EU-DSGVO vs. UK-DSGVO: Die wichtigsten Unterschiede

Um zu verstehen, wie sich die EU-DSGVO und die britische Datenschutz-Grundverordnung unterschiedlich entwickelt haben, müssen wir uns ansehen, woher sie stammen.

Die EU-Datenschutz-Grundverordnung (DSGVO) wurde 2016 eingeführt und trat im Mai 2018 in Kraft. Sie zielte darauf ab, die Datenschutzgesetze in allen EU-Mitgliedstaaten zu harmonisieren und einen einheitlichen Ansatz für Datenschutz und Datensicherheit zu gewährleisten.

Im Juni 2016, weniger als zwei Monate nach der Verabschiedung der DSGVO, stimmte das Vereinigte Königreich für den Austritt aus der EU, ein Schritt, der als Brexit bekannt ist. Der Brexit markierte einen bedeutenden Wendepunkt für die Datenschutzlandschaft des Vereinigten Königreichs. Er machte die Schaffung eines eigenen Datenschutzrahmens für das Vereinigte Königreich erforderlich. Dies führte zur Schaffung der britischen DSGVO, die ihrem EU-Pendant sehr ähnlich ist, aber innerhalb der britischen Gerichtsbarkeit unabhängig funktioniert.

Ein entscheidender Moment in diesem Übergang war die Einführung des Data Protection Act 2018 (DPA 2018). Dieses Gesetz übernahm die Bestimmungen der EU-DSGVO in das britische Recht und gewährleistet so Kontinuität und Stabilität bei den Datenschutzstandards nach dem Brexit. Das DPA 2018 dient als Eckpfeiler für die britische DSGVO, da es viele der gleichen Grundsätze und Anforderungen widerspiegelt und gleichzeitig eine gewisse Flexibilität zulässt, die auf die nationalen Bedürfnisse zugeschnitten ist.

Einfach ausgedrückt: Obwohl beide Rahmenwerke ähnliche Ziele und Strukturen haben, hat der Brexit separate, aber parallele Regelungen zum Schutz personenbezogener Daten in ihren jeweiligen Gebieten erforderlich gemacht.

Bevor wir die wichtigsten Unterschiede zwischen den beiden Rahmenwerken erklären, ist es wichtig, zunächst die Gemeinsamkeiten aufzuzeigen.

1. Identisches Format und identische Struktur

Sowohl die EU-DSGVO als auch die britische DSGVO haben dasselbe Format und dieselbe Struktur, was es Organisationen erleichtert, die Vorschriften einzuhalten, wenn sie in mehreren Gebieten tätig sind. Diese Ähnlichkeit gewährleistet einen einheitlichen Ansatz für den Datenschutz über Grenzen hinweg und erleichtert Organisationen die Einhaltung der Vorschriften, indem sie die Komplexität reduziert.

So kann beispielsweise ein multinationales Unternehmen, das sowohl in der EU als auch im Vereinigten Königreich tätig ist, eine einheitliche Datenschutzstrategie anwenden, die interne Prozesse vereinfacht und die Einhaltung von Gesetzen verbessert.

2. Grundprinzipien des Datenschutzes

Beide Regelwerke basieren auf denselben Grundprinzipien des Datenschutzes. Zu den wichtigsten Grundsätzen gehören:

• Zweckbindung: Die erhobenen Daten dürfen ausschließlich für die zum Zeitpunkt der Erhebung ausdrücklich genannten Zwecke verwendet werden.
• Datenminimierung: Es sollte nur die für den beabsichtigten Zweck erforderliche Mindestmenge an Daten verarbeitet werden.
• Rechtmäßigkeit, Fairness und Transparenz: Datenverarbeitungsaktivitäten müssen rechtmäßig, fair und für die betroffenen Personen transparent sein.

Diese gemeinsamen Grundsätze bilden die Grundlage für beide Regelwerke und stellen sicher, dass personenbezogene Daten verantwortungsvoll behandelt werden. Organisationen, die ihre Datenverarbeitungsaktivitäten kontinuierlich an diesen Grundprinzipien ausrichten, werden sowohl die EU- als auch die britische DSGVO einhalten.

