Als die DSGVO im Mai 2018 vollständig in Kraft trat, war das Vereinigte Königreich (UK) noch ein Mitgliedstaat der EU. Obwohl die Verhandlungen über den Austritt des Vereinigten Königreichs aus der EU (Brexit) seit dem Referendum im Jahr 2016 noch andauerten, blieb das Vereinigte Königreich verpflichtet, die DSGVO einzuhalten.
Nach der Übergangsfrist hörte das Vereinigte Königreich jedoch am 31. Dezember 2020 auf, EU-Mitgliedstaat zu sein.
Dies hat zu erheblicher Verwirrung darüber geführt, ob britische Unternehmen die DSGVO weiterhin einhalten müssen. Und auch, was die DSGVO in der britischen Gesetzgebung ersetzt.
Um die verbleibende Verwirrung auszuräumen, erklären wir in diesem Artikel, wie sich die DSGVO nun auf das Vereinigte Königreich bezieht. Wir werden auch den aktuellen Stand der britischen Datenschutzgesetzgebung erörtern.
Gilt die DSGVO auch für das Vereinigte Königreich?
Ab dem 1. Januar 2021 gilt die EU-DSGVO im Vereinigten Königreich nicht mehr in vollem Umfang. Das Vereinigte Königreich ist jedoch – wie alle Nicht-EU-Länder – nach wie vor an die extraterritorialen Auswirkungen der DSGVO gebunden.
Zwei primäre extraterritoriale Auswirkungen betreffen Nicht-EU-Organisationen:
- Beim Verkauf von Waren und Dienstleistungen an EU-Bürger. Hier ist die Erhebung personenbezogener Daten weiterhin geregelt und muss mit der DSGVO konform sein. Das bedeutet, die sieben Kernprinzipien zu befolgen und sicherzustellen, dass die Einwilligung aktiv erteilt wird.
- Auch die Überwachung der Nutzeraktivitäten wird erfasst, z. B. das Sammeln von Cookies. Hier müssen alle Daten, die zur Überwachung eines EU-Bürgers erhoben werden, der DSGVO entsprechen.
Die Nichteinhaltung der DSGVO führt zu einer Geldstrafe von 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist. Für britische Organisationen ist es wahrscheinlicher, dass dies vor Gericht strafbar ist, da sie sich in letzter Zeit eng an die EU-Gesetzgebung gehalten haben.
Dies gilt nicht für britische Organisationen, die sich nicht an EU-Bürger richten, z. B. ein lokales Restaurant. Sie gilt auch nicht für persönliche oder familiäre Kommunikation.
Was hat die EU-DSGVO abgelöst?
In Vorbereitung auf den Brexit hat die britische Regierung einen Großteil der EU-Gesetzgebung in britisches Recht übertragen. Dazu gehört auch die EU-DSGVO. Bereits im Jahr 2018 wurden mit dem Data Protection Act (DPA) die Anforderungen der EU-DSGVO in britisches Recht umgesetzt. Weitere Änderungen des DSG (2018) wurden jedoch mit dem DPPEC (Datenschutz, Privatsphäre und elektronische Kommunikation (Änderungen, etc.) (EU-Austritt)) im Jahr 2019. Mit dieser Gesetzgebung wurde das DPA (2018) mit der EU-DSGVO zusammengeführt, um ein neues britisches Datenschutzsystem zu schaffen.
Dies ist als britische DSGVO bekannt.
Was ist die britische DSGVO?
Die britische DSGVO ist ein separates Gesetz, das sich von der EU-DSGVO unterscheidet. Die britische DSGVO teilt jedoch aufgrund ihrer Geschichte viele der gleichen Schlüsselprinzipien, Rechte und Pflichten. Wie die EU-DSGVO hat auch die britische DSGVO zwei wichtige Prinzipien:
- Organisationen, die personenbezogene Daten von Bürgern des Vereinigten Königreichs sammeln, müssen sicherstellen, dass dies in begrenztem Umfang und sicher geschieht. Dies reduziert die massenhafte Sammlung von Daten und verhindert die Wahrscheinlichkeit von Datenschutzverletzungen.
- Britische Staatsbürger haben das Recht, in ihre Datenerhebung einzuwilligen und können ihre Einwilligung zu einem späteren Zeitpunkt widerrufen. Sie müssen ordnungsgemäß darüber informiert werden, wie ihre Daten verwendet werden, bevor sie eine Entscheidung treffen können.
