BREXIT und DSGVO: Wichtige Infos für Unternehmen

Der Brexit hat nicht nur die politische und wirtschaftliche Landschaft Europas verändert, sondern auch massive Auswirkungen auf den Datenschutz gehabt. Während Großbritannien vor dem Austritt noch fest in die EU-Datenschutzregeln eingebunden war, wird das Land seit dem 01. Januar 2021 als „Drittland“ bezeichnet und hat neue, eigenständige Datenschutzrichtlinien entwickelt. 

Diese Entwicklung stellt seitdem zahlreiche Unternehmen vor große Herausforderungen: Welche Regeln gelten jetzt für Datentransfers zwischen der EU und dem Vereinigten Königreich? Welche Maßnahmen müssen ergriffen werden, um die Compliance sicherzustellen? Und was passiert, wenn der aktuelle Angemessenheitsbeschluss der EU nach 2025 nicht verlängert wird? 

Dieser Artikel bietet Ihnen einen umfassenden Überblick über die Rahmenbedingungen und gibt Ihnen praktische Hinweise, wie Ihr Unternehmen sich auf mögliche Änderungen vorbereiten kann.

Datenschutz nach dem Brexit

Nach dem Brexit hat Großbritannien einen eigenen Rechtsrahmen für den Datenschutz etabliert: die UK GDPR (Retained EU General Data Protection Regulation). Dieses Regelwerk basiert auf der DSGVO der Europäischen Union, wurde jedoch an britische Anforderungen angepasst und durch den Data Protection Act 2018 ergänzt, der spezifische nationale Bestimmungen enthält.

Im Juni 2021 hat die EU-Kommission einen Angemessenheitsbeschluss verabschiedet, der das Datenschutzniveau in Großbritannien als gleichwertig mit den EU-Standards anerkennt. Dadurch können personenbezogene Daten weiterhin ohne zusätzliche Schutzmaßnahmen aus der EU nach Großbritannien übertragen werden. Dieser Beschluss ist jedoch bis zum 27. Juni 2025 befristet und unterliegt regelmäßigen Überprüfungen.Für Datenübertragungen aus Großbritannien hat die britische Datenschutzbehörde ICO (Information Commissioners Office) im März 2022 das International Data Transfer Agreement (IDTA) sowie ein UK Addendum zu den EU-Standardvertragsklauseln (SCCs) eingeführt. Diese Dokumente bieten eine rechtliche Grundlage für internationale Datentransfers und gewährleisten den Schutz personenbezogener Daten bei Übermittlungen von Großbritannien in die EU und andere Drittländer.

Unterschiede zwischen UK GDPR und DSGVO der EU

Die UK GDPR und die EU DSGVO sind sich zwar sehr ähnlich, da die UK GDPR aus der DSGVO nach dem Brexit abgeleitet wurde, aber es gibt einige wichtige Unterschiede, die Unternehmen kennen sollten:

Geltungsbereich

• EU DSGVO: Gilt für alle Unternehmen innerhalb der EU sowie für Unternehmen außerhalb der EU, die personenbezogene Daten von Personen in der EU verarbeiten.
• UK GDPR: Gilt für alle Unternehmen innerhalb des Vereinigten Königreichs sowie für Unternehmen außerhalb des UK, die personenbezogene Daten von UK-Bürgern verarbeiten.

Aufsichtsbehörde

• EU DSGVO: Die Aufsichtsbehörden sind die Datenschutzbehörden der einzelnen Mitgliedstaaten der EU.
• UK GDPR: Die Datenschutzaufsicht im Vereinigten Königreich wird von der Information Commissioner’s Office (ICO) wahrgenommen.

Datentransfer

• EU DSGVO: Der Datentransfer von und zu Drittstaaten erfordert Angemessenheitsbeschlüsse oder andere Mechanismen wie Standardvertragsklauseln.
• UK GDPR: Die britische Regierung hat die EU als einen „adäquaten“ Datenverarbeitungsraum anerkannt, was den freien Datentransfer in die EU und von der EU ins UK erlaubt. Umgekehrt hat die EU einen Angemessenheitsbeschluss für das Vereinigte Königreich erlassen, sodass Datentransfers von der EU ins UK weiterhin erlaubt sind. Diese Entscheidung könnte aber in der Zukunft überarbeitet werden.

Nationaler Einfluss und Änderungen

• EU DSGVO: Unterliegt der zentralen Gesetzgebung der EU und kann nur von der EU geändert werden. Es gibt aber länderspezifische Anpassungen, z. B. im Bereich Arbeitnehmerdatenschutz.
• UK GDPR: Das Vereinigte Königreich kann Änderungen an seiner eigenen Version der GDPR vornehmen, und die Regierung plant möglicherweise in Zukunft Anpassungen, um mehr Flexibilität für Unternehmen zu bieten.

