Die DSGVO nach dem Brexit – alles, was Sie wissen müssen

Nach Jahren des politischen Tauziehens war es am 31. Januar 2020 nun wirklich so weit: Großbritannien verließ offiziell die Europäische Union. So weit, so gut – aber welche Auswirkungen hat der Brexit auf die Datenschutzbestimmungen und deren Einhaltung?

Während der Übergangsperiode, die voraussichtlich am 31. Dezember 2020 endet, wird es nur wenige Änderungen geben, da Großbritannien während dieser Zeit wie jeder andere EU-Mitgliedsstaat behandelt wird. In Großbritannien gilt somit weiterhin EU-Recht – und damit auch die Datenschutzgrundverordnung (DSGVO).

In Großbritannien ansässige Unternehmen oder Organisationen, die persönliche Daten verarbeiten und für die die DSGVO bereits gilt. Sowie alle Unternehmen oder Organisationen außerhalb Großbritanniens, die mit britischen Nutzern interagieren und deren Daten verarbeiten.

In Großbritannien gelten im Jahr 2020 gleichzeitig folgende drei Gesetze: 

• die DSGVO, (die während der Übergangszeit immer noch gültig ist)
• die neue britische UK-GDPR, (die reine Formsache ist und zum Brexit-Tag am 31. Januar 2020 in Kraft trat)
• der Data Protection Act 2018, (in einer geänderten Fassung, die ebenfalls am 31. Januar 2020 in Kraft trat)

Da die EU-DSGVO nach der Übergangszeit nicht mehr in Großbritannien gilt, britische Organisationen jedoch weiterhin ihre Anforderungen erfüllen müssen, hat die britische Regierung die Data Protection, Privacy and Electronic Communications (Amendments etc) (EU Exit) Regulations 2019 erlassen. Der Data Protection Act von 2018 wurde hiermit entsprechend geändert und mit den Anforderungen der EU-DSGVO zu einer gemeinsamen Datenschutzregelung (der so genannten „UK-GDPR“) zusammengeführt, die nach dem Brexit in Großbritannien in Kraft tritt. 

Letztlich gibt es kaum Unterschiede zwischen der EU-DSGVO und dem UK-GDPR. Um rechtlich auf der sicheren Seite zu sein, sollten Unternehmen und Organisationen, die persönliche Daten verarbeiten, sicherstellen, dass sie weiterhin die Anforderungen der EU-DSGVO erfüllen.

Im Moment ist noch noch nicht klar, ob Großbritannien sich bei seiner Datenschutzstrategie in Zukunft an den DSGVO-Grundprinzipien orientieren oder eventuell doch andere Datenschutzregelungen implementieren wird.  

Sollte Großbritannien sich für eine individuelle, nicht den DSGVO-Grundprinzipien entsprechende Lösung entscheiden, stellt sich die Frage, wie streng diese ausfallen wird. Betrachtet man die globalen Regulierungstrends und die Tatsache, dass selbst die USA strengere Datenschutz-Regelungen für die einzelnen Bundesstaaten umsetzen wollen, kann man davon ausgehen, dass die britische Regierung den DSGVO-Grundprinzipien folgen wird.

Großbritannien bleibt auch nach 2020 ein „sicheres Drittland“.

Um als „sicheres Drittland“ eingestuft zu werden, muss Großbritannien eine Angemessenheitsprüfung durch die Europäische Kommission bestehen. Diese entscheidet, ob ein Land außerhalb der EU durch seine innerstaatliche Rechtslage oder seine internationalen Verpflichtungen ein angemessenes Datenschutzniveau bietet oder nicht. Wenn Angemessenheit festgestellt wird, können personenbezogene Daten sicher vom Europäischen Wirtschaftsraum in dieses Drittland fließen.

Großbritannien ist nach 2020 kein „sicheres Drittland“ mehr.

Wenn die Europäische Kommission zum Ergebnis kommt, dass kein angemessenes Schutzniveau gegeben ist, kommt dies laut der britischen Datenschutzbehörde ICO (Information Commissioner’s Office) einem „no-deal Brexit“ gleich. Während der Übergangszeit wird das ICO weiterhin Handlungsanweisungen für eine No-Deal-Variante auf seiner Website veröffentlichen.

Der Datentransfer von der EU nach Großbritannien wird ähnlich komplex werden, wie wir es von Datentransfers zwischen der EU und den USA kennen. Um weiterhin zusammenarbeiten zu können, werden umfassende Vereinbarungen über den Datenaustausch nötig sein.

Mehrere Gründe sprechen für die Tatsache, dass die DSGVO auch nach dem Brexit weiterhin für Großbritannien relevant sein wird: 

• Aufgrund der Übergangszeit innerhalb des Brexit sind im Jahr 2020 keine Änderungen hinsichtlich der Datenschutzbestimmungen und deren Umsetzung zu erwarten.
  -> Wenn ihr Unternehmen also bereits DSGVO-konform arbeitet, sind Sie zumindest 2020 auf der sicheren Seite.
• In Großbritannien ansässige Unternehmen mit europäischen Nutzern oder Kunden fallen unter den extraterritorialen Geltungsbereich der DSGVO und werden dies auch weiterhin tun.
  -> Stellen Sie sicher, dass Sie diese Anforderungen wie für jedes andere Unternehmen außerhalb der EU erfüllen.
• Sollte die britische Regierung eine eigene Datenschutzverordnung einführen, ist davon auszugehen, dass diese in vielerlei Hinsicht der DSGVO ähnelt. Zum einen, um den europäischen und internationalen Datentransfer zu erleichtern, zum anderen aber auch, weil Großbritannien historisch bedingt schon immer einen starken Fokus auf Datenschutz hat, deutlich stärker als das etwa in den USA der Fall ist.
  -> Egal was 2021 in Bezug auf neue Datenschutzvorschriften passiert, es ist davon auszugehen, dass diese sicherlich mindestens genauso streng sein werden wie die derzeit geltende EU-DSGVO.

