Großbritannien ist aus der EU ausgetreten. Im Handels- und Zusammenarbeitsabkommen haben Großbritannien und die EU eine neue Übergangsregelung für Datenübermittlungen geschaffen. Danach wird die Übermittlung personenbezogener Daten von der EU in das Vereinigte Königreich für eine weitere Übergangsperiode nicht als Übermittlungen in ein Drittland angesehen.
Diese Frist begann mit dem Inkrafttreten des Abkommens und endet, wenn die EU-Kommission Angemessenheitsentscheidungen nach Art. 45 Abs. 3 DS-GVO und Art. 36 Abs. 3 JI-Richtlinie getroffen hat, spätestens nach vier Monaten. Diese Frist verlängert sich um weitere zwei Monate, falls keine der beiden Seiten widerspricht. Ohne Angemessenheitsbeschluss ist Großbritannien datenschutzrechtlich genauso zu behandeln wie z.B. Russland oder die USA.
Datenübermittlungen in das Vereinigte Königreich sind damit vorerst weiter unter den bisher gültigen Voraussetzungen möglich. Die Wirtschaft hofft auf eine Angemessenheitsentscheidung bis Mitte des Jahres, sicher ist diese aber nicht. Deshalb wird derzeit überall auf die Empfehlungen der Datenschutzaufsichtsbehörden vom 12. Februar 2019 und vom 30. März 2019 hingewiesen.
Betroffen sind alle, die personenbezogene Daten in das Vereinigte Königreich übermitteln, also auch kleine und mittelständische Unternehmen, Vereine, Universitäten usw. Auch die Inanspruchnahme von IT-Dienstleistungen durch britische Unternehmen (z.B. Microsoft Europe mit diversen Cloud-Lösungen) oder eine Auftragsverarbeitung durch ein #EU-Unternehmen für einen Kunden in Großbritannien sind eine Datenübermittlung, die unter Kapitel V DSGVO fällt.
Die Aufsichtsbehörden haben ergänzende Befugnisse bei der Nichteinhaltung von Vorgaben für Datenübermittlungen in Drittländer. Sie können die Datenübermittlung aussetzen und Geldbußen verhängen. Da das Datenschutzniveau in Großbritannien hoch ist, wird davon wahrscheinlich nicht Gebrauch gemacht werden. Es ist aber möglich und damit für den Einzelfall nicht ausgeschlossen.
Unternehmen sollten für alle Fälle darauf vorbereitet sein, die zusätzlichen Vorschriften für die Datenübermittlung in Drittländer zu berücksichtigen. Weitere Infos dazu z. B. beim Landesdatenschutzbeauftragten von RLP