GDPR ist Europas Datenschutz- und Sicherheitsgesetz. Es legt eine Reihe von Regeln für das Sammeln und die Nutzung der persönlichen Daten von EU-Bürgern fest, sowohl für EU-Unternehmen als auch für ausländische.
GDPR deckt die wichtigsten Regeln für das Sammeln und die Nutzung persönlicher Daten ab. Es verlangt von Ihrem Unternehmen, fair und transparent darüber zu sein, wie Sie die von Ihren Kunden gesammelten Daten verwenden. Sie sollten die Daten auch nur für Zwecke sammeln und verwenden, über die Sie Ihre Kundschaft informiert haben.
GDPR-Richtlinien gelten auch für die Speicherung persönlicher Daten und regeln, wie lange Sie diese aufbewahren dürfen und wie sie geschützt werden. Datensicherheit umfasst den Einsatz technischer Maßnahmen wie Verschlüsselung und Zwei-Faktor-Authentifizierung. Es beinhaltet auch organisatorische Maßnahmen wie Mitarbeiterschulungen und die Begrenzung des Datenzugriffs.
Das Vereinigte Königreich war vor dem Brexit ebenfalls an GDPR gebunden. Nach dem Brexit hat das UK jedoch seine eigenen Regeln für GDPR geschaffen. Es wird heute allgemein als UK GDPR bezeichnet.
Daher ist es wichtig zu verstehen, was UK GDPR ist, wenn Sie die Daten von UK-Bürgern sammeln und verwenden möchten. Lassen Sie uns erläutern, wie es sich vom EU GDPR unterscheidet und welche Gesetze und Vorschriften im Vereinigten Königreich die Daten regeln.
Was ist EU GDPR?
EU GDPR ist ein Datenschutzgesetz, das 2018 in der EU in Kraft trat. Das Gesetz soll den Einzelnen die Kontrolle über ihre persönlichen Daten geben. Es macht Unternehmen auch verantwortlich dafür, wie sie die Kundendaten verwenden und speichern. Es ist auch ein wichtiger Aspekt des internationalen Gehaltswesens, daher ist es wichtig, sich mit seinen Vorschriften vertraut zu machen.
EU GDPR hat sieben zentrale Regeln und Verantwortlichkeiten, die jedes Unternehmen einhalten muss. Dazu gehören:
1. Rechtmäßigkeit, Fairness und Transparenz
GDPR verlangt, dass: "personenbezogene Daten rechtmäßig, fair und transparent verarbeitet werden." Ihr Unternehmen muss einen guten Grund haben, die Daten einer Person zu verwenden. Das könnte die Zustimmung der Person, eine rechtliche Notwendigkeit oder ein berechtigtes Interesse sein.
Sie können Daten nicht einfach nur sammeln, weil es bequem ist. GDPR verlangt einen rechtlichen Grund, und Sie müssen gegenüber Ihren Kunden klar und ehrlich sein, warum Sie die Daten benötigen.
2. Zweckbindung
Wenn Ihr Unternehmen personenbezogene Daten sammelt, müssen Sie einen konkreten Grund haben und die Daten nur für diesen Zweck verwenden. Sie sollten Ihre Kunden auch über den Grund der Datenerhebung informieren und Dokumente haben, die die beabsichtigte Nutzung erklären. Es ist wichtig, die Datenverarbeitung regelmäßig zu überprüfen. Bei Bedarf sollten Sie Dokumentation und Verfahren umgehend aktualisieren.
3. Datenminimierung
Unter GDPR müssen Unternehmen nur die Daten erheben, die sie benötigen. Durch die Erhebung weniger Daten verringert sich das Risiko bei einem Datenverstoß. Das bedeutet, keine unnötigen Informationen zu erfragen, sondern nur die, die notwendig sind, um einen bestimmten Zweck zu erfüllen.
4. Genauigkeit
Die gesammelten Daten müssen korrekt und aktuell gehalten werden. Wenn jemand Ihnen mitteilt, dass sich seine Daten geändert haben, müssen Sie diese aktualisieren. Das bedeutet, Daten regelmäßig zu überprüfen und zu korrigieren, um stets korrekte Informationen zu gewährleisten.
