Die unendliche Geschichte des Austritts Großbritanniens aus der EU (kurz: BREXIT) hat ein Ende: Am 31. Jänner hat der BREXIT stattgefunden. Aus Sicht der DSGVO wird Großbritannien somit ein "unsicheres" Drittland werden. Aus rechtlicher Sicht bedeutet dies, dass Datenübermittlungen nun neben der - ohnehin verpflichtenden Rechtsgrundlage (Vertrag, berechtigtes Interesse, Einwilligung, gesetzliche Verpflichtung,...) eine zusätzliche Rechtsgrundlage für die Drittlandsübermittlung an sich benötigen. Die DSGVO sieht hier drei Möglichkeiten zur generellen Datenübertragung vor:

Angemessenheitsbeschluss
Ein sogenannter Angemessenheitsbeschluss wäre aus Sicht der betroffenen Unternehmen die einfachste Möglichkeit. Hierbei handelt es sich um eine generelle Regelung, welche durch die Europäische Kommission nach Art 45 DSGVO erlassen wird und durch den Großbritannien zu einem sicheren Drittland erhoben werden würde. Ein solcher Beschluss ist zur Zeit nicht vorhanden, es ist allerdings durchaus damit zu rechnen, dass mittel- / langfristig ein solcher erlassen wird.

EU-Standarddatenschutzklauseln
Daneben sieht die DSGVO auch vor, dass mit einzelnen Empfängern von Daten sogenannte Standard- oder Musterdatenschutzklauseln abgeschlossen werden können, durch welcher diese vertraglich sich an die Vorgaben der DSGVO halten müssen. Zu bedenken ist dabei jedoch, dass die akzeptierten Standarddatenschutzklauseln nicht abgeändert werden dürfen. Nichtsdestotrotz sind in der Praxis diese Klauseln das gängige Mittel der Wahl, da sie relativ rasch und unkompliziert abgeschlossen werden können.

Binding Corporate Rules BCR
Weiters sieht die DSGVO vor, dass Unternehmen bzw Unternehmensgruppen untereinander sogenannte Binding Corporate Rules abschließen können. Anders als im Fall der Standarddatenschutzklauseln können diese dabei individuell an die Bedürfnisse der Unternehmensgruppe angepasst werden. Preis dieses Customizing ist jedoch, dass die Binding Corporate Rules von offizieller Stelle durch die Aufsichtsbehörden abgesegnet werden müssen. In der Praxis findet diese Alternative somit kaum Anklang.

Neben diesen drei Möglichkeiten erlaubt die DSGVO noch folgendes:
Werden personenbezogene Daten nur im Einzelfall in ein Dittland übertragen, so lässt die DSGVO dies ausnahmsweise zu, wenn dies zur Erfüllung eines Vertrages notwendig ist. Ebenfalls zulässig ist die Übermittlung in ein Drittland mit Einwilligung der betroffenen Personen.

Zu beachten ist weiters, dass - trotz der Wirksamkeit des BREXITS mit 31.Jänner - bis Ende 2020 eine Übergangsfrist gilt. Obgleich das Jahr noch lange ist, sollten Unternehmen aber bereits jetzt damit anfangen ihre Datenübermittlungen in das UK zu analysieren und ggf diese mit den oben genannten Rechtsinstrumenten absichern.