Derzeit ist nicht vorhersehbar, ob und in welcher Form es im Oktober 2019 zum Brexit kommt. Nach Austritt aus der Europäischen Union (EU) ist Großbritannien datenschutzrechtlich ein sogenanntes Drittland. Datenübermittlungen an ein Drittland sind nur unter den besonderen Voraussetzungen in § 10 EKD-Datenschutzgesetz möglich.

Aus diesem Grund sollten kirchliche verantwortliche Stellen schon heute prüfen, ob sie personenbezogene Daten von Mitarbeitenden oder Kunden, Klienten oder Patienten nach Großbritannien übermitteln. In diesem Fall – etwa, weil ein Auftragsverarbeiter dort seinen Sitz hat – ist zu prüfen, wie eine datenschutzrechtlich zulässige Datenübermittlung auch nach dem Brexit sichergestellt werden kann.

Da nicht davon auszugehen ist, dass die EU-Kommission Großbritannien kurzfristig mit einem Angemessenheitsbeschluss nach § 10 Abs. 1 Nr. 1 EKD-Datenschutzgesetz datenschutzrechtlich zu einem sicheren Drittland erklären wird, können Standarddatenschutzklauseln nach § 10 Abs. 1 Nr. 2 EKD-Datenschutzgesetz eine mögliche Lösung darstellen.

Bildquellen