5. Speicherbegrenzung
Bewahren Sie personenbezogene Daten nicht länger auf, als es notwendig ist. Sobald Sie die Daten nicht mehr für den ursprünglichen Zweck benötigen, sollten Sie sie löschen oder anonymisieren. So wird sichergestellt, dass die Daten nicht unbegrenzt gespeichert werden, was riskant sein könnte.
6. Integrität und Vertraulichkeit (Sicherheit)
Sie müssen personenbezogene Daten vor Verlust, Diebstahl oder unbefugtem Zugriff schützen. Dazu gehören die Verwendung starker Passwörter, Datenverschlüsselung und die Sicherstellung, dass nur bestimmte Personen Zugriff auf die Daten haben. Bei einem Datenverstoß müssen Sie diesen innerhalb von 72 Stunden melden, um Schäden zu minimieren.
7. Verantwortlichkeit
Organisationen müssen Verantwortung für die von ihnen gesammelten Daten übernehmen. Sie sollten auch nachweisen können, dass sie die GDPR-Regeln einhalten. Das bedeutet, klare Richtlinien zu haben, Mitarbeitende zu schulen und nachweisen zu können, wie sie Daten schützen. Bei hohem Risiko eines Datenproblems sollten sie eine Data Protection Impact Assessment durchführen, um potenzielle Probleme zu erkennen und zu beheben, bevor sie auftreten.
Dieses Gesetz erschwert es auch Unternehmen, Verbraucher mit verwirrender oder vager Sprache zu täuschen. Es stellt sicher, dass Unternehmen ihre Website-Besucher darüber informieren, dass sie ihre Daten sammeln.
Unter GDPR geben Kunden und Nutzer ausdrücklich ihre Zustimmung zur Datenerhebung. Websites müssen um Zustimmung bitten, indem sie die Nutzer auffordern, auf einen Button zu klicken oder eine andere Aktion durchzuführen. Außerdem müssen Websites Besucher umgehend informieren, wenn ihre persönlichen Daten durch einen Verstoß kompromittiert werden.
Schließlich schreibt das Gesetz auch eine Bewertung der Datensicherheit der Website vor. Es bestimmt auch, ob das Unternehmen einen dedizierten Data Protection Officer (DPO) einstellen muss. In einigen Fällen kann ein bestehender Mitarbeiter diese Rolle übernehmen.
Was ist UK GDPR?
Der United Kingdom General Data Protection Regulation (UK GDPR) ist das Datenschutzgesetz des Vereinigten Königreichs. Es basiert auf dem EU GDPR und weist viele Ähnlichkeiten auf. Das UK GDPR nach dem Brexit bewahrt die Kernwerte des EU GDPR und stellt sicher, dass die Datenschutzstandards erhalten bleiben.
Für welche Fälle gilt UK GDPR?
Einer der Hauptunterschiede zwischen UK GDPR und EU GDPR liegt in ihrer Anwendbarkeit. Der EU GDPR gilt für jede Organisation innerhalb und außerhalb der EU. Jedes Unternehmen, das die Daten von EU-Bürgern sammeln und verarbeiten möchte, muss die EU GDPR einhalten, unabhängig vom Sitz des Unternehmens.
Andererseits hat UK GDPR eine deutlich engere Anwendung. Es gilt für jedes Unternehmen, das die personenbezogenen Daten von UK-Bürgern sammelt. Es betrifft Unternehmen, die in UK registriert sind, aber auch außerhalb des UK.
Unternehmen, die Daten sowohl von UK- als auch von EU-Bürgern sammeln, müssen sowohl EU GDPR als auch UK GDPR befolgen.
Wer sind die relevanten Aufsichtsbehörden?
Die zuständigen Aufsichtsbehörden, die die GDPR-Regeln durchsetzen, unterscheiden sich ebenfalls.
In der EU muss jedes Land eine oder mehrere Aufsichtsbehörden einrichten, die die EU GDPR-Regeln überwachen und durchsetzen. Diese werden als Supervisory Authorities bezeichnet.
