Wie wird sich der Brexit auf die GDPR auswirken?

Die Entscheidung des Vereinigten Königreichs, seine fünf Jahrzehnte währende Mitgliedschaft in der EU zu beenden, war ein Meilenstein in der europäischen Geschichte.

Abgesehen von der allgemeinen politischen Aufregung, die in ganz Europa herrschte, hatte der Brexit enorme Auswirkungen auf Unternehmen, die auf der anderen Seite des Ärmelkanals Geschäfte machen - denn der freie Datenfluss ist ein wesentlicher Bestandteil des anglo-europäischen Handels.

Viele Marketingexperten und Unternehmen sind jedoch immer noch verwirrt über die Beziehung zwischen dem Vereinigten Königreich, der DSGVO und den Datenschutzbestimmungen im Allgemeinen.

Wie wird sich der Brexit also auf die DSGVO auswirken? In Ermangelung wirklicher Klarheit seitens der Europäischen Union wird dieser Artikel etwas Licht in diese nach wie vor wichtige Frage bringen.

Gilt die DSGVO auch im Vereinigten Königreich?

Die kurze Antwort lautet nein.

Da es sich bei der DSGVO um eine EU-Verordnung handelt, gilt sie nach dem 31. Dezember 2020 nicht mehr für das Vereinigte Königreich.

Jedes britische Unternehmen, das Waren oder Dienstleistungen für in der EU ansässige Personen anbietet oder deren Verhalten überwacht, muss sie jedoch weiterhin einhalten.

Das liegt daran, dass die DSGVO ein "extraterritoriales" Gesetz ist, das den Datenschutz für in der EU ansässige Personen unabhängig davon gewährleisten soll, wohin ihre personenbezogenen Daten weltweit übermittelt werden.

Was hat sich also für britische Unternehmen geändert?

Mit dem Austritt aus der EU im Januar 2021 wurde das Vereinigte Königreich zu einem "Drittland" - um die Terminologie der Datenschutz-Grundverordnung zu verwenden.

In der Praxis bedeutet dies, dass das Land nachweisen muss, dass seine Gesetze den europäischen Datenschutzstandards entsprechen, damit personenbezogene Daten von in der EU ansässigen Personen ohne zusätzliche Sicherheitsmaßnahmen in das Vereinigte Königreich übermittelt werden können.

Glücklicherweise konnte es dies mit einem Angemessenheitsbeschluss" der Europäischen Kommission am 28. Juni 2021 tun, so dass der kanalübergreifende Datentransfer in das Vereinigte Königreich weiterhin ungehindert erfolgen kann.

Die anderen Länder, die diese Auszeichnung erhalten haben, sind Andorra, Argentinien, die Färöer-Inseln, Guernsey, Israel, die Isle of Man, Jersey, Neuseeland, die Schweiz, Uruguay, Japan und Südkorea - es handelt sich also um einen ziemlich exklusiven Club.

Das bedeutet, dass britische Unternehmen, die die nationalen Datenschutzanforderungen erfüllen, auch die DSGVO einhalten und nicht viel anders vorgehen müssen, wenn sie personenbezogene Daten aus der EU erhalten - abgesehen von den unten aufgeführten Punkten.

Wie können britische Unternehmen die DSGVO einhalten?

Britische Unternehmen, die mit in der EU ansässigen Personen Geschäfte machen oder deren Verhalten überwachen, müssen die folgenden Schritte unternehmen, um die DSGVO-Anforderungen vollständig zu erfüllen:

1. Ernennung eines Vertreters, der in der EU ansässig ist
2. Benennen Sie ihre federführende Aufsichtsbehörde in der EU
3. Richtlinien, Verfahren und Dokumentation aktualisieren

In Zukunft müssen Unternehmen möglicherweise auch ihre Verträge aktualisieren, die sich mit der Datenübermittlung zwischen der EU und dem Vereinigten Königreich befassen, obwohl dies aufgrund des "Angemessenheitsabkommens" des Vereinigten Königreichs mit der EU derzeit nicht erforderlich ist.

Es wurde bereits genug über die DSGVO geschrieben, um diese Schritte nicht im Detail zu erläutern, aber Sie können gerne unseren DSGVO Informations Hub besuchen, wenn Sie auf der Suche nach umfassenden Informationen sind.

Hat das Vereinigte Königreich einen Ersatz für die DSGVO eingeführt?

Derzeit nicht, aber es gibt eine eigene britische DSGVO.

Diese kann nicht als vollständiger Ersatz für die DSGVO angesehen werden, da es sich um eine vorübergehende Maßnahme handelt, die voraussichtlich nur bis Juni 2025 gelten wird. Was ist der Unterschied zwischen der UK-DSGVO und der EU-DSGVO?

Die politischen Entscheidungsträger des Vereinigten Königreichs haben den Data Protection Act 2018 des Landes mit der DSGVO verschmolzen und so die sogenannte UK-DSGVO geschaffen. Diese trat in Kraft, als das Vereinigte Königreich im Januar 2021 die EU verließ.

