübermittlungen nur mit geeigneten Garantien erfolgen. Soweit bis Ende des Jahres kein Angemessenheitsbeschluss vorliegt, empfiehlt sich für den Datentransfer über den Kanal der Abschluss der von der EU-Kommission veröffentlichten Standardvertragsklauseln mit den Datenempfängern in Großbritannien.
Darüber hinaus besteht zusätzlich Anpassungsbedarf sowohl bei den Dokumentationspflichten (z.B. Aktualisierung der Datenschutzerklärung und des Verzeichnisses von Verarbeitungstätigkeiten) als auch bei internen Organisationsfragen (z.B. doppelte Meldung von Datenschutzvorfällen, soweit europäische und britische Betroffene davon betroffen werden).
Verantwortliche sollten sich mit der Umsetzung dieser Maßnahmen bald befassen, um diese noch vor Jahreswechsel umzusetzen. Ab Anfang nächsten Jahres drohen aufsichtsrechtliche Maßnahmen.