Neben mindestens einer Supervisory Authority in jedem Mitgliedstaat wird die EU GDPR auch vom European Data Protection Board (EDPB) geregelt. Das Gremium sorgt dafür, dass alle Mitgliedsländer die GDPR einheitlich anwenden. Es löst auch Streitigkeiten zwischen ihnen. Der EDPB fördert außerdem die Zusammenarbeit zwischen den verschiedenen Supervisory Authorities.
Im UK ist die zuständige Behörde, die die UK GDPR überwacht, das Information Commissioner’s Office (ICO). Das ICO hat eine ähnliche Funktion wie eine Supervisory Authority. Das UK Department for Science, Innovation, and Technology fördert die Arbeit des ICO.
Was ist der Unterschied zwischen UK GDPR und EU GDPR?
Es gibt mehrere Unterschiede zwischen UK GDPR und EU GDPR. Die ersten beiden, Anwendbarkeit und Aufsichtsbehörden, sind im Detail behandelt. Es gibt jedoch noch weitere Unterschiede, die ein Unternehmen, das Kundendaten sowohl im UK als auch in der EU sammelt, berücksichtigen sollte.
UK GDPR ist an das Rechtssystem des UK angepasst
Da EU GDPR mehrere Länder unter einem Dach vereint, enthält es Verweise auf EU-Institutionen. UK GDPR lokalisiert dies auf Institutionen innerhalb des Landes.
Der EU GDPR konzentriert sich auf alle Länder unter seiner Gerichtsbarkeit. UK GDPR beschreibt Prozesse für die Zusammenarbeit zwischen UK- und EU-Institutionen.
Die meisten Standards zum Datenschutz sind in der EU und im UK GDPR ähnlich, aber das UK GDPR weist einige Unterschiede auf. Es enthält Ausnahmen für bestimmte öffentliche Behörden. Es schreibt auch die Ernennung von Datenschutzbeauftragten vor. Das UK hat zudem strengere Anforderungen an die Meldung von Datenverstößen als die EU.
Datenübertragungen
Datenübertragungen im EU-Raum sind unter EU GDPR deutlich einfacher. Im Wesentlichen betrachtet die EU GDPR alle Länder in ihrer Gerichtsbarkeit als einen gemeinsamen Markt. Das bedeutet, Unternehmen in der EU können Daten in andere EU-Länder übertragen, solange sie die Datenschutzgrundsätze einhalten.
Der Brexit hat dazu geführt, dass das UK in den Augen der EU GDPR eine separate Gerichtsbarkeit ist, ähnlich wie Kanada oder die USA. Daher sind zusätzliche Schutzmaßnahmen für den Datentransfer zwischen den beiden Einheiten erforderlich. Beispielsweise müssen Unternehmen, die Daten ins UK übertragen, Standarddatenschutzklauseln oder verbindliche Unternehmensregeln verwenden, um die Daten zu sichern.
Unterschiede bei Vertretern
Ein weiterer bedeutender Unterschied liegt darin, wie diese beiden Gesetze Vertreter behandeln. Die EU GDPR verlangt, dass Drittlandunternehmen, die personenbezogene Daten ihrer Bürger sammeln, einen Vertreter im Land haben, in dem sie die Daten erheben.
Das UK verlangt ebenfalls einen Vertreter, aber dieser muss nicht im UK ansässig sein. Ähnlich wie bei der EU GDPR fungiert dieser Vertreter als Kontaktstelle. Ziel ist es, eine reibungslose Zusammenarbeit zwischen Organisation und den relevanten Aufsichtsbehörden zu gewährleisten. Das UK schreibt jedoch keine lokale Präsenz vor.
Unternehmen, die unter beiden GDPRs tätig sind, müssen möglicherweise je nach Jurisdiktion separate Vertreter benennen.
OSS-Mechanismen
Unternehmen, die sich mit EU GDPR beschäftigen, sorgen sich oft, mit vielen Supervisory Authorities zu interagieren. Das EU GDPR bietet jedoch eine Regelung namens OSS-Mechanismus, die einen vereinfachten Prozess für Unternehmen ermöglicht.