Aber es gibt auch Unternehmen, die sich darauf nicht verlassen wollen: So hat beispielsweise Google angekündigt, aufgrund des Brexit alle britischen Nutzerdaten von EU-Servern auf Server in den USA zu übertragen. Eine Entscheidung, die darauf hindeutet, dass der Tech-Riese Großbritannien nicht zutraut, ein Angemessenheitsabkommen mit der EU zu erreichen, das garantiert, dass die Daten der EU-Bürger mit der gleichen Sorgfalt wie unter der DSGVO geschützt werden. Google behauptet jedoch, dass britische Nutzer trotz des Umzugs weiterhin alle Rechte laut DSGVO haben werden.

Interessant: Bereits lange vor der Einführung der DSGVO hat Großbritannien die ePrivacy Richtlinie umgesetzt, die Cookie-Banner für jede Website gesetzlich vorschreibt. Daher wäre jetzt – und vor allem auch im Hinblick auf 2021 – ein guter Zeitpunkt, sich die folgenden Empfehlungen der britischen Datenschutzbehörde ICO zum Aufbau eines konformen Cookie-Banners genauer anzusehen.

• Generell gilt: Unternehmen sollten den gleichen DSGVO-konformen Zustimmungsmechanismus für britische Nutzer einführen, bis eine neue Regelung in Kraft tritt.
• Unternehmen müssen sicherstellen, dass der von ihnen eingerichtete Zustimmungsmechanismus den Nutzern die Kontrolle über sämtliche von der Website gesetzten Cookies ermöglicht – insbesondere auch über Cookies von Drittanbietern (“third party cookies”).
• Die Nutzer-Zustimmung darf nicht in den Geschäftsbedingungen oder Datenschutzhinweisen versteckt werden. Im Gegenteil: Unternehmen sollten die Verwendung von Cookies offen kommunizieren. Um die Zustimmung der Nutzer zum Setzen der Cookies einzuholen, sollten Unternehmen ihren Nutzern genaue Informationen darüber geben, wie die von ihnen eingesetzten Cookies (oder ähnliche Technologien) funktionieren und wofür sie diese verwenden. Diese Erklärung muss klar verständlich und leicht zugänglich sein. Nutzer müssen in der Lage sein, die möglichen Folgen ihrer Zustimmung zum Einsatz von Cookies abzuschätzen.  
• Um die Nutzer-Einwilligung korrekt einzuholen, ist ein aktiver Opt-in des Nutzers erforderlich. Im Voraus gesetzte Haken oder andere Methoden der Standardeinwilligung sind nicht konform mit der DSGVO.
• Der Widerruf der Zustimmung muss genauso einfach sein wie die Erteilung der Zustimmung.  
• Unternehmen müssen jede Nutzer-Einwilligung dokumentieren – z.B. wer, wann, wie und zu was zugestimmt oder nicht zugestimmt hat. Spezielle Software-Programme, wie z.B. Consent Management Platforms, zur Einholung und Verwaltung der Nutzer-Einwilligungen, bieten eine bequeme Lösung für diese hochtechnische Art der Dokumentation.

Die vollständigen Anforderungen finden Sie im Leitfaden des ICO: https://ico.org.uk/for-organisations/guide-to-pecr/cookies-and-similar-technologies/ 

Wichtig zu wissen: Die britische Datenschutzbehörde ICO ist eine der aktivsten Behörden in Europa, wenn es darum geht, DSGVO-konforme Cookie Banner und sauberes Einwilligungsmanagement durchzusetzen. Solange keine andere Datenschutzregelung in Kraft getreten ist, wird sie die britische GDPR durchsetzen. 

Die gute Nachricht: Im Moment ändert sich nichts beim Thema Datenschutz – zumindest nicht im Jahr 2020. Sich während der Übergangszeit komplett zu entspannen, wäre allerdings keine gute Idee. Denn wenn uns das Hin- und Her rund um den Brexit eines gelehrt hat, dann, dass man nicht davon ausgehen kann, dass alles läuft wie geplant. Unser Tipp: Bereiten Sie sich rechtzeitig auf 2021 vor und gestalten Sie Ihre Website DSGVO-konform!

Gehen Sie auf Nummer sicher: Eine intelligente Consent Management Platform (CMP) hilft Ihnen dabei, die Zustimmungen Ihrer Website-Benutzer gesetzeskonform einzuholen und zu verwalten, das Vertrauen Ihrer Nutzer zu stärken, Ihre Werbeeinnahmen zu schützen und Ihr Unternehmen vor Bußgeldern zu bewahren.

Mehr Infos zur CMP von Usercentrics – Fordern Sie noch heute Ihre Demo an!