Die seit dem 25. Mai 2018 in Kraft getretene Datenschutz-Grundverordnung (DSGVO) der EU regelt die Verarbeitung personenbezogener Daten in der Europäischen Union. Da das Vereinigte Königreich aktuell noch Mitglied der EU ist, gilt die DSGVO auch für die Bürger und Unternehmen des Landes.
Dem Referendum am 23. Juni 2016 und der anschließenden Notifikation gemäß Artikel 50 des Vertrages von Lissabon folgend endete die EU-Mitgliedschaft des Vereinigten Königreiches am 29. März 2019, gefolgt von einer Übergangsperiode bis zum 31. Dezember 2020.
Wie wird Brexit sich auf die DSGVO auswirken?
Kurz gesagt: Wenn der Brexit erfolgt, werden mit großer Wahrscheinlichkeit die inländischen Gesetze für die in Großbritannien ansässigen Firmen zur Geltung kommen. Damit britische Organisationen nach dem Austritt weiterhin mit Firmen in der EU handeln und Daten teilen können, hat die Regierung die Datenschutzverordnung der DSGVO entsprechend angepasst.
Jedoch gilt die DSGVO für alle Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten – auch wenn das Unternehmen außerhalb der EU ansässig ist –, so dass sich Unternehmen mit Sitz im Vereinigten Königreich weiterhin an die Verordnung halten müssen.
Nach dem aktuellen Stand der Verhandlungen und des Austrittsabkommens ist es sehr wahrscheinlich, dass das Datenschutzgesetz der EU auch in den Fällen zur Geltung kommen wird, in denen personenbezogene Daten in Großbritannien vor der Übergangsperiode verarbeitet wurden.
Potenzielle Änderungen
Eine Sache wird sich jedoch wahrscheinlich ändern: Großbritannien wird zu einem Land außerhalb der Europäischen Union, so dass Datentausch zwischen dem Land und der EU nicht bedingungslos erlaubt wird.
Da GB die größte Internetwirtschaft unter den G20-Ländern abwickelt und die meisten der grenzüberschreitenden Daten mit EU-Ländern ausgetauscht werden, wird das Land wahrscheinlich Maßnahmen ergreifen müssen, um sicherzustellen, dass die Daten zwischen GB und der EU rechtmäßig geteilt werden.
Obwohl nach dem aktuellen Stand der Verhandlungen mehrere mögliche Szenarien vorstellbar sind, wird Großbritannien mit größter Wahrscheinlichkeit eine Angemessenheitsentscheidung benötigen. Die EU-Kommission kann festlegen, ob ein Land außerhalb der EU ein entsprechendes Level an Datenschutz nachweisen kann. Nach einer derartigen Entscheidung können personenbezogene Daten aus der EU (und Norwegen, Liechtenstein und Island) ohne weitere Schutzmaßnahmen in Drittländer übertragen werden. (Quelle: EU-Kommission) Das Treffen einer solchen Entscheidung kann mehrere Jahre in Anspruch nehmen, nachdem der Brexit erfolgt ist. Bis dahin bleibt diese Frage offen.
Zum Vollzug der DSGVO werden Firmen in Großbritannien der Rechtsprechung einer weiteren EU-Datenschutzbehörde unterliegen. Während die DSGVO eine "führende" Aufsichtsbehörde in einem Land anerkennt, in dem eine Organisation ihren Hauptsitz hat, und diese Behörde die Kompetenz hat, alle Datenschutzfälle zu prüfen, wird dies für Firmen mit Hauptsitz im Vereinigten Königreich nicht länger der Fall sein.
Fazit
Da die Verhandlungen noch laufen, ist es schwer einzuschätzen, was zu erwarten ist. Wir werden diesen Artikel aktualisieren, wenn Änderungen in Kraft treten. Eins ist aber sicher: Die DSGVO wird auch nach dem Brexit auf Unternehmen in Großbritannien Auswirkungen haben.
Erfahren Sie, wie Sie mit Tresorit Compliance erzielen können:
- HIPAA-Compliance mit Tresorit
- FAQ zur DSGVO und zu Verschlüsselung
- Wie Sie einen Auftragsverarbeitungsvertrag unterzeichnen
Sie haben noch Fragen? Schreiben Sie uns