Vor über einem Jahr haben wir unseren letzten Artikel über den Brexit veröffentlicht und es ist offensichtlich, dass sich seitdem viel verändert hat. Diesmal werden wir uns damit beschäftigen, was der Brexit für das DSGVO-Gesetz bedeutet und welche Auswirkungen es für Unternehmen hat, die im Vereinigten Königreich und in Europa agieren.
Die Brexit-Übergangsphase endete am 31. Dezember 2020 und die DSGVO der EU findet keine direkte Anwendung mehr für das Vereinigte Königreich. Sie wurde jedoch mit verschiedenen Änderungen als nationales Gesetz übernommen, um sicherzugehen, dass sie im Vereinigten Königreich Anwendung finden kann. Diese geänderte Version, die auch unter dem Namen „UK-DSGVO“ bekannt ist, regelt jetzt die Verarbeitung von Daten innerhalb des Vereinigten Königreichs. Wie hier in den FAQ der ICO (unabhängige Datenschutz-Regulierungsbehörde im Vereinigten Königreich) zum Ende der Übergangsperiode beschrieben, werden andere Regeln wie PECR (ein britisches Gesetz, das die ePrivacy-Richtlinie der EU von 2003 umsetzt) und NIS weiterhin im Vereinigten Königreich gelten.
Doch was bedeutet das für Unternehmen?
In einem kürzlich erschienenen Artikel von Osborne Clarke heißt es: „Sowohl die EU-DSGVO als auch die UK-DSGVO haben extraterritoriale Wirkung. Unternehmen müssen daher über die Auswirkungen nachdenken, die beide Regelungen auf ihre Datenströme, Aufzeichnungen über die Verarbeitung, Verträge, Richtlinien und Verfahren sowie die Anforderungen an die Ernennung von EU-Datenschutzbeauftragten haben werden.“
Viele Unternehmen werden von beiden DSGVO-Systemen betroffen sein, da sowohl das EU-DSGVO-Gesetz als auch das UK-DSGVO-Gesetz eine extraterritoriale Reichweite aufweisen. Wenn Sie also zum Beispiel Büros im Vereinigten Königreich und auch in der EU haben, unterliegen Sie auch beiden Verordnungen. Obwohl die EU-DSGVO und die UK-DSGVO in weiten Teilen übereinstimmen, handelt es sich dennoch um zwei separate Verordnungen und Unternehmen müssen darauf vorbereitet sein, beiden Regelwerken zum Datenschutz nachzukommen.
Eine der sofortigen Änderungen, die aus der Anpassung der UK-DSGVO resultiert, ist die Tatsache, dass viele Unternehmen ihre Verträge und Richtlinien aktualisieren müssen. Der Bericht von Osborne Clarke zu diesem Thema erwähnt, dass „die Erwartung darin besteht, dass das ICO zu gegebener Zeit einen neuen Satz Standardvertragsklauseln genehmigen wird, der wahrscheinlich den neuen Entwurf für Standardvertragsklauseln, der von der Europäischen Kommission im November 2020 veröffentlicht wurde, abbildet und sich daran orientiert.“
Wenn man an neue Verträge und Richtlinien denkt, ist das Erste, was einem dabei in den Sinn kommt, wahrscheinlich der Papierkram. Für ein Unternehmen mit Büros in Europa und in Großbritannien könnte das bedeuten, dass dieser Stapel Papierkram noch höher wird, wenn Sie diese Dokumente für jedes Land, in dem Sie agieren, übersetzen müssen. Unser Team aus erfahrenen Übersetzern im Bereich Recht unterstützt Sie bei diesem Prozess, ist rund um die Uhr für Sie da und lässt Ihnen innerhalb einer Stunde ein Angebot zukommen.
Abhängig von den jeweiligen Umständen, kann es sein, dass Unternehmen zusätzliche regulatorische Aufgaben wahrnehmen müssen. In den kommenden Monaten könnte es beispielsweise notwendig sein, dass Unternehmen separate Datenschutzbeauftragte für die EU und für das Vereinigte Königreich ernennen müssen. Unternehmen sollten außerdem dafür sorgen, dass Ihre Aufzeichnungen, Datenschutzrichtlinien und Verträge aktualisiert werden, um die Position des Vereinigten Königreichs außerhalb der EU widerzuspiegeln.
In den Wochen vor dem Brexit bestand eine große Unsicherheit hinsichtlich der Antwort auf die Frage, was ein „No-Deal-Brexit“ für die DSGVO und für Unternehmen, die Daten zwischen der EU und dem Vereinigten Königreich transferieren müssen, bedeuten würde. Die EU muss immer noch entscheiden, ob das Vereinigte Königreich ein angemessenes Datenschutzniveau bietet. Glücklicherweise wurde jedoch mit dem Handels- und Kooperationsabkommen (TCA) zwischen der EU und dem Vereinigten Königreich eine Zwischenlösung eingeführt, die der EU mehr Zeit für ihre Entscheidung einräumt. Das Abkommen hat es effektiv als rechtmäßig erklärt, Daten bis zu sechs Monate lang zu transferieren, beginnend ab dem 1. Januar 2021.
Wie die Kanzlei DLA Piper in ihrem Bericht über den Datentransfer zwischen der EU und dem Vereinigten Königreich gefolgert hat, „sind die Zusagen, die gemacht wurden, sowie die sechsmonatige Übergangsphase im Handelsabkommen gute Neuigkeiten für den Handel und sollten für ausreichend Vertrauen sorgen, um die Frage der Adäquatheit frühzeitig zu beantworten.“ Auf der anderen Seite hat das Vereinigte Königreich bereits bestätigt, dass es EU-Mitgliedstaaten als adäquat betrachtet und Datenströme weiterhin ohne zusätzliche Anpassungen stattfinden können. Dies sind sowohl für europäische als auch für britische Unternehmen gute Neuigkeiten.
Zusammenfassend lässt sich also festhalten, dass die DSGVO-Systeme der EU und des Vereinigten Königreichs weitgehend übereinstimmen, es jedoch trotzdem noch ein paar Punkte hinsichtlich der Richtlinien und Verfahren im Datenschutz gibt, die einer genaueren Klärung bedürfen.
Wenn Ihr Unternehmen Unterstützung bei der Übersetzung juristischer Dokumente benötigt, kontaktieren Sie uns. Wir helfen Ihnen gerne dabei.