Datenschutzrecht in Großbritannien: Data Protection Bill

​Rechtzeitig vor dem Brexit wurde Großbritannien mit einem neuen EU-Recht von beachtlicher Bedeutung konfrontiert. Um dem wachsenden technologischen Fortschritt gerecht zu werden und das Bewusstsein für den Wert personenbezogener Daten zu schärfen, hat die EU-Datenschutz-Grundverordnung (2016/679 EU) („DSGVO”), im Englischen „General Data Protection Regulation” („GDPR”), die Datenschutzrichtlinie (95/46/EC) ersetzt und harmonisiert das Datenschutzrecht innerhalb der EU. Die DSGVO ist zwar als EU-Verordnung in jedem EU-Mitgliedstaat, und somit auch in Großbritannien, unmittelbar anwendbar. Sie enthält jedoch zahlreiche Öffnungsklauseln und Spielräume, deren konkrete Ausgestaltung den einzelnen Mitgliedstaaten vorbehalten bleibt. Mit Wirkung zum 25. Mai 2018 setzte Großbritannien mit der sogenannten „Data Protection Bill” die DSGVO in nationales Recht um.

 

 
Die DSGVO bringt zahlreiche Änderungen und Neuerungen mit sich. Im Rahmen unserer Toolkit-Serie (auf Englisch) werfen wir in insgesamt 8 Kategorien einen detaillierten Blick auf die wesentlichen Änderungen. In Kürze:

• Die DSGVO basiert auf 6 Grundsätzen für die Verarbeitung personenbezogener Daten: Verarbeitung nach Treu und Glauben, Transparenz, Zweckbindung der Verarbeitung, Beschränkung der Verarbeitung auf das für die angestrebten Zwecke notwendige Maß, Richtigkeit der Daten, Speicherbegrenzung, Integrität und Vertraulichkeit
• Unternehmen müssen Datenschutzbeauftragte („data protection officers”, „DPOs”) bestellen, welche für die Überwachung der Einhaltung der Datenschutznormen verantwortlich sind.
• Die DSGVO sieht die grundsätzliche Zustimmungspflicht von Datenschutzsubjekten zur Datennutzung vor und ermöglicht auf diese Weise die Kontrolle über die Verwendung von deren Daten. Lediglich in klar umgrenztem Rahmen soll die Nutzung von Daten ohne Zustimmung möglich sein.
• Individuelle Rechte von Personen als Datenschutzsubjekte werden durch die neue Verordnung erweitert. So ergänzt die DSGVO die bestehenden Rechte etwa um bestimmte Informations- und Zugangsrechte, erweitert das Recht auf Löschung und Richtigstellung und garantiert das Recht auf sichere Mitnahme von Daten, etwa beim Wechsel von IT-Systemen.
• Die Übermittlung von Daten an Drittländer oder internationale Organisationen darf nur unter Einhaltung besonderer Sicherheitsvorkehrungen erfolgen.
• Kinder als Datenschutzsubjekte nehmen eine spezielle Rolle ein und sollen bei ihren personenbezogenen Daten besonderen Schutz verdienen, etwa im Zusammenhang mit Informationsrechten.
• Verpflichtung des Datenschutzbeauftragten zur Gewährleistung datenschutzrechtlicher Bestimmungen durch Gestaltung technischer Maßnahmen und datenschutzfreundliche Voreinstellungen („privacy by design”).
• Strenge Ahndung von Verstößen gegen das Datenschutzrecht durch das Information Commissioner's Office als nationale Aufsichtsbehörde mittels zum Teil empfindlicher Strafen (u.a. Geldbußen von bis zu 20 Mio. Euro oder von bis zu 4 Prozent des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres – je nachdem, welcher Betrag höher ist).

Toolkit-Serie weiterlesen (auf Englisch) »