In einem Kommuniqué vom 9. Januar 2018 hat die Europäische Kommission angekündigt, dass mit Wirkung zum 30. März 2019 – dem Datum des Inkrafttretens des Brexit – das Vereinigte Königreich als Nicht EU-Staat, oder Drittstaat, im Sinne der Europäischen Datenschutzgrundverordnung (EU-DSGV) gelten wird.

Somit wäre, vorbehaltlich einer zwischen der EU und dem vereinigten Königreich zu treffenden Übergangsregelung, die Übertragung von personenbezogenen Daten in das Vereinigte Königreich nur möglich, wenn der Inhaber der Daten oder ein Sub-Unternehmer „angemessene Sicherheitsvorkehrungen“ anwendet, sofern keine Angemessenheitsentscheidung (eine Entscheidung der Kommission, die anerkennt, dass ein Drittstaat ein angemessenes Sicherheitsniveau im Sinne der EU-DSGV gewährleistest) vorliegt.

Gemäß Artikel 46 der EU-DSGV bestehen solche Sicherheitsvorkehrungen in der Anwendung standardisierter Datenschutzklauseln, anerkannter Verhaltenskodizes, verbindlicher unternehmensinterner Vorschriften oder anerkannter Zertifizierungsmechanismen. Zusätzlich wird die Übertragung von personenbezogenen Daten gemäß Artikel 49 der EU-DSGV erfolgen können, wenn bspw. der Betroffene sein Einverständnis zur Übertragung der Daten gegeben hat oder die Übertragung unabdingbar für die Ausführung einer vertraglichen Verpflichtung ist.

Nichtsdestotrotz hat das Vereinigte Königreich bereits damit begonnen, die EU-DSGV in nationales Recht umzusetzen. Darüber hinaus wird die von der britischen Regierung vorgesehene ‚Große Aufhebungs-Gesetzesvorlage‘ („Great Repeal Bill“) zweifellos vorsehen, dass bei Abschluss des Brexit die Standards der EU-DSGV in Kraft bleiben. In Anbetracht der Sicherheitsvorkehrungen, die das Vereinigte Königreich durchsetzen will, ist es unwahrscheinlich das die Europäische Kommission dem Land die Angemessenheitsentscheidung verweigern würde.