Nach dem Austritt des Vereinigten Königreichs aus der EU fragen sich viele Organisationen, welche Auswirkungen der Brexit auf die Datenschutzgrundverordnung haben wird und welche Schritte unternommen werden sollten, um die neuen Gesetze und Vorschriften einzuhalten.
Als die Datenschutz-Grundverordnung (GDPR) am 25. Mai 2018 in Kraft trat, bedeutete dies die größte Umwälzung der Datenschutzgesetze seit 20 Jahren. Mit der Gesetzgebung sollten die Datenschutzvorschriften in der gesamten Europäischen Union vereinheitlicht und die Rechte des Einzelnen in Bezug auf die Verwendung seiner personenbezogenen Daten anerkannt werden.
Die Unternehmen haben in den letzten zwei Jahren viel Zeit und Mühe darauf verwendet, ihre Datenschutzverfahren zu verbessern und neue Maßnahmen zu ergreifen, um die bahnbrechenden Rechtsvorschriften zu erfüllen.
Dieses Engagement für den Datenschutz war nicht umsonst, denn viele der ergriffenen Maßnahmen bleiben relevant und ändern nichts an der Art und Weise, wie im Vereinigten Königreich ansässige Unternehmen die Daten der Betroffenen in diesem Land verarbeiten.
Jetzt, da das Vereinigte Königreich die EU formell verlassen hat, müssen die Unternehmen jedoch prüfen, welche Änderungen vorgenommen werden müssen, um die Einhaltung der einschlägigen Datenschutzvorschriften zu gewährleisten.
Um alle Ihre Fragen zu beantworten, haben wir einen kurzen Leitfaden zusammengestellt, in dem wir Ihnen erläutern, was die Änderungen für Ihr Unternehmen bedeuten können.
Brexit & GDPR - Alles, was Sie wissen müssen
Gilt die Datenschutz-Grundverordnung auch im Vereinigten Königreich?
Am1. Januar 2021 wird die EU-DSGVO im Vereinigten Königreich nicht mehr gelten, da es sich um eine EU-Verordnung handelt. Wenn Ihr Unternehmen jedoch im Vereinigten Königreich tätig ist, müssen Sie weiterhin das britische Datenschutzrecht einhalten. Die britische Regierung hat die DSGVO in das britische Recht als UK GDPR übernommen.
In der Praxis bedeutet dies, dass sich nur sehr wenig geändert hat. Es wurden einige Änderungen vorgenommen, um dem Status des Vereinigten Königreichs außerhalb der EU Rechnung zu tragen, aber im Wesentlichen bleiben die zentralen Datenschutzgrundsätze, -rechte und -pflichten der Datenschutz-Grundverordnung gleich und wurden in der britischen Datenschutz-Grundverordnung verankert.
Gilt die Datenschutz-Grundverordnung auch, wenn Ihr Unternehmen im Europäischen Wirtschaftsraum (EWR) tätig ist?
Ja. Wenn Ihr Unternehmen in Europa tätig ist, Waren oder Dienstleistungen für Personen in Europa anbietet oder das Verhalten von Personen in Europa überwacht, dann gilt die EU-DSGVO weiterhin. Wenn Ihr Unternehmen sowohl in der EU als auch im Vereinigten Königreich Daten verarbeitet, müssen Sie sowohl die britische Datenschutz-Grundverordnung als auch die EU-Grundverordnung einhalten.
Wie wirkt sich der Brexit auf den internationalen Datentransfer aus?
Als Teil des neuen Handelsabkommens hat die EU zugestimmt, die Übermittlungsbeschränkungen für einen begrenzten Zeitraum von bis zu vier Monaten auszusetzen, der auf sechs Monate verlängert werden kann. Dieser Überbrückungsmechanismus ermöglicht den freien Fluss personenbezogener Daten aus dem Europäischen Wirtschaftsraum (EWR) in das Vereinigte Königreich, bis eine Angemessenheitsentscheidung getroffen wird.
