GDPR-Konformität nach Brexit: das UK GDPR und das EU GDPR

GDPR ist das Datenschutz- und Sicherheitsgesetz Europas. Es legt eine Reihe von Regeln für das Sammeln und die Nutzung der personenbezogenen Daten von EU-Bürgern fest, sowohl für EU-Unternehmen als auch für ausländische.

GDPR deckt die wichtigsten Regeln für das Sammeln und die Nutzung personenbezogener Daten ab. Es verlangt von Ihrem Unternehmen, fair und transparent darüber zu sein, wie Sie die von Ihren Kunden gesammelten Daten verwenden. Sie sollten die Daten auch nur für Zwecke sammeln und verwenden, über die Sie Ihre Kundschaft informiert haben.

GDPR-Richtlinien gelten auch für die Speicherung personenbezogener Daten und regeln, wie lange Sie diese speichern dürfen und wie sie geschützt werden. Datensicherheit umfasst technische Maßnahmen wie Verschlüsselung und Zwei-Faktor-Authentifizierung. Es beinhaltet auch organisatorische Maßnahmen wie Mitarbeiterschulungen und die Begrenzung des Datenzugriffs.

Das Vereinigte Königreich war vor dem Brexit ebenfalls GDPR unterworfen. Nach dem Brexit hat das UK jedoch seine eigenen Regeln für GDPR geschaffen. Es wird heute häufig als UK GDPR bezeichnet.

Daher ist es wichtig zu verstehen, was UK GDPR ist, wenn Sie die Daten von UK-Bürgern sammeln und verwenden möchten. Lassen Sie uns erläutern, wie es sich vom EU GDPR unterscheidet und welche Gesetze und Vorschriften im Vereinigten Königreich die Daten regeln.

Was ist EU GDPR?

EU GDPR ist ein Datenschutzgesetz, das 2018 in der EU in Kraft trat. Ziel des Gesetzes ist es, den Einzelnen die Kontrolle über ihre personenbezogenen Daten zu geben. Es macht Unternehmen auch verantwortlich dafür, wie sie die Daten ihrer Kunden verwenden und speichern. Es ist auch ein bedeutender Aspekt des internationalen Gehaltswesens, daher ist es wichtig, sich mit seinen Vorschriften vertraut zu machen.

EU GDPR hat sieben zentrale Regeln und Verantwortlichkeiten, die jedes Unternehmen einhalten muss. Dazu gehören:

1. Rechtmäßigkeit, Fairness und Transparenz

GDPR verlangt, dass: "personenbezogene Daten rechtmäßig, fair und transparent verarbeitet werden." Ihr Unternehmen muss einen guten Grund haben, die Daten einer Person zu verwenden. Das könnte die Zustimmung der Person, eine rechtliche Notwendigkeit oder ein berechtigtes Interesse sein.

Sie dürfen Daten nicht nur sammeln, weil es bequem ist. GDPR erfordert einen rechtlichen Grund, und Sie müssen gegenüber Ihren Kunden klar und ehrlich sein, warum Sie die Daten benötigen.

2. Zweckbindung

Wenn Ihr Unternehmen personenbezogene Daten sammelt, müssen Sie einen bestimmten Grund haben und diese nur für diesen Zweck verwenden. Sie sollten Ihre Kunden auch über den Grund der Datenerhebung informieren und Dokumente haben, die die beabsichtigte Nutzung erklären. Es ist wichtig, die Datenverarbeitung regelmäßig zu überprüfen. Bei Bedarf sollten Sie Dokumentation und Verfahren umgehend aktualisieren.

3. Datenminimierung

Unter GDPR müssen Unternehmen nur die Daten sammeln, die sie benötigen. Durch das Sammeln weniger Daten verringert sich das Risiko bei einem Datenverstoß. Dies bedeutet, keine unnötigen Informationen zu erfragen, sondern nur die, die für einen bestimmten Zweck notwendig sind.

