Nach Großbritanniens Austritt aus der EU stellt sich häufig folgende Frage: Wie wird die Übermittlung von personenbezogenen Daten nach dem Brexit datenschutzkonform gestaltet?
Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) informiert Unternehmen zur aktuellen Rechtslage mit zwei möglichen Szenarien.
Das erste Szenarium wäre der geregelte Austritt, auch Deal-Brexit genannt. In diesem Fall würde die Datenschutz-Grundverordnung (DSGVO) nach den Vorgaben des vorliegenden Entwurfs eines Austrittsabkommens zwischen der EU und dem Vereinigten Königreichs Großbritannien und Nordirland (VK) weiterhin bestehen bleiben. Das Abkommen legt einen Übertragungszeitraum vom 30. März 2019 bis Ende 2020 fest (Art. 126). Die Übertragungszeit kann um zwei Jahre einmalig vor dem 1. Juli 2020 verlängert werden (Art. 132). In dieser Zeit gelten die EU-Rechte, also auch die DSGVO. Somit wäre das Land weiterhin ein Mitglied der EU und kein Drittland im Sinne der DSGVO. Somit dürfen personenbezogene Daten bislang unter denselben Voraussetzungen wie bisher in das VK übermittelt werden.
Der ungeregelte Austritt („No-Deal-Brexit“) stellt das zweite Szenarium dar. Hier wird das VK von der DSGVO als Drittland angesehen. Für die Übermittlung personenbezogener Daten an Partner im VK, müssen ab dem 30. März 2019, die Datenübermittlungen mit den besonderen Maßnahmen nach Kapitel V DS-GVO absichert werden. Die DSK verweist an der Stelle nachdrücklich auf die vom Europäischen Datenschutzausschuss (EDSA) veröffentliche Information, die besonders bei datenübermittelnden Stellen zu berücksichtigen ist.