Da das Vereinigte Königreich nun aus der EU ausgetreten ist, wird es im Rahmen der Datenschutz-Grundverordnung als "Drittland" für Europa eingestuft. Drittländer sind Staaten, die nicht in den Geltungsbereich der EU-DSGVO fallen. Datenübermittlungen aus der EU in Drittländer unterliegen Beschränkungen, es sei denn, die Europäische Kommission gewährt einen Status namens "Angemessenheit".
Die Europäische Kommission spricht Ländern den Status der Angemessenheit zu, wenn sie ein angemessenes Datenschutzniveau aufweisen. Zu den anderen Ländern, denen die EU den Angemessenheitsstatus zuerkannt hat, gehören Argentinien, Neuseeland, Israel und Japan. Wird dem Vereinigten Königreich der Angemessenheitsstatus zuerkannt, wird der freie Verkehr personenbezogener Daten ohne neue Einschränkungen fortgesetzt.
Wird die EU für Datenübermittlungen aus dem Vereinigten Königreich ausreichen?
Ja. Die britische Regierung hat bestätigt, dass sie die EU übergangsweise als ausreichend anerkennen wird, um den Datenverkehr aus dem Vereinigten Königreich ohne zusätzliche Übermittlungsmechanismen zu ermöglichen.
Benötigt Ihr Unternehmen einen europäischen Vertreter?
Wenn Ihr Unternehmen Waren oder Dienstleistungen für Personen im EWR anbietet oder das Verhalten von Personen im EWR überwacht, müssen Sie möglicherweise einen EU-Vertreter benennen. Wenn Ihr Unternehmen nicht im Vereinigten Königreich ansässig ist, Sie aber personenbezogene Daten von Bürgern des Vereinigten Königreichs verarbeiten, müssen Sie unter Umständen einen Vertreter des Vereinigten Königreichs gemäß der Datenschutz-Grundverordnung benennen.
Welche Rolle wird die ICO spielen?
Das ICO wird weiterhin die unabhängige Aufsichtsbehörde für die britischen Datenschutzvorschriften sein. Sie wird jedoch keine EU-Aufsichtsbehörde mehr sein. Wenn Sie also die Daten von EU-Bürgern verarbeiten, müssen Sie einen EU-Beauftragten benennen. Das ICO hat eindeutig erklärt, dass Sie, wenn Sie Daten von EU-Bürgern verarbeiten, weiterhin die DSGVO einhalten müssen.
Wen werden Sie im Falle einer Datenschutzverletzung benachrichtigen?
Im Falle einer Datenschutzverletzung würde sich ein im Vereinigten Königreich ansässiges Unternehmen an die ICO wenden. Nach dem Brexit wird das ICO nur noch datenschutzrelevante Vorfälle untersuchen, die britische Personen betreffen. Wenn der Verstoß mehrere Nationalitäten betrifft, wird das ICO eine Untersuchung einleiten und sich mit den Aufsichtsbehörden in jedem der betroffenen Gebiete befassen. Wenn betroffene Personen aus der EU betroffen sind, müssen Sie sich direkt an die entsprechenden EU-Aufsichtsbehörden wenden.
Sind andere Datenschutzvorschriften betroffen?
DPA
Der britische Data Protection Act 2018(DPA 2018) wird weiterhin gelten und die britische Datenschutz-Grundverordnung ergänzen.
PECR
Die Privacy and Electronic Communications Regulations 2003 (PECR) enthält Regeln für Marketing, Cookies und elektronische Kommunikation. Es handelt sich um eine spezifische Verordnung des Vereinigten Königreichs, die sich aus einem EU-Gesetz, der so genannten ePrivacy-Richtlinie, ableitet (es gibt derzeit Pläne, die ePrivacy-Richtlinie durch die ePrivacy-Verordnung zu ersetzen). Die PECR bleibt daher in Kraft und wird durch den Austritt des Vereinigten Königreichs aus der EU nicht berührt.
