Mit dem Abschluss des Brexit-Deals kurz vor dem Ablauf der Frist Ende 2020 wurde glücklicherweise auch der "harte" Brexit für die zukünftigen Datenschutzregelungen zwischen der EU und U.K. erst einmal abgewendet. In dem 1.250 Seiten umfassenden Werk sind die Datenschutzregelungen im Kapitel "Article FINPROV.10A: Interim provision for transmission of personal data to the United Kingdom" (ab Seite 406) beschrieben.
Demnach wurde eine weitere Übergangsfrist von 4 Monaten mit der Möglichkeit einer Verlängerung von weiteren 2 Monaten geschaffen, um U.K. nicht als Drittland einzustufen. Jedoch können beide Seiten dieser Verlängerung widersprechen. Die zuständige EU-Kommission kann nun während der weiteren Übergangsfrist einen Angmessenheitsbeschluss erlassen, um U.K. als sicheres Drittland, wie bspw. Schweiz, Kanada, Israel, Japan einzustufen. Nachdem aber in U.K. ähnliche Befugnisse der Sicherheitsbehörden wie in den USA bestehen, ist dieser Beschluss fraglich.
Fazit: Aktuell besteht dadurch meiner Einschätzung nach kein Handlungsbedarf, um weitere Sicherheiten mit dem Abschluss der EU-Standardvertragsklauseln von Geschäftspartnern oder Dienstleistern in U.K. einzuholen. Für die maximale Frist von 6 Monaten ist weiterhin der Auftragsverarbeitungsvertrag (oder Data Processing Agreement) als ausreichende vertragliche Regelung für den Datenaustausch zwischen EU und U.K. anzusehen, sofern keine der Parteien dem widerspricht.
Leider wurde meiner Auffassung nach damit wiederum lediglich ein Aufschub erwirkt, der weitere Handlungen in spätestens 6 Monaten erfordert.