BREXIT und DSGVO – EU-Vorgaben bleiben Maßstab beim UK-Datenschutz
Der Austritt von Großbritannien aus der EU ist beschlossene Sache. Am 23. Juni 2016 hat die Bevölkerung mit knapper Mehrheit dafür gestimmt, dass das Vereinigte Königreich aus der EU austreten soll. Noch ist unklar, wie sich der BREXIT – ein Kunstwort aus den Begriffen „Britain“ und „Exit“ – im Detail auswirken wird.
Zumindest was den Datenschutz betrifft, gibt es nun ein wenig mehr Klarheit. Wie heise online berichtet, hat die britische Regierung die Absicht erklärt, das britische Datenschutzgesetz (Data Protection Act 1998) zu reformieren und dabei die EU-Vorgaben aus der Brüsseler EU-Datenschutz-Grundverordnung (DSGVO) für den öffentlichen Sektor und die Wirtschaft zu übernehmen.
Königreich wird zum Drittland
Mit seinem Austritt aus der EU wird Großbritannien in Bezug auf den Datenschutz zu einem sogenannten Drittland. Eine Datenübermittlung in ein Drittland ist nach der DSGVO nur erlaubt, wenn die EU-Kommission durch einen sogenannten Angemessenheitsbeschluss feststellt, das dort ein angemessenes Schutzniveau besteht. Anderenfalls unterliegt die Übermittlung von personenbezogenen Daten in solche Drittländer hohen Anforderungen. In Bezug auf Großbritannien ist ein solcher Beschluss aber keineswegs sicher: In der Vergangenheit hatte die Kommission das Vereinigte Königreich wegen unzureichender Umsetzung des Datenschutzes wiederholt kritisiert.
Noch kein konkreter Gesetzesentwurf
Einen konkreten Gesetzesentwurf hat der britische Digitalminister Matt Hancock noch nicht präsentiert. Eine erste Skizze zeigt jedoch, wie die Regierung in London den möglichst ungehinderten Datenfluss zwischen der Insel und der EU auch nach dem BREXIT sichern will. Geplant sind laut heise online etwa ein Recht auf Vergessenwerden, ein Anspruch auf Datenportabilität sowie insgesamt stärkere Einsichts- und Kontrollrechte der Bürger. Die neuen Regeln sollen laut dem Bericht auch einfacher durchsetzbar sein. Unternehmen sollen mit Sanktionen von bis zu vier Prozent des Jahresumsatzes zur Einhaltung der Vorgaben gezwungen werden.
Bis zum endgültigen Austritt gilt die DSGVO
Ab dem 25. Mai 2018 bis zum endgültigen Austritt Großbritanniens aus der EU gelten unmittelbar die Bestimmungen der DSGVO. Nach der vertraglich vorgesehenen zweijährigen Verhandlungsperiode ist derzeit mit dem Austritt für März 2019 zu rechnen, so dass britische Unternehmen die Vorgaben der DSGVO zunächst umzusetzen müssen, da ihnen ansonsten Sanktionen drohen.
Auch unabhängig davon werden diejenigen britischen Unternehmen die DSGVO in ihren internen Prozessen berücksichtigen müssen, die weiterhin auf dem EU-Binnenmarkt tätig sein wollen. Denn sobald sie personenbezogene Daten von EU-Bürgern verarbeiten, müssen sie sich weiter an die DSGVO halten. (fl)
Quelle:
heise online vom 07.08.2017: Trotz Brexits: Britische Regierung will EU-Datenschutzverordnung übernehmen