Brexit, Datentransfer und die DSGVO – was Unternehmen jetzt beachten müssen

Offiziell wurde der Brexit am 31. Januar 2020 vollzogen, Großbritannien ist also seit über einem Jahr kein Mitglied der EU mehr. Bis zum 31. Dezember galten noch zahlreiche Übergangsregelungen, die beispielsweise auch den Datentransfer zwischen den Ländern regelten. Für den Datenschutz wurde inzwischen eine weitere Frist vereinbart. Aber auch die läuft bald ab.

Mit dem Austritt Großbritanniens aus der EU traten zahlreiche Übergangslösungen in Kraft, die bis zum 31. Dezember 2020 gültig waren. Davon betroffen war auch der grenzüberschreitende Datenverkehr mit den Ländern der Europäischen Union. Bis Ende vergangenen Jahres wurde das Vereinigte Königreich weiterhin als EU-Staat behandelt. Damit war eine frühzeitige Anpassung der Wirtschaft an neue Datenschutzregelungen nicht nötig: Es galt weiterhin die Datenschutz-Grundverordnung (DSGVO) sowie die nationale Anpassung, der Data Protection Act 2018. Daten konnten damit zwischen Deutschland und Großbritannien problemlos übermittelt werden

Seit dem Ablauf der Übergangsfrist ist Großbritannien nicht mehr Teil des europäischen Binnenmarktes und der Zollunion. Damit gilt es jetzt als sogenanntes Drittland, auch im Sinne der DSGVO (Art. 44 DSGVO). Um Rechtsunsicherheiten vorzubeugen, wurde in den Schlussbestimmungen des Entwurfs eines Handels- und Zusammenarbeitsabkommens zwischen Großbritannien und der EU aber eine neue Übergangsregelung für Datenübermittlungen vorgesehen. Diese Frist gilt bis Ende April und kann um zwei weitere Monate verlängert werden. In diesem Zeitraum wird Großbritannien noch nicht als Drittland betrachtet.

Dieses sogenannte Trade and Cooperation Agreement (TCA) legt die Übergangsregelungen für den Transfer personenbezogener Daten fest. Danach gilt für Daten, die bis zum 31. Dezember 2020 gesammelt wurden, weiterhin die DSGVO. Daten, die nach dem 31. Dezember im Vereinigten Königreich gesammelt werden, müssen sich nach einer neuen, angepassten DSGVO, der UK GDPR richten. Das TCA legt außerdem fest, dass Datentransfers von der EU nach Großbritannien weiterhin möglich sind, so als wäre das Land nach wie vor Mitglied der Europäischen Union.

Der Übergangszeitraum endet also spätestens am 30. Juni 2021. Er endet aber auch dann, wenn die EU bis zu diesem Zeitpunkt einen sogenannten Angemessenheitsbeschluss für das Vereinigte Königreich erlässt (Art. 45 Abs. 3 DSGVO), wie er beispielsweise auch für die Schweiz gilt. Die Übergangsfrist endet allerdings auch, wenn Großbritannien seine Datenschutzgesetze ändern und dadurch das aktuell bestehende Datenschutzniveau gefährdet würde.

Bislang deutet aber wenig darauf hin. Es sieht vielmehr so aus, als würde ein Angemessenheitsbeschluss verabschiedet werden. Dafür spricht, dass Großbritannien bereits damit begonnen hat, die Regelungen der DSGVO in nationales Recht umzusetzen. Sollte es zu keinem Angemessenheitsbeschluss für die britischen Inseln kommen, werden künftig die strengen Vorschriften der DSGVO für die Übermittlung personenbezogener Daten in Drittländer gelten. Nur in Einzelfällen dürfte dann eine Datenübermittlung möglich sein, die auf der Ausnahmeregelung in Artikel 49 DSGVO basiert.

Europäische Unternehmen müssen also Schutzvorkehrungen für den Fall treffen, dass kein Angemessenheitsbeschluss gefasst wird. Sie sollten deshalb ihre Datenflüsse in das Vereinigte Königreich analysieren und eine entsprechende Dokumentation anfertigen. Daneben sollten sie weiterhin in ihrer Datenschutzerklärung auf einen Datentransfer in ein Drittland gesondert hinweisen. 

Perspektive dieser Entwicklung

Nach Einschätzung von Juristen ändert sich damit vorerst nichts, zumindest nicht bis Ende Juni 2021. Dann läuft die Übergangsfrist ab. Die EU-Kommission ist bis zu diesem Zeitpunkt in der Pflicht, eine tragfähige Entscheidung vorzulegen.


Allerdings hat die EU-Kommission am 19.02.2021 in einer offiziellen Pressemitteilung erklärt, dass ein Verfahren zur Annahme von zwei Angemessenheitsbeschlüssen eingeleitet wurde. Aus dieser lässt sich herauslesen, dass personenbezogene Daten im UK im Wesentlichen ein dem Europäischen Datenschutzrecht gleichwertigen Schutz genießen und somit die Voraussetzungen des Art. 45 II DSGVO erfüllt sind.

✔ Daten dokumentieren
Unternehmen sollten jetzt die Daten dokumentieren, die in das Vereinigte Königreich gehen. Darin sollten auch die Garantien und Ausnahmeregelungen aufgeführt sein, auf die man sich bezieht.

✔ Datenschutzerklärung überprüfen
Unternehmen sollten darauf hinweisen, dass ein Datentransfer nach Großbritannien erfolgt. Auch das Verarbeitungsverzeichnis sollte entsprechend angepasst werden. 

✔ Nutzer aufklären
Stellt eine Person ein Auskunftsersuchen, muss sie über die Datenübermittlung in ein Drittland aufgeklärt werden.

✔ Verträge checken
Unternehmen sollten zudem bestehende Verträge, beispielsweise mit Cloud-Anbietern, für die Zeit nach dem Übergangszeitraum absichern.