Bisher gilt in Großbritannien die europäische Datenschutz-Grundverordnung (DSGVO). Während die frühere Premierministerin Theresa May betonte, dass die Regelungen auch nach dem Brexit beibehalten würden, kündigte ihr Nachfolger im Amt, Boris Johnson, bereits drei Tage nach dem Brexit am 31.Januar 2020 an, die DSGVO abzuschaffen und "eigene und unabhängige Regeln" zu entwickeln, wobei "hohe Standards beibehalten" werden sollen.

Aus europäischer Perspektive wird Großbritannien mit Ablauf des Übergangszeitraums am 31. Dezember 2020 im Sinne der DSGVO als Drittland behandelt werden. Ein Datenaustausch wie bisher, also ohne weiteren Schutz, wäre dann auf der Grundlage von Abkommen nur unter zwei Bedingungen möglich: Großbritannien behält das Niveau seiner Datenschutzstandards auf EU-Ebene und die Europäische Kommission erkennt dies in einem Angemessenheitsbeschluss unter der DSGVO wie auch unter der JI-Richtlinie für den Bereich Polizei und Justiz an.

Mitte März brachte die britische Regierung denn auch schon einige $(https://www.gov.uk/government/publications/explanatory-framework-for-adequacy-discussions:Vorschläge|blank)$, die den Angemessenheitsbeschluss auf europäischer Ebene in Gang bringen soll. Zwar basieren die gesetzlichen Regelungen auf europäischen Prinzipien, doch zu den Knackpunkten gehören die britischen Überwachungsgesetze, die von europäischen Gerichten bereits wiederholt als Verstoß gegen die europäischen Datenschutzgesetze bewertet wurden. Derzeit wird der britische Investigatory Powers Act (IPA), bekannt auch als "Snooper's Charter", vor dem Gerichtshof der Europäischen Union wegen seiner Massenüberwachung angefochten.

Ohne Angemessenheitsbeschluss droht erheblicher Klärungsaufwand

Der Bundesdatenschutzbeauftragte Ulrich Kelber stellte gegenüber heise online klar, was ohne einen Angemessenheitsbeschluss gesehen würde: "Verantwortliche, die personenbezogene Daten an Partner in Großbritannien übermitteln wollen, müssten dann ihre Datentransfers mit den besonderen Maßnahmen nach Kapitel V der DSGVO absichern. Die Situation entspräche dann dem vor dem Abschluss des Austrittsabkommen diskutierten No-Deal-Brexit-Szenario." Für diesen Fall haben die Datenschutzkonferenz von Bund und Ländern sowie der Europäische Datenschutzausschuss bereits Handreichungen veröffentlicht.

Demnach müssten Unternehmen und Behörden alle Datentransfers selbst rechtlich klären. Zu den Transferinstrumenten gehören beispielsweise die vom Europäischen Datenschutzausschuss und der EU-Kommission abgesegneten Standarddatenschutzklauseln beziehungsweise Ad-Hoc-Datenschutzklauseln. Daneben können Unternehmen für den unternehmensinternen Datenaustausch Datenschutzvorschriften festlegen. Überdies könnten branchenspezifische Verhaltenskodizes oder Zertifizierungsmechanismen theoretisch angemessene Garantien bieten. Ausnahmsweise könnte eine "ausdrückliche" Einwilligung des Betroffenen genügen, wenn der Datenverarbeiter ein "zwingend berechtigtes Interesse" vorweist. Damit könnten auch Einzelverträge abgeschlossen werden.