Die EU-Datenschutz-Grundverordnung (DSGVO) findet derzeit auch in Großbritannien Anwendung. Zudem gilt das Information Commissioner’s Office (ICO) als eine der strengsten Datenschutz-Aufsichtsbehörden in Europa. Warum die Einhaltung der DSGVO für britische Unternehmen auch nach dem Brexit wichtig bleibt, erfahren Sie hier.
1. Angemessenheit des Datenschutzniveaus in Großbritannien
Sofern die EU-Kommission während der Brexit-Übergangsphase zum 31. Dezember 2020 nicht in einem sogenannten Angemessenheitsbeschluss feststellt, dass Großbritannien über ein angemessenes Schutzniveau verfügt, unterliegt die Verarbeitung personenbezogener Daten aus der EU durch britische Unternehmen hohen Anforderungen. Wie schwierig der Nachweis eines angemessenen Schutzniveaus sein kann, zeigt die Entscheidung des Europäischen Gerichtshofs (EuGH) zum Safe- Harbor-Abkommen, das Datentransfers zwischen der EU und den USA ermöglichte.
Auch wenn Großbritannien die DSGVO in nationales Recht implementiert, wird Großbritannien ohne Angemessenheitsbeschluss zu einem sogenannten Drittland und die Regeln zum Drittlandtransfer müssen dann nach der Übergangsphase beachtet werden.
Für internationale Datentransfers ausschließlich innerhalb von Konzernen können alternativ Binding Corporate Rules (BCR) oder vertragliche Vereinbarungen auf Grundlage der EU-Standardvertragsklauseln als Grundlage eines angemessenen Datenschutzniveaus dienen. Eine Auftragsverarbeitung ist bei Anwendung dieser zusätzlichen Instrumente nach der DSGVO auch in Drittstaaten möglich. Die Umsetzung von BCR ist jedoch sehr aufwendig, da seitens der Aufsichtsbehörden detaillierte und umfangreiche Anforderungen an die Ausgestaltung gestellt werden. Standardvertragsklauseln sind demgegenüber einfacher umzusetzen und daher für sporadische Datenvermittlung praktikabler.
2. Die DSGVO ist für Personen, die sich in der EU aufhalten in jedem Fall anzuwenden
Viele britische Unternehmen werden weiterhin auf dem EU-Binnenmarkt tätig sein, um EU-Bürgern Produkte oder Dienstleistungen anzubieten. Sobald diese Unternehmen personenbezogene Daten von EU-Bürgern verarbeiten, müssen sie sich (weiterhin) an die DSGVO halten. Ein britisches Online-Reisebüro, das Flugtickets an Kunden mit einer Rechnungsadresse in der EU oder per E-Mail an einen in der EU ansässigen Kunden verkauft, unterliegt demnach den Regelungen der DSGVO und auch den nationalen Datenschutzrechten des jeweiligen EU Mitglied-Staates. Britische Unternehmen müssen daher zunächst sicherstellen, dass eine solche Datenverarbeitung dem EU-Recht entspricht.
3. Die Nicht-Einhaltung der DSGVO ist viel zu riskant
Die DGVO enthält nicht nur zahlreiche neue Regelungen für Unternehmen, sondern auch hohe Geldbußen für die Nicht-Einhaltung der Verpflichtungen. Britische Unternehmen könnten bei Datenschutz-Verstößen aufgrund der Verarbeitung personenbezogener Daten in der EU mit bis zu 20 Mio. Euro oder bis zu 4 % des weltweiten Jahresumsatzes belangt werden – je nachdem welcher Betrag höher ist!
Fazit: Britische Unternehmen sind mit der DSGVO gut beraten
Während sich die Regierung Großbritanniens auf die Zeit nach dem Brexit vorbereitet, sind britische Unternehmen aus allen Sektoren gut damit beraten, weiterhin die Regelungen der DSGVO einzuhalten. Sollte die britische Regierung das nationale Datenschutzrecht nach dem Brexit nicht ohnehin an die DSGVO anpassen, müssen britische Unternehmen, die personenbezogene Daten von Personen in der EU verarbeiten, dennoch die Vorschriften der DSGVO beachten. Darüber hinaus kündigte die britische Aufsichtsbehörde an, dass nach dem Brexit sehr ähnliche Standards gelten werden.
Sie arbeiten mit britischen Unternehmen zusammen oder lassen in Großbritannien Daten verarbeiten? Wir steuern Sie sicher durch den Brexit. Als externer Datenschutzbeauftragter sogar zum Festpreis!