Mit dem Austritt des Vereinigten Königreichs (UK) aus der Europäischen Union und dem Ende der Übergangsfrist am 31. Dezember 2020 gilt UK ab dem 1. Januar 2021 als Drittstaat. Daher sind bei der Übertragung von Personendaten aus einem EU-Land nach UK künftig die Grundsätze der Art. 45 und 46 DSGVO zu beachten. Um die Datenübertragung wie bisher weiterzuführen, müsste die Europäische Kommission einen Angemessenheitsbeschluss erlassen, in welchem sie das Datenschutzniveau von UK als angemessen beurteilt (Art. 45 Abs. 1 DSGVO).
Die Vereinbarung zwischen der EU und UK vom 24. Dezember 2020 sieht eine viermonatige Übergangsfrist vor, die auf sechs Monate verlängert werden kann. Bis Mitte 2021 sind Übertragungen von Personendaten aus der EU nach UK daher abgesichert. Ob danach bereits ein Angemessenheitsbeschluss vorliegt, ist fraglich: Die Snowden-Enthüllungen im Jahr 2013 haben gezeigt, dass die britischen und amerikanischen Geheimdienste eng zusammenarbeiten und zahlreiche Daten aus UK in die USA weitergeleitet werden. Der Europäische Gerichtshof hat mit dem sog. Schrems-II-Entscheid C-311/18 festgehalten, dass das Datenschutzniveau der USA aus europäischer Sicht unzureichend sei. Die amerikanischen Überwachungsprogramme erlaubten den Geheimdiensten, auf Daten zuzugreifen, ohne dass dieser Zugriff irgendeiner gerichtlichen Kontrolle unterläge. Diese Einschätzung könnte auch beim Angemessenheitsbeschluss für UK relevant werden: Weil die britischen Geheimdienste eng mit den amerikanischen kooperieren, besteht das Risiko, dass die EU den Angemessenheitsbeschluss verweigert. Dies würde die Übertragung von Personendaten nach UK deutlich erschweren.
Die Problematik zeigt, dass die europäische Datenschutzpolitik Mitgliedsstaaten und Drittstaaten ungleich behandelt: Solange ein Land EU-Mitglied ist, spielt es bei der Datenübertragung keine Rolle, ob sein Datenschutzniveau ausreichend ist. Erst mit dem Austritt wird die Übermittlung aufgrund der Regelung von Art. 45 und 46 DSGVO zum Problem. Der EuGH stellt einen strengen Massstab an die USA und kritisiert die weitgehenden Befugnisse der amerikanischen Geheimdienste und die fehlende gerichtliche Kontrolle. Dabei ist fraglich, ob die Befugnisse der Geheimdienste der EU-Mitgliedsstaaten nicht teilweise ebenso weit gehen.
Für die Schweiz ergibt sich folgendes Bild: Der Angemessenheitsbeschluss der EU ist bei der Übertragung von Personendaten aus der Schweiz nach UK nicht unmittelbar relevant. Gemäss Art. 6 Abs. 1 des Schweizer Datenschutzgesetzes dürfen Personendaten nur dann aus der Schweiz ins Ausland übertragen werden, wenn die Gesetzgebung im Zielland einen angemessenen Datenschutz gewährleistet. Bei seiner jüngsten Aktualisierung der Staatenliste im September 2020 beurteilte der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte EDÖB das Datenschutzniveau in UK als ausreichend (vgl. die Staatenliste unter https://www.edoeb.admin.ch/edoeb/de/home/datenschutz/handel-und-wirtschaft/uebermittlung-ins-ausland.html). Es bleibt abzuwarten, ob sich an dieser Einschätzung in Zukunft etwas verändert. Sollte die EU den Angemessenheitsbeschluss für UK verweigern, so dürfte der EDÖB diese Einschätzung nachvollziehen, so wie er dies bei der Einschätzung zu den USA im Nachgang zum Schrems-II-Entscheid getan hat.