Mindestalter für Einwilligung:

• Die EU DSGVO legt das Mindestalter für die Einwilligung zur Datenverarbeitung auf 16 Jahre fest, während die UK GDPR das Mindestalter auf 13 Jahre festlegt

Vertreterpflicht

• EU DSGVO: Unternehmen mit Sitz außerhalb der EU, die Daten von EU-BürgerInnen verarbeiten, müssen einen Vertreter in der EU benennen.
• UK GDPR: Unternehmen mit Sitz außerhalb des UK, die Daten von britischen BürgerInnen verarbeiten, müssen einen Vertreter im UK benennen.

Bußgelder

• EU DSGVO: Verstöße können mit Bußgeldern von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes eines Unternehmens geahndet werden, je nachdem, welcher Betrag höher ist.
• UK GDPR: Die Strafen sind ähnlich: bis zu 17,5 Millionen Pfund oder 4 % des weltweiten Jahresumsatzes.

Direktmarketing

• EU DSGVO: Regeln zur Einwilligung und zum Widerspruch gegen Direktmarketing sind sehr streng.
• UK GDPR: Der UK Privacy and Electronic Communications Regulations (PECR) ergänzt die UK GDPR und regelt Direktmarketing. Dies könnte in Zukunft auch geändert oder angepasst werden.

Welche Regelungen gelten für deutsche Unternehmen?

Derzeit können deutsche Unternehmen aufgrund des Angemessenheitsbeschlusses der EU personenbezogene Daten bis mindestens Juni 2025 weiterhin problemlos nach Großbritannien übertragen. Dieser Beschluss besagt, dass das Datenschutzniveau in Großbritannien den EU-Standards entspricht, sodass keine zusätzlichen Schutzmaßnahmen wie Standardvertragsklauseln (SCCs) erforderlich sind.

Nach Juni 2025 wird die Europäische Kommission den Angemessenheitsbeschluss erneut prüfen. Sollte der Beschluss nicht verlängert werden, beispielsweise weil Großbritannien seine Datenschutzstandards ändert oder die EU das Datenschutzniveau als unzureichend einstuft, gelten die bisherigen Erleichterungen nicht mehr.

Was passiert, wenn der Angemessenheitsbeschluss nicht verlängert wird?

Wenn der Angemessenheitsbeschluss zwischen der EU und dem Vereinigten Königreich nicht verlängert wird, hätte dies erhebliche Auswirkungen auf den Datenaustausch zwischen den beiden Regionen. Hier sind die möglichen Konsequenzen:

• Ende des freien Datenflusses: Ohne den Angemessenheitsbeschluss wären personenbezogene Daten aus der EU nicht mehr frei in das Vereinigte Königreich übertragbar. Unternehmen müssten alternative Mechanismen verwenden, um die Rechtmäßigkeit solcher Datenübermittlungen sicherzustellen.
• Verwendung alternativer Übertragungsmechanismen: Unternehmen müssten auf Standardvertragsklauseln (SCCs) oder Binding Corporate Rules (BCRs) zurückgreifen, um den Schutz der Datenübertragungen zu gewährleisten. Diese Mechanismen erfordern jedoch zusätzliche vertragliche und organisatorische Maßnahmen, um die Anforderungen der DSGVO zu erfüllen.
• Erhöhter Verwaltungsaufwand: Unternehmen, die auf SCCs oder andere Mechanismen angewiesen sind, müssen ihre Datenschutzrichtlinien und Datenverarbeitungsvereinbarungen aktualisieren, was zu einem erhöhten administrativen Aufwand führt​.
• Risiko von Bußgeldern: Sollten Unternehmen keine geeigneten Übertragungsmechanismen implementieren, drohen potenzielle Bußgelder und Sanktionen durch Datenschutzbehörden der EU oder des Vereinigten Königreichs.
• Mögliche Geschäftsbeeinträchtigung: Wenn der Datentransfer erheblich erschwert wird, könnten Unternehmen, die stark auf den Datenaustausch zwischen der EU und dem UK angewiesen sind, Geschäftseinbußen erleiden. Besonders stark betroffen wären Branchen wie E-Commerce, FinTech oder Dienstleistungen, die auf grenzüberschreitende Datenflüsse angewiesen sind.
• Überwachung durch Datenschutzbehörden: Unternehmen, die weiterhin Daten von der EU ins Vereinigte Königreich übermitteln, müssten eng mit Datenschutzbehörden zusammenarbeiten, um sicherzustellen, dass sie den alternativen Mechanismen vollständig entsprechen​

Fazit

Der Brexit hat den Datenschutz erheblich beeinflusst, und Unternehmen müssen sich auf wechselnde rechtliche Rahmenbedingungen einstellen. Solange der Angemessenheitsbeschluss gilt, sind Datentransfers zwischen der EU und Großbritannien ohne zusätzliche Maßnahmen möglich. Nach 2025 könnte sich dies jedoch ändern, weshalb Unternehmen proaktiv handeln und sich auf alternative Datenschutzmechanismen wie das UK Addendum und IDTA vorbereiten sollten, um die Compliance sicherzustellen.