Das Gesetz gilt für:

• Britische Unternehmen, die personenbezogene Daten von Einwohnern des Vereinigten Königreichs sammeln, speichern oder verarbeiten
• Nicht-britische Unternehmen, die im Vereinigten Königreich ansässigen Personen Waren oder Dienstleistungen anbieten oder deren Verhalten überwachen

Die UK-DSGVO ist nahezu identisch mit dem EU-Gesetz - was nicht überrascht, da das Vereinigte Königreich bei der Ausarbeitung der europäischen Gesetzgebung eine führende Rolle spielte.

Es gibt jedoch eine kleine Anzahl wichtiger Unterschiede zwischen den beiden Gesetzen:

• Für die Regulierung und Durchsetzung des Datenschutzes im Vereinigten Königreich ist nun der Information Commissioner (ICO) zuständig und nicht mehr der Europäische Datenschutzausschuss.
• Die UK-DSGVO erlaubt die automatisierte Entscheidungsfindung, wenn die Unternehmen eine legitime Begründung vorweisen können - im Gegensatz zur EU-DSGVO, die es den betroffenen Personen erlaubt, solche Maßnahmen abzulehnen
• Die UK-DSGVO erlaubt es Unternehmen, die Auskunftsrechte betroffener Personen zu ignorieren, wenn dadurch die rechtmäßige Notwendigkeit der Verarbeitung personenbezogener Daten für wissenschaftliche, statistische, historische oder archivarische Zwecke eingeschränkt wird - etwas, das nach der EU-DSGVO nicht zulässig ist.
• Nach der UK-DSGVO liegt das Alter für die Einwilligung zum Datenschutz bei 13 Jahren, während es nach der DSGVO 16 Jahre beträgt.
• Die UK-DSGVO verlangt im Gegensatz zur EU-DSGVO keine behördliche Genehmigung für die Verarbeitung von strafrechtlichen Daten.
• Die UK-DSGVO hat das maximale Bußgeld auf 17,5 Millionen Pfund erhöht, während die EU-DSGVO ein maximales Bußgeld von entweder 20 Millionen Euro (etwa 16,6 Millionen Pfund) oder 4 % des weltweiten Jahresumsatzes eines Unternehmens verhängen kann - je nachdem, welcher Betrag höher ist.

Welche anderen Datengesetze sollten britische Unternehmen beachten?

Neben der UK-DSGVO und der EU-DSGVO gibt es weitere Bestandteile des britischen Datenschutzrahmens, die Unternehmen beachten müssen:

• Privacy and Electronic Communications Regulations (PECR) - ein britisches Gesetz, das an die EU-Datenschutzrichtlinie für elektronische Kommunikation angepasst wurde
• Elektronische Identifizierungs- und Vertrauensdienste (UK eIDAS) - eine Anpassung des EU-Gesetzes eIDAS, das das Vereinigte Königreich für die Verwendung im Inland angepasst hat
• Netzwerk- und Informationssysteme (BIS) - eine EU-Gesetzgebung, die in britisches Recht übernommen wurde
• Environmental Information Regulations (EIR) - ein britisches Gesetz, das an die EU-Gesetzgebung angepasst wurde und weiterhin gilt
• Freedom of Information Act 2000 (FOIA) - ein britisches Gesetz, das weiterhin gilt

Werden sich die britischen Datenschutzgesetze weiter ändern?

Dies scheint immer wahrscheinlicher zu werden.

Im September 2021 veröffentlichte die britische Regierung eine Konsultation, in der mögliche Änderungen des britischen Datenschutzrahmens skizziert wurden.

Dies würde die Datenschutzgesetze abschwächen, damit das Vereinigte Königreich Abkommen mit Nicht-EU-Ländern wie Australien, Südkorea und den USA schließen kann.

Dies ist Teil der umfassenderen Strategie des Landes, nach dem Brexit mehr Handel außerhalb Europas zu betreiben - mit offensichtlichen Auswirkungen auf den Datentransfer über den Ärmelkanal.

Eine mögliche Folge davon ist, dass der Europäische Rat sein "Angemessenheitsabkommen" für Datentransfers aufkündigen könnte.

In diesem Fall müssten britische Unternehmen Standardvertragsklauseln (SCC) unterzeichnen - Vereinbarungen, die sicherstellen, dass sie Daten im Einklang mit den Anforderungen der DSGVO behandeln.

Bislang ist jedoch noch nichts formalisiert worden - das ist ein Blog für einen anderen Tag.

Immer noch unsicher über die Einhaltung der DSGVO?

Da das Brexit-Referendum im Vereinigten Königreich zwei Jahre vor dem Inkrafttreten der DSGVO stattfand, hatte die Europäische Union sicherlich genug Zeit, um dieses Ereignis in ihre offiziellen Leitlinien aufzunehmen.

Dass sie das nicht getan hat, ist angesichts der Unklarheit des Gesetzes als Ganzes nicht überraschend - etwas, das Vermarktern auf der ganzen Welt viele schlaflose Nächte bereitet hat.

Neue Gesetze haben jedoch oft Kinderkrankheiten, und die Gesetzgeber haben heute ein viel besseres Verständnis für die praktischen Aspekte der Datenschutzgesetze.

Wenn Sie jedoch weitere Informationen über die Einhaltung der DSGVO suchen, haben wir eine nützliche und kostenlose Checkliste erstellt, in der alle Schritte aufgeführt sind, die ein Unternehmen unternehmen muss, um die europäischen Datenschutzanforderungen zu erfüllen.