3. Ähnliche Rechte und Pflichten für Datensubjekte und Datenverantwortliche

Die Ähnlichkeiten der DSGVO zeigen sich in den Rechten, die Einzelpersonen im Rahmen beider Regelwerke gewährt werden. Sowohl die EU-DSGVO als auch die britische DSGVO gewähren Datensubjekten wesentliche Rechte, wie das Recht auf Zugang zu ihren von Organisationen gespeicherten personenbezogenen Daten, die Möglichkeit, fehlerhafte Daten zu korrigieren, oder das Recht, die Löschung personenbezogener Daten zu verlangen.

Zwar können sich bei der Ausübung dieser Rechte Unterschiede in den Verfahrensaspekten ergeben, die Kernrechte bleiben jedoch aufeinander abgestimmt.

Andererseits sehen sich Organisationen im Rahmen beider Verordnungen einer erheblichen Verantwortung gegenüber. Dazu gehört die Bereitstellung klarer, zugänglicher Informationen über Datenverarbeitungsaktivitäten, der Nachweis der Einhaltung durch dokumentierte Richtlinien und Praktiken und vieles mehr.

All diese Ähnlichkeiten gewährleisten einen einheitlichen Ansatz in allen Gerichtsbarkeiten und erleichtern Organisationen, die in beiden Regionen tätig sind, die Einhaltung der Vorschriften.

1. Anwendbarkeit und gerichtlicher Zuständigkeitsbereich

Die EU-DSGVO gilt für:

• Organisationen mit Sitz im Europäischen Wirtschaftsraum (EWR).
• Nicht-EU-Organisationen, die Waren oder Dienstleistungen für Personen in der EU anbieten oder deren Verhalten überwachen.

Im Gegensatz dazu konzentriert sich die britische DSGVO auf:

• Organisationen, die im Vereinigten Königreich tätig sind.
• Nicht-britische Unternehmen, die personenbezogene Daten von Personen im Vereinigten Königreich verarbeiten, um Waren oder Dienstleistungen anzubieten oder das Verhalten zu überwachen.

Die extraterritoriale Anwendbarkeit ist ein kritischer Aspekt, bei dem diese Rahmenwerke voneinander abweichen. Nach der EU-DSGVO muss jedes Unternehmen außerhalb des EWR die Vorschriften einhalten, wenn es Daten von Personen innerhalb des EWR verarbeitet. So fällt beispielsweise ein amerikanisches Unternehmen, das mit personalisierten Marketingkampagnen französische Verbraucher anspricht, unter die Zuständigkeit der EU-DSGVO.

Auch die britische Datenschutz-Grundverordnung enthält extraterritoriale Bestimmungen, die jedoch auf den nationalen Kontext zugeschnitten sind. Ein Beispiel hierfür wäre ein japanischer Einzelhändler, der Produkte speziell für britische Kund:innen online anbietet – ein solches Unternehmen muss die Anforderungen der britischen Datenschutz-Grundverordnung erfüllen.

2. Aufsichtsbehörden

Nationale Aufsichtsbehörden spielen eine entscheidende Rolle bei der Überwachung der Einhaltung von Datenschutzgesetzen auf nationaler Ebene. Diese Behörden stellen sicher, dass sowohl die für die Datenverarbeitung Verantwortlichen als auch die Auftragsverarbeiter die Vorschriften einhalten und die Datenschutzrechte des Einzelnen schützen.

In der EU ist jeder Mitgliedstaat verpflichtet, eine oder mehrere Aufsichtsbehörden zu haben, die die Umsetzung der DSGVO in seinem Hoheitsgebiet überwachen. Zusätzlich zu den Aufsichtsbehörden der einzelnen Mitgliedstaaten wird die EU-DSGVO auch vom Europäischen Datenschutzausschuss (EDPB) geregelt. Der EDPB fungiert als Koordinierungsstelle für die EU-Mitgliedstaaten, stellt Leitlinien bereit und sorgt für eine einheitliche Anwendung der DSGVO in allen EU-Ländern. Außerdem erleichtert er die Zusammenarbeit zwischen den nationalen Aufsichtsbehörden innerhalb der EU.

Im Vereinigten Königreich hingegen gibt es nur eine nationale Aufsichtsbehörde, das Information Commissioner's Office (ICO). Das ICO fungiert nach dem Brexit als unabhängige Regulierungsbehörde des Vereinigten Königreichs, setzt die Datenschutzgesetze im Vereinigten Königreich durch, gibt Leitlinien heraus und ergreift bei Bedarf Durchsetzungsmaßnahmen.