4. Richtigkeit

Die gesammelten Daten müssen korrekt und aktuell gehalten werden. Wenn jemand Ihnen mitteilt, dass sich seine Daten geändert haben, müssen Sie diese aktualisieren. Das bedeutet, Daten regelmäßig zu prüfen und zu korrigieren, um sicherzustellen, dass sie immer richtig sind.

5. Speicherbegrenzung

Bewahren Sie personenbezogene Daten nicht länger auf, als es notwendig ist. Sobald Sie die Daten nicht mehr für den Zweck benötigen, für den Sie sie gesammelt haben, sollten Sie sie löschen oder anonymisieren. So wird sichergestellt, dass die Daten nicht unbegrenzt gespeichert werden, was riskant sein könnte.

6. Integrität und Vertraulichkeit (Sicherheit)

Sie müssen personenbezogene Daten vor Verlust, Diebstahl oder unbefugtem Zugriff schützen. Dazu gehören die Verwendung starker Passwörter, Verschlüsselung der Daten und die Sicherstellung, dass nur bestimmte Personen Zugriff auf die Daten haben. Bei einem Datenverstoß müssen Sie diesen innerhalb von 72 Stunden melden, um Schaden zu minimieren.

7. Verantwortlichkeit

Organisationen müssen Verantwortung für die von ihnen gesammelten Daten übernehmen. Sie sollten auch nachweisen können, dass sie die GDPR-Regeln einhalten. Das bedeutet, klare Richtlinien zu haben, Mitarbeitende zu schulen und nachweisen zu können, wie sie Daten schützen. Bei hohem Risiko eines Datenproblems sollten sie eine Data Protection Impact Assessment durchführen, um potenzielle Probleme zu erkennen und zu beheben, bevor sie auftreten.

Dieses Gesetz erschwert es auch Unternehmen, Verbraucher mit verwirrender oder vager Sprache zu täuschen. Es stellt sicher, dass Unternehmen ihre Website-Besucher darüber informieren, dass sie ihre Daten sammeln.

Unter GDPR geben Kunden und Verbraucher ausdrücklich ihre Zustimmung zur Datenerhebung. Websites müssen um Zustimmung bitten, indem sie die Nutzer auffordern, auf eine Schaltfläche zu klicken oder eine andere Aktion durchzuführen. Außerdem müssen Websites die Besucher umgehend informieren, wenn ihre personenbezogenen Daten durch einen Verstoß kompromittiert werden.

Schließlich schreibt das Gesetz auch eine Bewertung der Datensicherheit der Website vor. Es bestimmt auch, ob das Unternehmen einen dedizierten Data Protection Officer (DPO) einstellen muss. In einigen Fällen kann ein bestehendes Personal diese Rolle übernehmen.

Was ist UK GDPR?

Die United Kingdom General Data Protection Regulation (UK GDPR) ist das Datenschutzgesetz des Vereinigten Königreichs. Es basiert auf dem EU GDPR und weist viele Ähnlichkeiten auf. Das UK GDPR nach dem Brexit bewahrt die Kernwerte des EU GDPR und stellt sicher, dass die Datenschutzstandards eingehalten werden.

Für welche Fälle gilt UK GDPR?

Einer der Hauptunterschiede zwischen UK GDPR und EU GDPR liegt in ihrer Anwendbarkeit. Der EU GDPR gilt für jede Organisation, sowohl innerhalb als auch außerhalb der EU. Jedes Unternehmen, das die Daten von EU-Bürgern sammeln und verarbeiten möchte, muss die EU GDPR einhalten, unabhängig davon, wo das Unternehmen ansässig ist.

Andererseits hat UK GDPR eine deutlich engere Anwendbarkeit. Es gilt für jedes Unternehmen, das personenbezogene Daten von UK-Bürgern sammelt. Es betrifft in- und ausländische Unternehmen, die in UK registriert sind.

Unternehmen, die Daten sowohl von UK- als auch von EU-Bürgern sammeln, müssen sowohl EU GDPR als auch UK GDPR befolgen.

