Iubenda logo
Generator starten

Anleitungen

INHALTSÜBERSICHT

DSGVO & Brexit – Was es für Unternehmen bedeutet und die Auswirkungen auf den Datenschutz

Update: Der EDSA hat eine Stellungnahme zum Entwurf des Angemessenheitsbeschlusses für das Vereinigte Königreich angenommen

Der EDSA stellte zwar zahlreiche Übereinstimmungen fest, betonte aber auch, dass einige Punkte weiter geprüft werden sollten, wie z. B.:

  • Die Ausnahmeregelung für die Immigration und ihre Folgen für die Einschränkung der Rechte der Betroffenen;
  • Die Anwendung von Einschränkungen für die Weitergabe von personenbezogenen Daten aus dem EWR, die in das Vereinigte Königreich übermittelt werden. Dies kann z. B. auf der Grundlage künftiger Angemessenheitsbeschlüsse des Vereinigten Königreichs, internationaler Abkommen zwischen dem Vereinigten Königreich und Drittstaaten oder Ausnahmeregelungen erfolgen.

=> Nächste Schritte: Zustimmung der Vertreter der EU-Länder und Annahme durch die Europäische Kommission.

Lesen Sie den vollständigen Text hier.

Die Allgemeine Datenschutzverordnung (DSGVO) trat im Mai 2018 in Kraft – sie stärkt die Datenschutzrechte für alle Personen, deren personenbezogene Daten in ihren Anwendungsbereich fallen, und stellt neue Anforderungen an Unternehmen und Einrichtungen, die mit diesen personenbezogenen Daten umgehen. Weitere Informationen über die DSGVO und wann diese angewendet wird, finden Sie hier.

Bei all den Änderungen, die durch den Austritt Großbritanniens aus der EU anstehen, fragen Sie sich vielleicht, wie genau sich die Anforderungen der DSGVO für britische und EU-Unternehmen nach dem Brexit ändern? Wir beantworten diese Frage im Folgenden und geben Ihnen weitere Einblicke.

Die DSGVO nach dem Brexit, verändert sich etwas?

Die DSGVO, die bis zum Inkrafttreten des Brexit am 31.12.2020 in Großbritannien rechtsverbindlich war, gilt nun größtenteils auch in Großbritannien als „UK DSGVO“ (auf Englisch) weiter, solange kein neues nationales Datenschutzgesetz oder eine neue Gesetzgebung verabschiedet wird.

Was sollten Sie als Unternehmen mit Sitz in Großbritannien beachten?

Datenübertragungen in die EU und in andere Territorien
Nach der aktuellen UK DSGVO folgen Datenübertragungen aus Großbritannien in andere Länder den gleichen Prinzipien der DSGVO. Insbesondere:

  • Wenn die britische Regierung ein Angemessenheitsbeschluss (auf Englisch) für Ihr Zielgebiet erlassen hat, können Sie Daten ohne weitere Anforderungen übertragen. Dieser Status gilt derzeit für alle Staaten der EU und des EWR sowie für alle Länder, für die ein Angemessenheitsbeschluss der EU vorliegt (z. B. Argentinien, Schweiz, Neuseeland usw.). Unter bestimmten Bedingungen gilt dies auch für Japan und Kanada;
  • trifft keiner der oben genannten Punkte zu, müssen Sie sich als Unternehmen mit Sitz in Großbritannien, welches personenbezogene Daten ins Ausland übertragen möchte, auf die gleichen Alternativen verlassen, die in der DSGVO vorgesehen sind, wie z. B. Standardvertragsklauseln (SCCs), andere „angemessene Garantien“ oder „Ausnahmen“. In diesem Zusammenhang hat die britische Datenschutzbehörde (ICO) (auf Englisch) erklärt, dass die EU SCCs (auf Englisch), die vor dem Ende der Übergangsfrist abgeschlossen wurden weiterhin unter dem derzeitigen britischen Recht gültig sind und dass EU-SCCs auch für neue Übertragungen von personenbezogenen Daten verwendet werden können. Die „UK-Versionen“ (auf Englisch) der EU-SCCs wurden vom ICO veröffentlicht und kann von Unternehmen verwendet werden.

💡 Die Verwendung von iubenda als Auftragsverarbeiter, der Daten in die EU überträgt, ist für britische Nutzer immer noch vollkommen sicher.

Datenschutzbeauftragter
Die DSGVO (Art. 27) verpflichtet Unternehmen, die personenbezogene Daten natürlicher Personen in der EU verarbeiten, einen Vertreter in der EU zu benennen. Während der Übergangszeit gilt diese Anforderung noch nicht für britische Unternehmen.

Nach dem Ende der Übergangsfrist müssen britische Unternehmen, die Daten natürlicher Personen in der EU verarbeiten, jedoch höchstwahrscheinlich einen EU-Beauftragten benennen.

Wie wirkt sich der Brexit auf Unternehmen aus, die in der EU/EWR ansässig sind?

Datenübertragungen nach Großbritannien

Das Brexit-Abkommen zwischen der EU und Großbritannien vom Dezember 2020 sieht eine Übergangsfrist von 4 Monaten bis zum 30. April 2021 vor, die um weitere 2 Monate verlängert werden könnte: Während dieser Zeit wird Großbritannien nicht als nicht als „Drittstaat“angesehen.

→ Bis dahin ändert sich für EU/EWR-Unternehmen, die Daten nach Großbritannien übertragen, nichts.

Nach Ablauf der Übergangsfrist (d. h. nicht vor dem 30. April 2021) müssen Datenübertragungen nach Großbritannien gemäß den allgemeinen Grundsätzen der DSGVO erfolgen. Dies bedeutet:

  • Sollte die Europäische Kommission einen Angemessenheitsbeschluss (auf Englisch) für Großbritannien erlassen, könnten Datenübertragungen ohne zusätzliche Anforderungen stattfinden;
  • Für den Fall, dass vor Ablauf der verlängerten Übergangsfrist kein Angemessenheitsbeschluss (auf Englisch) erlassen wird, müssen Übertragung personenbezogener Daten aus den EU-/EWR-Staaten in das Vereinigte Königreich auf geeignete Garantien wie von der Europäischen Kommission genehmigte Standardvertragsklauseln (SCCs) (auf Englisch), oder andere „geeignete Garantien“ oder „Ausnahmen“ für die Übertragung gemäß der DSGVO zurückgreifen.

Datenschutzbeauftragter

Nach der DSGVO müssen Unternehmen, die personenbezogene Daten natürlicher Personen in Großbritannien verarbeiten, ab sofort einen Vertreter für Großbritannien benennen. Im Moment gelten während der Übergangszeit, gelten diese Anforderungen noch nicht für EU/EWR-Unternehmen.

Nach Ablauf der Übergangsfrist werden EU/EWR-Unternehmen, die Daten natürlicher Personen in Großbritannien verarbeiten, jedoch höchstwahrscheinlich einen britischen Vertreter (auf Englisch) benennen müssen.

Weitere Hinweise

Erfahren Sie auf der Website des ICO mehr über alle anderen kleineren und größeren Änderungen, die auf Sie als Unternehmen mit Sitz in Großbritannien zukommen werden, sobald die Übergangsfrist abgelaufen ist, auf der ICOs Website (auf Englisch).

Siehe auch