Iubenda logo
Generator starten

Anleitungen

INHALTSÜBERSICHT

DSGVO & Brexit – Was es für Unternehmen bedeutet und die Auswirkungen auf den Datenschutz

Aktualisierung

Im Anschluss an eine öffentliche Konsultation hat das Vereinigte Königreich Einzelheiten seines Gesetzesvorschlags zur Datenreform veröffentlicht, der den Datenschutzrahmen in der britischen Post-Brexit-Version der Datenschutz-Grundverordnung ändern wird. Lesen Sie mehr über diesen Gesetzesentwurf hier.

Die Kommission hat den Datenaustausch zwischen der EU und dem Vereinigten Königreich erlaubt, wird dies aber in vier Jahren überprüfen.

Nachdem der Europäische Datenschutzausschuss (EDPB) eine Stellungnahme zu den Entwürfen der Kommission für die Angemessenheitsbeschlüsse des Vereinigten Königreichs angenommen hat und die Vertreter der Mitgliedstaaten ihre Zustimmung gegeben haben, traten beide Beschlüsse am 28. Juni 2021 in Kraft.

Sowohl der Beschluss im Rahmen der Datenschutz-Grundverordnung (DSGVO) als auch der Beschluss im Rahmen der Strafverfolgungsrichtlinie erlauben Übermittlungen aus der EU in das Vereinigte Königreich, da das Vereinigte Königreich derzeit ein im Wesentlichen gleichwertiges Schutzniveau für personenbezogene Daten bietet, wie es das EU-Recht garantiert.

Ausnahmsweise unterlagen beide Beschlüsse jedoch auch einer Verfallsklausel, was bedeutet, dass sie in vier Jahren erneuert werden müssen.

So hatte der EDSB auf einige mögliche Abweichungen hingewiesen, die vor der endgültigen Beschlussfassung weiter zu prüfen sind:

  • Die Ausnahmeregelung für die Einwanderung und ihre Auswirkungen auf die Einschränkung der Rechte der betroffenen Personen;
  • Die Anwendung von Beschränkungen für die Übermittlung personenbezogener Daten aus dem Europäischen Wirtschaftsraum in das Vereinigte Königreich auf der Grundlage möglicher künftiger Angemessenheitsbeschlüsse des Vereinigten Königreichs, internationaler Abkommen zwischen dem Vereinigten Königreich und Drittländern oder Ausnahmeregelungen.

=> Nächste Schritte: Überwachung künftiger Divergenzen zwischen EU- und britischem Recht, die zu einer Herausforderung für die nächsten Entscheidungen werden könnten, die in vier Jahren anstehen.

Lesen Sie den vollständigen Text hier

Die Allgemeine Datenschutzverordnung (DSGVO) trat im Mai 2018 in Kraft – sie stärkt die Datenschutzrechte für alle Personen, deren personenbezogene Daten in ihren Anwendungsbereich fallen, und stellt neue Anforderungen an Unternehmen und Einrichtungen, die mit diesen personenbezogenen Daten umgehen. Weitere Informationen über die DSGVO und wann diese angewendet wird, finden Sie hier.

Bei all den Änderungen, die durch den Austritt Großbritanniens aus der EU anstehen, fragen Sie sich vielleicht, wie genau sich die Anforderungen der DSGVO für britische und EU-Unternehmen nach dem Brexit ändern? Wir beantworten diese Frage im Folgenden und geben Ihnen weitere Einblicke.

Die DSGVO nach dem Brexit, verändert sich etwas?

Die DSGVO, die bis zum Inkrafttreten des Brexit am 31.12.2020 in Großbritannien rechtsverbindlich war, gilt nun größtenteils auch in Großbritannien als „UK DSGVO“ (auf Englisch) weiter, solange kein neues nationales Datenschutzgesetz oder eine neue Gesetzgebung verabschiedet wird.

Was sollten Sie als Unternehmen mit Sitz in Großbritannien beachten?