Der Hauptunterschied liegt also beim EDPB, der die Einheitlichkeit in mehreren Gerichtsbarkeiten sicherstellt und einen harmonisierten Ansatz für den Datenschutz innerhalb der EU fördert. Im Gegensatz dazu konzentriert sich das ICO ausschließlich auf die Compliance-Landschaft des Vereinigten Königreichs und passt seine Regulierungsbemühungen an die nationalen Bedürfnisse und Gegebenheiten an.

3. Der One-Stop-Shop-Mechanismus (OSS)

Der One-Stop-Shop-Mechanismus (OSS), ein wesentliches Merkmal der EU-DSGVO, ermöglicht es Unternehmen, bei grenzüberschreitenden Datenverarbeitungsaktivitäten mit einer einzigen federführenden Aufsichtsbehörde (LSA) zu interagieren. Die LSA fungiert als Ansprechpartner für Unternehmen und vereinfacht den Compliance-Prozess.

Stellen wir uns zum Beispiel ein Unternehmen vor, das in mehreren EU-Ländern tätig ist, darunter Deutschland, Frankreich und Spanien. Im Rahmen des OSS-Mechanismus kann das Unternehmen die deutsche Datenschutzbehörde als LSA wählen. Das bedeutet, dass es sich bei regulatorischen Fragen nicht mit separaten Behörden in Frankreich und Spanien auseinandersetzen muss, sondern hauptsächlich mit der deutschen Behörde kommuniziert. Dies vereinfacht die Compliance-Bemühungen des Unternehmens, indem die Interaktionen zentralisiert und eine einheitliche behördliche Aufsicht über alle EU-Aktivitäten sichergestellt wird.

Nach der britischen Datenschutz-Grundverordnung gilt dieser Mechanismus jedoch nicht. Stattdessen müssen sich Unternehmen mit dem Information Commissioner's Office (ICO) sowie mehreren Aufsichtsbehörden in jedem relevanten Rechtsraum, in dem sie tätig sind, in Verbindung setzen.

Diese Unterscheidung erhöht die Komplexität für internationale Unternehmen, da sie sich in unterschiedlichen Rechtsrahmen zurechtfinden und Beziehungen zu verschiedenen Aufsichtsbehörden aufbauen müssen, um die Einhaltung der Vorschriften zu gewährleisten.

4. Grenzüberschreitende Übermittlung personenbezogener Daten

Der Grundsatz des „einheitlichen Marktes“ im Rahmen der EU-DSGVO ermöglicht den uneingeschränkten Verkehr von Waren, Dienstleistungen und Daten. Dadurch wird sichergestellt, dass personenbezogene Daten ohne zusätzliche Schutzmaßnahmen frei zwischen den EU-Mitgliedstaaten übertragen werden können, solange eine Datenverarbeitungsvereinbarung (DPA) gemäß den Anforderungen der EU-DSGVO abgeschlossen wird.

Andererseits gilt Uthe K nach dem Brexit nun als separate Gerichtsbarkeit im Rahmen der EU-DSGVO. Daher wird die Übermittlung personenbezogener Daten aus der EU in das Vereinigte Königreich als Übermittlung in ein „Drittland“ betrachtet, was zusätzliche Schutzmaßnahmen erforderlich macht, um sicherzustellen, dass die übermittelten Daten weiterhin auf einem ähnlichen Niveau geschützt sind, wie es die EU-DSGVO vorsieht.

Für internationale Übermittlungen personenbezogener Daten gibt es im Rahmen der britischen und der EU-DSGVO mehrere Mechanismen, von denen die wichtigsten folgende sind:

• Angemessenheitsbeschlüsse: In beiden Regelwerken spielen Angemessenheitsbeschlüsse eine wichtige Rolle, da sie in der Regel die einfachste Schutzmaßnahme für internationale Übermittlungen darstellen. Angemessenheitsvorschriften ermöglichen den freien Fluss personenbezogener Daten zwischen Ländern, die als „angemessen“ schützend gelten. Unter den Angemessenheitsvorschriften der britischen DSGVO sind der EWR und alle Länder mit einem Angemessenheitsbeschluss der EU-DSGVO abgedeckt.
• Standardvertragsklauseln (SCCs): Wenn keine Angemessenheitsentscheidung vorliegt, müssen sich Unternehmen auf andere geeignete Schutzmaßnahmen wie SCCs verlassen. Während diese im Rahmen der EU-DSGVO als Standardvertragsklauseln bezeichnet werden, hat das Vereinigte Königreich seinen entsprechenden Mechanismus auf das IDTA: Internationales Datenübertragungsabkommen aktualisiert. Bei beiden handelt es sich jedoch um Mustervertragsklauseln, die auf den Websites der Europäischen Kommission bzw. des ICO verfügbar sind.
• Verbindliche Unternehmensregeln (BCR): Darüber hinaus nutzen beide Rahmenwerke verbindliche Unternehmensregeln, die einen freien Datenfluss innerhalb einer multinationalen Organisation zwischen all ihren Einheiten ermöglichen sollen. Mit SCC/IDTA beispielsweise würde ein Unternehmen mit Niederlassungen im Vereinigten Königreich, in Australien und China sechs Vertragsklauseln benötigen, um einen freien Datenfluss zwischen allen drei Einheiten zu gewährleisten. BCR vereinfachen den Datentransferprozess, müssen jedoch zuerst von der Aufsichtsbehörde (ICO unter UK GDPR, federführende Aufsichtsbehörde unter EU GDPR) genehmigt werden.