Wer sind die zuständigen Aufsichtsbehörden?

Die zuständigen Aufsichtsbehörden, die die GDPR-Regeln durchsetzen, unterscheiden sich ebenfalls.

In der EU muss jedes Land eine oder mehrere Aufsichtsbehörden einrichten, die die EU GDPR-Regeln überwachen und durchsetzen. Diese werden als Supervisory Authorities bezeichnet.

Zusätzlich wird die EU GDPR durch das European Data Protection Board (EDPB) geregelt. Das Gremium sorgt dafür, dass alle Mitgliedsländer die GDPR einheitlich anwenden. Es löst auch Streitigkeiten zwischen ihnen. Das EDPB fördert die Zusammenarbeit zwischen den verschiedenen Supervisory Authorities.

Im UK ist die zuständige Behörde, die die UK GDPR überwacht, das Information Commissioner’s Office (ICO). Das ICO hat eine ähnliche Funktion wie eine Supervisory Authority. Das Department for Science, Innovation, and Technology des UK fördert die Arbeit des ICO.

Was ist der Unterschied zwischen UK GDPR und EU GDPR?

Es gibt mehrere Unterschiede zwischen UK GDPR und EU GDPR. Die ersten beiden, Anwendbarkeit und Aufsichtsbehörden, werden im Detail behandelt. Es gibt jedoch noch weitere Unterschiede, die ein Unternehmen, das Daten von Kunden im UK und in der EU sammelt, berücksichtigen sollte.

UK GDPR ist an den Rechtsrahmen des UK angepasst

Da EU GDPR mehrere Länder unter einem Dach vereint, enthält sein Gesetz Verweise auf EU-Institutionen. UK GDPR lokalisiert dies auf Institutionen innerhalb des Landes.

EU GDPR konzentriert sich auf alle Länder unter seiner Gerichtsbarkeit. UK GDPR beschreibt Prozesse für die Zusammenarbeit zwischen UK- und EU-Institutionen.

Die meisten Standards zum Datenschutz sind in beiden Gesetzen ähnlich, aber UK GDPR weist einige Unterschiede auf. Es gibt Ausnahmen für bestimmte öffentliche Behörden. Es ist auch die Ernennung von Data Protection Officers vorgeschrieben. Das UK hat zudem strengere Anforderungen bei der Meldung von Datenverstößen als die EU.

Übertragungen personenbezogener Daten

Datenübertragungen im EU-Raum sind unter EU GDPR deutlich einfacher. Im Wesentlichen betrachtet EU GDPR alle Länder in seiner Gerichtsbarkeit als einen Markt. Das bedeutet, Unternehmen in der EU können Daten in andere EU-Länder übertragen, solange sie die Datenschutzgrundsätze einhalten.

Der Brexit hat dazu geführt, dass das UK in den Augen des EU GDPR eine separate Gerichtsbarkeit ist, ähnlich wie Kanada oder die USA. Daher sind zusätzliche Schutzmaßnahmen für den Datentransfer zwischen den beiden Einheiten erforderlich. Beispielsweise müssen Unternehmen, die Daten ins UK übertragen, Standarddatenschutzklauseln oder verbindliche Unternehmensregeln verwenden, um die Daten zu sichern.

Unterschiede bei Vertretern

Ein weiterer bedeutender Unterschied betrifft die Behandlung von Vertretern. Der EU GDPR verlangt, dass Drittlandunternehmen, die personenbezogene Daten ihrer Bürger sammeln, einen Vertreter im Land haben, in dem sie die Daten erheben.

Das UK verlangt ebenfalls einen Vertreter, aber dieser muss nicht im UK ansässig sein. Ähnlich wie bei EU GDPR fungiert dieser Vertreter als Kontaktstelle. Sein Hauptzweck ist die Sicherstellung einer reibungslosen Zusammenarbeit zwischen der Organisation und den relevanten Aufsichtsbehörden. Das UK verlangt jedoch keine lokale Präsenz.