Der OSS-Mechanismus erlaubt es Unternehmen, nur mit einer Supervisory Authority zu arbeiten. Der Prozess bleibt jedoch offen für Vorschläge einer anderen Behörde, falls die Situation es erfordert.
Das UK GDPR kennt keine solchen Regelungen, da es auf ein einzelnes Land beschränkt ist. Das Information Commissioner’s Office (ICO) ist die einzige vergleichbare Behörde. Es ist für alle Entscheidungen im Rahmen des UK GDPR verantwortlich.
Änderungen und Aktualisierungen
Der Prozess zur Änderung und Aktualisierung der GDPR variiert ebenfalls. Bei EU GDPR erfolgen alle Änderungen durch den EU-Gesetzgebungsprozess. Dieser ist ein kollektiver Entscheidungsprozess, an dem mehrere Behörden beteiligt sind.
Das UK GDPR steht unter der Kontrolle der britischen Regierung. Diese hat die Befugnis, Änderungen und Aktualisierungen am GDPR vorzunehmen. Während das UK bestrebt ist, ein hohes Datenschutzniveau wie das der EU GDPR zu wahren, kann es eigenständig Änderungen vornehmen.
Strafen und Bußgelder
Der letzte Unterschied betrifft Strafen und Bußgelder. Sowohl EU- als auch UK GDPR können Unternehmen, die die Regeln missachten, mit festen Gebühren oder prozentualen Anteilen am Jahresumsatz bestrafen. Die Höhe hängt vom jeweiligen Fall ab.
Unter EU GDPR können Unternehmen mit 10 Millionen € oder 2 % des Jahresumsatzes belegt werden. Bei schwerwiegenderen Verstößen kann die Strafe bis zu 20 Millionen € oder 4 % des Umsatzes betragen.
Das UK GDPR erkennt kleinere und größere Verstöße an. Kleinere Verstöße werden mit £8.700.000 oder 2 % geahndet. Bei schwerwiegenderen Verstößen kann die Strafe bis zu £17.500.000 oder 4 % des Umsatzes betragen.
Compliance-Überlegungen und Herausforderungen
Die Einhaltung sowohl des EU GDPR als auch des UK GDPR kann herausfordernd sein. Unternehmen sollten die Unterschiede zwischen beiden genau kennen. Hier einige Herausforderungen, denen Sie bei der Umsetzung der GDPR in beiden Ländern begegnen könnten:
1. Duale Anwendbarkeit
Obwohl es viele Gemeinsamkeiten gibt, ist es wichtig, beide bei der Erstellung der Datenschutzrichtlinien zu berücksichtigen. Unternehmen, die in beiden Ländern tätig sind, sollten sicherstellen, dass ihre Datenschutzpraktiken beiden Standards entsprechen.
2. Datenübertragungen
Da es keine einvernehmlich vereinbarten Bedingungen für den Datentransfer zwischen UK und EU gibt, sollten Sie eine geeignete Übertragungsregelung implementieren. Das könnte die Erstellung verbindlicher Unternehmensregeln oder die Nutzung standardisierter Vertragsklauseln bedeuten.
3. Unterschiedliche Anforderungen
Es gibt bedeutende Unterschiede zwischen den beiden GDPRs. Es ist wichtig, diese zu kennen. Beim Sammeln von Daten sowohl von UK- als auch von EU-Bürgern müssen Sie beide GDPRs und ihre Unterschiede beachten, um die Compliance zu gewährleisten.
4. Erhöhte Verantwortlichkeit
Der Hauptgrund, GDPR zu befolgen, ist, dass Sie das Vertrauen Ihrer Kunden und Klienten gewinnen möchten. Für andere Unternehmen ist es, hohe Strafen und Bußgelder zu vermeiden. Wenn Letzteres für Sie wichtig ist, sollten Sie planen, unter beiden GDPRs verantwortlich zu sein.
Warum ist es wichtig, sowohl EU GDPR als auch UK GDPR einzuhalten?