Wenn Unternehmen diese Mechanismen verstehen, können sie die Komplexität der unterschiedlichen DSGVO-Regelungen effektiv bewältigen und einen reibungslosen und regelkonformen internationalen Betrieb sicherstellen.

5. Strafen und Bußgelder bei Nichteinhaltung

Sowohl die EU-DSGVO als auch die britische DSGVO enthalten strenge Regeln, um sicherzustellen, dass Organisationen diese einhalten. Bei der Festlegung von Bußgeldern werden in beiden Regelwerken mehrere Faktoren berücksichtigt, z. B. wie schwerwiegend der Verstoß ist, ob er vorsätzlich oder versehentlich begangen wurde, welche Maßnahmen die Organisation zur Behebung des Problems ergriffen hat und ob es bereits frühere Verstöße gab. Diese Faktoren stellen sicher, dass jeder Fall auf der Grundlage seiner spezifischen Umstände fair behandelt wird.

Es gibt jedoch einige wesentliche Unterschiede:

• Maximale Bußgelder: Nach der EU-DSGVO können Organisationen mit Geldbußen von bis zu 20 Millionen Euro oder 4 % ihres weltweiten Jahresumsatzes belegt werden, je nachdem, welcher Betrag höher ist. Die britische DSGVO ist ähnlich aufgebaut, sieht jedoch ein maximales Bußgeld von 17,5 Millionen Pfund oder 4 % des weltweiten Jahresumsatzes vor.
• Durchsetzungsbehörden: In der EU werden Geldbußen von den nationalen Aufsichtsbehörden der einzelnen Mitgliedstaaten verhängt, die vom Europäischen Datenschutzausschuss (EDSA) koordiniert werden. In Großbritannien hingegen ist allein das Information Commissioner's Office (ICO) für die Durchsetzung der Datenschutz-Grundverordnung zuständig.

Die Einhaltung der doppelten Compliance-Anforderungen sowohl nach der EU-DSGVO als auch nach der britischen DSGVO stellt Unternehmen, die in beiden Rechtsräumen tätig sind, vor große Herausforderungen. Das Verständnis dieser Unterschiede ist entscheidend, um die Einhaltung der Vorschriften zu gewährleisten und Risiken zu minimieren.

Unternehmen müssen sich an die unterschiedlichen gesetzlichen Vorgaben der einzelnen Verordnungen halten. Dazu gehört es, die Nuancen des operativen Umfangs zu verstehen, insbesondere beim Umgang mit grenzüberschreitenden Datenübertragungen.

Darüber hinaus kann die Einhaltung von zwei Regelwerken ressourcenintensiv sein. Organisationen müssen angemessene Ressourcen für Rechtsberatung, Datenschutzbeauftragte und Compliance-Teams bereitstellen, die mit beiden Rechtsrahmen vertraut sind. Die Notwendigkeit einer doppelten Compliance kann zu höheren Betriebskosten führen, da zusätzliches Personal, Schulungen und Systeme erforderlich sind, um die Einhaltung beider Vorschriften sicherzustellen.

Durch proaktives Angehen dieser Herausforderungen und die Umsetzung effektiver Strategien können Unternehmen jedoch die Komplexität der doppelten Compliance bewältigen und sicherstellen, dass sie sowohl die EU-DSGVO als auch die britische DSGVO einhalten und gleichzeitig Betriebsstörungen minimieren.

Wenn du nach einer umfassenden Compliance-Lösung für die EU und das Vereinigte Königreich suchst, informiere dich über unsere All-in-One Compliance-Lösung.