Unternehmen, die unter beiden GDPRs tätig sind, müssen je nach Jurisdiktion möglicherweise separate Vertreter benennen.

OSS-Mechanismen

Unternehmen, die sich an EU GDPR orientieren, sorgen sich oft, mit vielen Supervisory Authorities zu tun zu haben. Das EU GDPR bietet jedoch den sogenannten OSS-Mechanismus, der eine vereinfachte Abwicklung ermöglicht.

Der OSS-Mechanismus erlaubt es Unternehmen, nur mit einer Supervisory Authority zu arbeiten. Der Prozess bleibt jedoch offen für Empfehlungen einer anderen Behörde, falls erforderlich.

Das UK GDPR kennt keinen solchen Mechanismus, da es auf ein einzelnes Land beschränkt ist. Das ICO ist die einzige zuständige Behörde und verantwortlich für alle UK GDPR-Entscheidungen.

Änderungen und Aktualisierungen

Der Prozess der Änderung und Aktualisierung der GDPR variiert ebenfalls. Bei EU GDPR erfolgen alle Änderungen durch den EU-Gesetzgebungsprozess. Dieser ist ein kollektiver Entscheidungsprozess, an dem mehrere Behörden beteiligt sind.

Das UK GDPR liegt in der Verantwortung der britischen Regierung. Diese kann Änderungen und Aktualisierungen eigenständig vornehmen. Während das UK bestrebt ist, ein hohes Datenschutzniveau zu wahren, kann es Änderungen unabhängig vornehmen.

Strafen und Bußgelder

Der letzte Unterschied betrifft Strafen und Bußgelder. Sowohl EU als auch UK GDPR können Unternehmen, die gegen die Regeln verstoßen, mit festen Gebühren oder prozentualen Anteilen am Jahresumsatz bestrafen. Die Höhe hängt vom jeweiligen Fall ab.

Unter EU GDPR können Unternehmen mit 10 Millionen € oder 2 % des Jahresumsatzes bestraft werden. Bei schwerwiegenden Verstößen kann die Strafe bis zu 20 Millionen € oder 4 % des Umsatzes betragen.

Das UK erkennt kleinere und größere Verstöße an. Kleinere Verstöße werden mit £8.700.000 oder 2 % geahndet. Größere Verstöße können das Unternehmen bis zu £17.500.000 oder 4 % kosten.

Compliance-Überlegungen und Herausforderungen

Die Einhaltung sowohl von EU GDPR als auch UK GDPR kann herausfordernd sein. Unternehmen sollten die Unterschiede zwischen beiden genau kennen. Hier einige Herausforderungen, die bei der Navigation durch die GDPR in diesen Ländern auftreten können:

1. Doppelanwendbarkeit

Obwohl es viele Gemeinsamkeiten gibt, ist es wichtig, beide bei der Erstellung der Datenschutzrichtlinien zu berücksichtigen. Unternehmen, die in UK und EU tätig sind, sollten sicherstellen, dass ihre Datenschutzpraktiken beiden Standards entsprechen.

2. Datenübertragungen

Da keine einvernehmlichen Regelungen für den Datentransfer zwischen UK und EU bestehen, sollten Sie geeignete Mechanismen für den Datentransfer implementieren. Das kann bedeuten, verbindliche Unternehmensregeln zu erstellen oder auf Standardvertragsklauseln zurückzugreifen.

3. Verschiedene Anforderungen

Es gibt bedeutende Unterschiede zwischen den beiden GDPRs. Es ist wichtig, diese zu kennen. Beim Sammeln von Daten sowohl von UK- als auch von EU-Bürgern müssen Sie beide GDPRs und ihre Unterschiede beachten, um die Compliance zu wahren.

4. Erhöhte Verantwortlichkeit

Der Hauptgrund, GDPR zu befolgen, ist, dass Ihre Kunden und Klienten Ihnen vertrauen. Für andere Unternehmen ist es, hohe Bußgelder zu vermeiden. Wenn Letzteres für Sie wichtig ist, sollten Sie planen, unter beiden GDPRs verantwortlich zu sein.