NIS
Die Richtlinie über die Sicherheit von Netz- und Informationssystemen(NIS) stammt ebenfalls aus dem EU-Recht, ist aber im britischen Recht verankert. Daher werden die derzeitigen Vorschriften weiterhin gelten. Wenn Sie jedoch ein im Vereinigten Königreich ansässiger Anbieter digitaler Dienste sind, der Dienstleistungen in der EU anbietet, müssen Sie möglicherweise einen Vertreter in einem der EU-Mitgliedstaaten benennen, in denen Sie Dienstleistungen anbieten.
eIDAS
Die Verordnung über elektronische Identifizierungs-, Authentifizierungs- und Vertrauensdienste ist ebenfalls ein EU-Gesetz, das jedoch im Vereinigten Königreich nicht mehr gilt. Die britische Regierung hat jedoch angekündigt, die eIDAS-Vorschriften in das britische Recht zu übernehmen. Wenn Sie also ein britischer Anbieter von Vertrauensdiensten sind, müssen Sie diese Vorschriften weiterhin einhalten. Wenn Sie Dienstleistungen in der EU erbringen, müssen Sie außerdem die eIDAS-Vorschriften der EU-Mitgliedstaaten einhalten.
FOIA
Der Freedom of Information Act 2000 ist Teil des britischen Rechts und wird weiterhin gelten.
EIR
Die Umweltinformationsverordnungen sind im britischen Recht verankert und gelten weiterhin, sofern sie nicht aufgehoben oder geändert werden.
Welche Schritte sollten Unternehmen nach dem Brexit unternehmen?
Unternehmen müssen eine detaillierte Überprüfung des Datenschutzes durchführen, um festzustellen, ob Änderungen erforderlich sind. Wenn Ihr Unternehmen im Vereinigten Königreich ansässig ist und seine Waren und Dienstleistungen überwiegend britischen Kunden anbietet, müssen Sie nur sehr wenig tun. Wenn Sie jedoch sowohl in der EU als auch im Vereinigten Königreich Waren und Dienstleistungen anbieten, müssen Sie möglicherweise Änderungen vornehmen. Um die Einhaltung der einschlägigen Datenschutzvorschriften zu gewährleisten, sollte Ihr Unternehmen:
- Bilden Sie Datenflüsse ab, um sicherzustellen, dass Ihr Unternehmen sowohl die britische GDPR als auch die EU GDPR einhalten kann.
- Aktualisierung der Aufzeichnungen über die Verarbeitung, um die Anforderungen der EU GDPR und der UK GDPR zu erfüllen.
- Beurteilen Sie, ob es eine EU-Aufsichtsbehörde gibt, die nun als federführende Aufsichtsbehörde (LSA) fungieren wird.
- Aktualisierung der Pläne zur Reaktion auf Sicherheitsverletzungen, um eine mögliche Benachrichtigung der ICO und der EU LSA im Falle einer Verletzung zu ermöglichen.
- Überlegen Sie, ob Ihr Unternehmen einen Vertreter für das Vereinigte Königreich und/oder die EU benennen muss.
- Aktualisierung der Datenschutzhinweise, um sicherzustellen, dass sie den Datenfluss detailliert beschreiben und die einschlägigen Anforderungen beider Rechtsvorschriften abdecken.
- Ändern Sie bestehende Verträge und Vorlagen, um die entsprechenden Verweise auf die britische und die EU-DSGVO aufzunehmen.
- Überlegen Sie, ob Datenschutz-Folgenabschätzungen und Bewertungen des berechtigten Interesses aktualisiert werden müssen, um der britischen Datenschutz-Grundverordnung zu entsprechen.
- Sicherstellung geeigneter Schutzmaßnahmen für den grenzüberschreitenden Datenverkehr.
- Prüfen Sie, ob Sie einen separaten Datenschutzbeauftragten für das Vereinigte Königreich und die EU ernennen müssen.