Datenübertragungen in die EU und in andere Territorien
Nach der aktuellen UK DSGVO folgen Datenübertragungen aus Großbritannien in andere Länder den gleichen Prinzipien der DSGVO. Insbesondere:

  • Wenn die britische Regierung ein Angemessenheitsbeschluss (auf Englisch) für Ihr Zielgebiet erlassen hat, können Sie Daten ohne weitere Anforderungen übertragen. Dieser Status gilt derzeit für alle Staaten der EU und des EWR sowie für alle Länder, für die ein Angemessenheitsbeschluss der EU vorliegt (z. B. Argentinien, Schweiz, Neuseeland usw.). Unter bestimmten Bedingungen gilt dies auch für Japan und Kanada;
  • trifft keiner der oben genannten Punkte zu, müssen Sie sich als Unternehmen mit Sitz in Großbritannien, welches personenbezogene Daten ins Ausland übertragen möchte, auf die gleichen Alternativen verlassen, die in der DSGVO vorgesehen sind, wie z. B. Standardvertragsklauseln (SCCs), andere „angemessene Garantien“ oder „Ausnahmen“. In diesem Zusammenhang hat die britische Datenschutzbehörde (ICO) (auf Englisch) erklärt, dass die EU SCCs (auf Englisch), die vor dem Ende der Übergangsfrist abgeschlossen wurden weiterhin unter dem derzeitigen britischen Recht gültig sind und dass EU-SCCs auch für neue Übertragungen von personenbezogenen Daten verwendet werden können. Die „UK-Versionen“ (auf Englisch) der EU-SCCs wurden vom ICO veröffentlicht und kann von Unternehmen verwendet werden.

💡 Die Verwendung von iubenda als Auftragsverarbeiter, der Daten in die EU überträgt, ist für britische Nutzer immer noch vollkommen sicher.

Datenschutzbeauftragter
Die DSGVO (Art. 27) verpflichtet Unternehmen, die personenbezogene Daten natürlicher Personen in der EU verarbeiten, einen Vertreter in der EU zu benennen. Während der Übergangszeit gilt diese Anforderung noch nicht für britische Unternehmen.

Nach dem Ende der Übergangsfrist müssen britische Unternehmen, die Daten natürlicher Personen in der EU verarbeiten, jedoch höchstwahrscheinlich einen EU-Beauftragten benennen.

Wie wirkt sich der Brexit auf Unternehmen aus, die in der EU/EWR ansässig sind?

Datenübertragungen nach Großbritannien

Das Brexit-Abkommen zwischen der EU und Großbritannien vom Dezember 2020 sieht eine Übergangsfrist von 4 Monaten bis zum 30. April 2021 vor, die um weitere 2 Monate verlängert werden könnte: Während dieser Zeit wird Großbritannien nicht als „Drittstaat“angesehen.

→ Bis dahin ändert sich für EU/EWR-Unternehmen, die Daten nach Großbritannien übertragen, nichts.

Nach Ablauf der Übergangsfrist (d. h. nicht vor dem 30. April 2021) müssen Datenübertragungen nach Großbritannien gemäß den allgemeinen Grundsätzen der DSGVO erfolgen. Dies bedeutet:

  • Sollte die Europäische Kommission einen Angemessenheitsbeschluss (auf Englisch) für Großbritannien erlassen, könnten Datenübertragungen ohne zusätzliche Anforderungen stattfinden;
  • Für den Fall, dass vor Ablauf der verlängerten Übergangsfrist kein Angemessenheitsbeschluss (auf Englisch) erlassen wird, müssen Übertragung personenbezogener Daten aus den EU-/EWR-Staaten in das Vereinigte Königreich auf geeignete Garantien wie von der Europäischen Kommission genehmigte Standardvertragsklauseln (SCCs) (auf Englisch), oder andere „geeignete Garantien“ oder „Ausnahmen“ für die Übertragung gemäß der DSGVO zurückgreifen.

Datenschutzbeauftragter

Nach der DSGVO müssen Unternehmen, die personenbezogene Daten natürlicher Personen in Großbritannien verarbeiten, ab sofort einen Vertreter für Großbritannien benennen. Im Moment gelten während der Übergangszeit, gelten diese Anforderungen noch nicht für EU/EWR-Unternehmen.

Nach Ablauf der Übergangsfrist werden EU/EWR-Unternehmen, die Daten natürlicher Personen in Großbritannien verarbeiten, jedoch höchstwahrscheinlich einen britischen Vertreter (auf Englisch) benennen müssen.

Weitere Hinweise

Erfahren Sie auf der Website des ICO mehr über alle anderen kleineren und größeren Änderungen, die auf Sie als Unternehmen mit Sitz in Großbritannien zukommen werden, sobald die Übergangsfrist abgelaufen ist, auf der ICOs Website (auf Englisch).

Siehe auch