Im Anschluss an eine öffentliche Konsultation hat das Vereinigte Königreich Einzelheiten seines Gesetzesvorschlags zur Datenreform veröffentlicht, der den Datenschutzrahmen in der britischen Post-Brexit-Version der Datenschutz-Grundverordnung ändern wird. Lesen Sie mehr über diesen Gesetzesentwurf hier.
Die Kommission hat den Datenaustausch zwischen der EU und dem Vereinigten Königreich erlaubt, wird dies aber in vier Jahren überprüfen.
Nachdem der Europäische Datenschutzausschuss (EDPB) eine Stellungnahme zu den Entwürfen der Kommission für die Angemessenheitsbeschlüsse des Vereinigten Königreichs angenommen hat und die Vertreter der Mitgliedstaaten ihre Zustimmung gegeben haben, traten beide Beschlüsse am 28. Juni 2021 in Kraft.
Sowohl der Beschluss im Rahmen der Datenschutz-Grundverordnung (DSGVO) als auch der Beschluss im Rahmen der Strafverfolgungsrichtlinie erlauben Übermittlungen aus der EU in das Vereinigte Königreich, da das Vereinigte Königreich derzeit ein im Wesentlichen gleichwertiges Schutzniveau für personenbezogene Daten bietet, wie es das EU-Recht garantiert.
Ausnahmsweise unterlagen beide Beschlüsse jedoch auch einer Verfallsklausel, was bedeutet, dass sie in vier Jahren erneuert werden müssen.
So hatte der EDSB auf einige mögliche Abweichungen hingewiesen, die vor der endgültigen Beschlussfassung weiter zu prüfen sind:
=> Nächste Schritte: Überwachung künftiger Divergenzen zwischen EU- und britischem Recht, die zu einer Herausforderung für die nächsten Entscheidungen werden könnten, die in vier Jahren anstehen.
Die Allgemeine Datenschutzverordnung (DSGVO) trat im Mai 2018 in Kraft – sie stärkt die Datenschutzrechte für alle Personen, deren personenbezogene Daten in ihren Anwendungsbereich fallen, und stellt neue Anforderungen an Unternehmen und Einrichtungen, die mit diesen personenbezogenen Daten umgehen. Weitere Informationen über die DSGVO und wann diese angewendet wird, finden Sie hier.
Bei all den Änderungen, die durch den Austritt Großbritanniens aus der EU anstehen, fragen Sie sich vielleicht, wie genau sich die Anforderungen der DSGVO für britische und EU-Unternehmen nach dem Brexit ändern? Wir beantworten diese Frage im Folgenden und geben Ihnen weitere Einblicke.
Die DSGVO, die bis zum Inkrafttreten des Brexit am 31.12.2020 in Großbritannien rechtsverbindlich war, gilt nun größtenteils auch in Großbritannien als „UK DSGVO“ (auf Englisch) weiter, solange kein neues nationales Datenschutzgesetz oder eine neue Gesetzgebung verabschiedet wird.
Datenübertragungen in die EU und in andere Territorien
Nach der aktuellen UK DSGVO folgen Datenübertragungen aus Großbritannien in andere Länder den gleichen Prinzipien der DSGVO. Insbesondere:
💡 Die Verwendung von iubenda als Auftragsverarbeiter, der Daten in die EU überträgt, ist für britische Nutzer immer noch vollkommen sicher.
Datenschutzbeauftragter
Die DSGVO (Art. 27) verpflichtet Unternehmen, die personenbezogene Daten natürlicher Personen in der EU verarbeiten, einen Vertreter in der EU zu benennen. Während der Übergangszeit gilt diese Anforderung noch nicht für britische Unternehmen.
Nach dem Ende der Übergangsfrist müssen britische Unternehmen, die Daten natürlicher Personen in der EU verarbeiten, jedoch höchstwahrscheinlich einen EU-Beauftragten benennen.
Datenübertragungen nach Großbritannien
Das Brexit-Abkommen zwischen der EU und Großbritannien vom Dezember 2020 sieht eine Übergangsfrist von 4 Monaten bis zum 30. April 2021 vor, die um weitere 2 Monate verlängert werden könnte: Während dieser Zeit wird Großbritannien nicht als „Drittstaat“angesehen.
→ Bis dahin ändert sich für EU/EWR-Unternehmen, die Daten nach Großbritannien übertragen, nichts.
Nach Ablauf der Übergangsfrist (d. h. nicht vor dem 30. April 2021) müssen Datenübertragungen nach Großbritannien gemäß den allgemeinen Grundsätzen der DSGVO erfolgen. Dies bedeutet:
Datenschutzbeauftragter
Nach der DSGVO müssen Unternehmen, die personenbezogene Daten natürlicher Personen in Großbritannien verarbeiten, ab sofort einen Vertreter für Großbritannien benennen. Im Moment gelten während der Übergangszeit, gelten diese Anforderungen noch nicht für EU/EWR-Unternehmen.
Nach Ablauf der Übergangsfrist werden EU/EWR-Unternehmen, die Daten natürlicher Personen in Großbritannien verarbeiten, jedoch höchstwahrscheinlich einen britischen Vertreter (auf Englisch) benennen müssen.
Erfahren Sie auf der Website des ICO mehr über alle anderen kleineren und größeren Änderungen, die auf Sie als Unternehmen mit Sitz in Großbritannien zukommen werden, sobald die Übergangsfrist abgelaufen ist, auf der ICOs Website (auf Englisch).