Die britische DSGVO hat auch Auswirkungen auf nicht-britische Organisationen. Wie die EU-DSGVO übt auch die britische DSGVO eine „extraterritoriale Wirkung“ aus. Das bedeutet, dass Organisationen mit Sitz außerhalb des Vereinigten Königreichs die britische DSGVO unter den folgenden Umständen befolgen müssen:
– Wenn sie Waren oder Dienstleistungen an im Vereinigten Königreich ansässige Bürger vermarkten (entweder kostenpflichtig oder kostenlos).
– Wenn sie das Online-Verhalten britischer Bürger beim Zugriff auf ihre Website überwachen.
In beiden Fällen unterliegen die personenbezogenen Daten britischer Staatsbürger strengen Gesetzen. Daher müssen Unternehmen sowohl im Vereinigten Königreich als auch in der EU sowohl die britische als auch die EU-DSGVO einhalten – auch wenn beide separat geregelt sind.
Auch hier gibt es, wie bei der EU-DSGVO, einige bemerkenswerte Ausnahmen. Die britische DSGVO gilt nicht für persönliche Kommunikation oder Unternehmen, die sich nicht an britische Staatsbürger richten. Zum Beispiel eine lokale Buchhandlung in Prag, Tschechien.
Was passiert, wenn Sie die britische DSGVO nicht einhalten?
Die Nichteinhaltung der britischen DSGVO führt auch zu Geldstrafen: entweder 17,5 Millionen Pfund oder 4 % des weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist. Dies ist nicht die vollständige Liste der möglichen Durchsetzungsmaßnahmen. Das britische Information Commissioner’s Office (ICO) behält sich außerdem das Recht vor, Verstöße gegen die britische DSGVO mit anderen Mitteln durchzusetzen, darunter:
– Verwarnungen und Verweise
– Verhängung eines vorübergehenden oder dauerhaften Verbots der Datenverarbeitung
– Anordnung der Berichtigung, Einschränkung oder Löschung von Daten
– Aussetzung von Datenübermittlungen in Drittländer
Die britische DSGVO stuft auch Verstöße ein und verhängt unterschiedliche Strafen. Es gibt zwei Strafstufen:
- Untere Ebene. Bußgelder bis zu 8,7 Mio. EUR oder 2 % des weltweiten Jahresumsatzes. Ausgestellt für die folgenden Artikelverstöße:
ein. Artikel 8: Voraussetzungen für die Einwilligung von Kindern
b. Artikel 11: Verarbeitung, für die keine Identifizierung erforderlich ist
c. Artikel 25 bis 39: Allgemeine Pflichten der Auftragsverarbeiter und für die Verarbeitung Verantwortlichen
d. Artikel 42: Zertifizierung
e. Artikel 43: Zertifizierungsstellen - Höheres Niveau. Geldstrafen von bis zu 17,5 Millionen Pfund oder 4 % des weltweiten Jahresumsatzes. Probleme bei den folgenden Artikelverstößen:
ein. Artikel 5: Grundsätze der Datenverarbeitung
b. Artikel 6: Rechtmäßigkeit der Verarbeitung
c. Artikel 7: Voraussetzungen für die Einwilligung
d. Artikel 9: Verarbeitung besonderer Kategorien von Daten
e. Artikel 12 bis 22: Rechte der betroffenen Personen
f. Artikel 44 bis 49: Datenübermittlungen an Drittländer oder internationale Organisationen
Schlussfolgerung
Zur Erinnerung: In Vorbereitung auf den Brexit hat die britische Regierung die bestehende Gesetzgebung in die britische DSGVO übernommen und konsolidiert. Diese Verordnung spiegelt die EU-DSGVO in vielerlei Hinsicht wider. Es verlangt von nicht-britischen Organisationen, dass sie bei der Erhebung und Verwendung von Daten britischer Bürger die Gesetze befolgen.
Daher müssen sich Unternehmen mit der Gesetzgebung und ihren Anforderungen vertraut machen.
Quellen:
https://www.itgovernance.co.uk/dpa-and-gdpr-penalties
https://ico.org.uk/for-organisations/dp-at-the-end-of-the-transition-period/data-protection-and-the-eu-in-detail/the-uk-gdpr/
https://article27representative.eu/brexit/brexit-and-the-gdpr/
https://www.itgovernance.co.uk/eu-gdpr-uk-dpa-2018-uk-gdpr
https://www.legislation.gov.uk/uksi/2019/419/introduction/made
https://www.gdpr.associates/gdpr-brexit/