Warum ist es wichtig, sowohl EU als auch UK GDPR einzuhalten?

Wie bereits erwähnt, ist die Einhaltung beider GDPRs wichtig, wenn Sie Daten von UK- oder EU-Ansässigen sammeln.

Einer der Hauptgründe, GDPR zu befolgen, ist, dass Sie das Vertrauen Ihrer Kunden gewinnen. Es fördert auch Transparenz und eine gute Kommunikation. Gute Kommunikation und Vertrauen sind vorteilhaft für Ihren Geschäftsruf.

GDPR kann auch helfen, Ihre Prozesse zum Datenschutz und zur Datenerfassung zu optimieren. Durch die Betonung nur der notwendigen Daten kann es Sie bei der Umsetzung der besten Sicherheits- und Speicherpraktiken unterstützen. Das hilft, unnötige Daten zu vermeiden und komplexe, teure Prozesse zu vermeiden.

Der wahrscheinlich größte Vorteil für Unternehmen ist die Einhaltung der gesetzlichen Vorgaben. Es hilft, hohe Bußgelder und Strafen zu vermeiden. Wenn Ihre Kunden unzufrieden mit Ihrer Datenverarbeitung sind, könnten sie rechtliche Schritte gegen Sie einleiten.

Im UK können die Strafen bei Nichteinhaltung der GDPR bis zu £17,5 Millionen betragen. In der EU können die Gebühren bis zu €20 Millionen steigen.

Beste Praktiken für Unternehmen, die UK GDPR und EU GDPR navigieren

Als Unternehmen, das beide GDPRs beachten muss, können Sie einige bewährte Praktiken befolgen:

1. Vertiefen Sie das Verständnis der Unterschiede zwischen UK und EU GDPR

2. Bestimmen Sie, ob Ihr Unternehmen beide, nur UK oder nur EU GDPR einhalten muss.

3. Implementieren Sie alle erforderlichen Datenschutzmaßnahmen. Halten Sie sie an die Empfehlungen der jeweiligen GDPR-Regeln.

4. Überprüfen und aktualisieren Sie regelmäßig Ihre Datenschutzrichtlinien und bleiben Sie über Änderungen in der GDPR informiert.

Wenn Sie unsicher sind, welche GDPR für Ihr Unternehmen und Ihre Branche gilt, können Sie auch Experten beauftragen, dies für Sie zu regeln. Konsultieren Sie die zuständigen Behörden, um sicherzustellen, dass Ihr Unternehmen UK GDPR, EU GDPR oder beide einhält.

FAQs

Folgt das UK noch dem EU GDPR?

Das UK folgt dem UK GDPR, das viele Ähnlichkeiten mit dem EU GDPR aufweist. Wenn Sie ein Unternehmen im UK sind, aber Daten von Kunden aus der EU sammeln, müssen Sie weiterhin die EU GDPR einhalten.

Was sind die 7 Prinzipien der GDPR im UK?

Die sieben Prinzipien der GDPR im UK sind Rechtmäßigkeit, Fairness und Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit sowie Verantwortlichkeit.

Gilt UK GDPR nur für UK-Bürger?

Ja, UK GDPR gilt für UK-Bürger. Jedes Unternehmen muss die UK GDPR-Anforderungen erfüllen, wenn es die Daten von UK-Ansässigen verarbeitet.

Was gilt als UK GDPR-konforme Zustimmung?

Die UK GDPR hat klare Standards dafür, was eine konforme Zustimmung bedeutet. Die Zustimmung muss klar und unmissverständlich formuliert sein. Nutzer und Website-Besucher müssen durch Anklicken einer Opt-in-Option zustimmen. Vorab angekreuzte Opt-in-Boxen sind verboten. Websites müssen auch "granulare" Zustimmungsmöglichkeiten für verschiedene Verarbeitungsoptionen anbieten.