Wie bereits erwähnt, ist es wichtig, beide GDPRs einzuhalten, wenn Sie Daten von UK- oder EU-Ansässigen sammeln.
Einer der Hauptgründe, GDPR in Ihrem Unternehmen zu befolgen, ist, dass Sie so das Vertrauen Ihrer Kunden aufbauen können. Es fördert auch Transparenz und eine gute Kommunikation zwischen Ihnen. Gute Kommunikation und Vertrauen sind vorteilhaft für Ihren Ruf.
GDPR kann Ihnen auch helfen, Ihre Prozesse zum Datenschutz und zur Datenerfassung zu optimieren. Durch die Betonung der Erhebung nur der notwendigen Daten kann es Sie bei der Umsetzung der besten Sicherheits- und Speicherpraktiken unterstützen. So vermeiden Sie die Erfassung und Verwaltung unnötiger Daten und sparen sich die Einrichtung komplexer und teurer Prozesse.
Der wahrscheinlich größte Vorteil für Unternehmen ist jedoch die Einhaltung der gesetzlichen Vorgaben. Es hilft, hohe Bußgelder und Strafen zu vermeiden. Wenn Ihre Kunden unzufrieden mit Ihrer Datenhandhabung sind, könnten sie rechtliche Schritte gegen Sie einleiten.
Im UK können die Strafen bei Verstößen gegen GDPR bis zu £17,5 Millionen betragen. In der EU können die Gebühren bis zu €20 Millionen steigen.
Best Practices für Unternehmen, die UK GDPR und EU GDPR navigieren
Als Unternehmen, das beide GDPRs beachten muss, können Sie einige bewährte Praktiken befolgen, um die Compliance zu sichern. Es gibt natürlich bedeutende Unterschiede, abhängig von Ihrer Branche, aber grundsätzlich sollten Sie:
-
Die Unterschiede zwischen UK und EU GDPR genau verstehen
-
Feststellen, ob Ihr Unternehmen beide, nur UK oder nur EU GDPR einhalten muss
-
Alle erforderlichen Datenschutzmaßnahmen umsetzen. Dabei die Empfehlungen der jeweiligen GDPR-Regeln und -Vorschriften beachten
-
Schließlich sollten Sie Ihre Datenschutzrichtlinien regelmäßig überprüfen und aktualisieren sowie stets über Änderungen in der GDPR informiert bleiben
Wenn Sie unsicher sind, welche GDPR für Ihr Unternehmen und Ihre Branche gilt, können Sie auch Experten beauftragen, die dies für Sie regeln. Konsultieren Sie die zuständigen Behörden, um sicherzustellen, dass Ihr Unternehmen UK GDPR, EU GDPR oder beide einhält.
FAQs
Folgt das UK noch der EU GDPR?
Das UK folgt dem UK GDPR, das viele Ähnlichkeiten mit der EU GDPR aufweist. Wenn Sie ein Unternehmen im UK sind, aber Daten von Kunden aus der EU erheben, müssen Sie weiterhin die EU GDPR einhalten.
Was sind die 7 Prinzipien der GDPR im UK?
Die sieben Prinzipien der GDPR im UK sind Rechtmäßigkeit, Fairness und Transparenz, Zweckbindung, Datenminimierung, Genauigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit sowie Verantwortlichkeit.
Gilt UK GDPR nur für UK-Bürger?
Ja, UK GDPR gilt für UK-Bürger. Jedes Unternehmen muss die UK GDPR-Anforderungen erfüllen, wenn es die Daten von UK-Ansässigen verarbeitet.
Was gilt als UK GDPR-konforme Zustimmung?
Die UK GDPR hat klare Standards, was eine konforme Zustimmung bedeutet. Die Zustimmung muss klar und unmissverständlich formuliert sein. Nutzer und Website-Besucher müssen durch eine Opt-in-Option zustimmen, z. B. durch Anklicken eines Buttons. Vorab angekreuzte Opt-in-Boxen sind strikt verboten. Außerdem müssen Websites "granulare" Zustimmungsmöglichkeiten für verschiedene Verarbeitungsoptionen anbieten.
