Das britische Datenschutzgesetz wurde am 24. Mai 2018 verabschiedet. Die EU-DSGVO galt für das Vereinigte Königreich vor seinem Austritt (Brexit) aus der EU am 31. Dezember 2020. Nach dem Brexit wurde die EU-DSGVO Teil des nationalen Rechts des Vereinigten Königreichs, bekannt als UK GDPR. Ab dem 1. Januar 2021 werden die personenbezogenen Daten von Einzelpersonen im Vereinigten Königreich durch die Bestimmungen der UK GDPR und des UK DPA 2018 geschützt sein.
Das britische Datenschutzgesetz ist eine Verordnung, die vom Information Commissioner's Office (ICO) verwaltet wird, um die persönlichen Daten von Einzelpersonen in Großbritannien zu schützen. Es erlegt Organisationen, zuständigen Behörden und Nachrichtendiensten, die personenbezogene Daten von Einzelpersonen verarbeiten, indem sie entweder Waren und Dienstleistungen anbieten oder deren Verhalten überwachen, Compliance-Anforderungen auf. Verstöße gegen dieses Gesetz können zur Verhängung von Strafen und Verboten führen.
Bevor wir uns dies genauer ansehen, sollten wir bedenken, dass das britische Datenschutzgesetz die Datenschutzgrundsätze und die Rechte der betroffenen Personen (im Rahmen der allgemeinen Zwecke der Verarbeitung) in ihrer ursprünglichen Form übernommen hat, wie sie in der EU-DSGVO festgelegt sind. Aktualisierungen wurden
bei der Datenverarbeitung in Bezug auf Strafverfolgung und Nachrichtendienste vorgenommen, die in den folgenden Abschnitten behandelt werden.
Was sind die Grundsätze des Datenschutzgesetzes?
Das UK DPA 2018 führt sechs Datenschutzgrundsätze ein, die die Verarbeitung von Daten leiten sollen, die für Zwecke der Strafverfolgung und nachrichtendienstlichen Verarbeitung erhoben werden. Die wichtigsten Datenschutzgrundsätze, die in Teil 3, Kapitel 2, Abschnitte 35-40, Verarbeitung für Strafverfolgungszwecke, und Teil 4, Kapitel 2, Abschnitte 86-91, Verarbeitung durch Nachrichtendienste, dargelegt sind, sind eng aufeinander abgestimmt.
- Der erste Datenschutzgrundsatz spricht von Rechtmäßigkeit, Fairness und Transparenz. Außerdem enthält der erste Grundsatz eine Beschreibung der "sensiblen Verarbeitung", d.h. der Verarbeitung von personenbezogenen, genetischen, biometrischen, gesundheitsbezogenen, Daten zur sexuellen Ausrichtung oder strafrechtlichen Daten. Dies sind alles Faktoren, die direkt oder indirekt zur Identifizierung einer Person beitragen können und daher unter die Kategorie der "sensiblen Verarbeitung" fallen.
[Kapitel 2, Teil 3, Abschnitt 35 (Verarbeitung zu Strafverfolgungszwecken) und Kapitel 2, Teil 4, Abschnitt 86 (Verarbeitung durch Nachrichtendienste)]
- Der zweite Datenschutzgrundsatz besagt, dass der Zweck der erhobenen personenbezogenen Daten ausdrücklich angegeben werden muss und dass seine Rechtmäßigkeit vor Beginn der Verarbeitung festgestellt werden muss. Drei Klauseln in Abschnitt 87(4) (a) legen bestimmte Bedingungen fest, unter denen die Datenverarbeitung als vereinbar gilt; der Zweck muss statistisch, im öffentlichen Interesse archiviert, historisch oder für die wissenschaftliche Forschung sein. Die Verarbeitung muss innerhalb von Parametern erfolgen, die die Freiheiten und Rechte der betroffenen Person schützen.
[Kapitel 2, Teil 3, Abschnitt 36 (Verarbeitung zu Strafverfolgungszwecken) und Kapitel 2, Teil 4, Abschnitt 87 (Verarbeitung durch Nachrichtendienste)]
- Der dritte Datenschutzgrundsatz besagt, dass die Verarbeitung nicht erfolgen darf, wenn der Zweck der Datenverarbeitung irrelevant, unangemessen und übertrieben ist.
[Kapitel 2, Teil 3, Abschnitt 37 (Verarbeitung zu Strafverfolgungszwecken) und Kapitel 2, Teil 4, Abschnitt 88 (Verarbeitung durch Nachrichtendienste)]
- Der vierte Datenschutzgrundsatz bezieht sich auf die Richtigkeit der personenbezogenen Daten, die ordnungsgemäß erfasst und aktualisiert werden müssen. Ungenaue Daten sollten unverzüglich gelöscht oder berichtigt werden.
[Kapitel 2, Teil 3, Abschnitt 38 (Verarbeitung zu Strafverfolgungszwecken) und Kapitel 2, Teil 4, Abschnitt 89 (Verarbeitung durch Nachrichtendienste)]
- Der fünfte Datenschutzgrundsatz besagt, dass personenbezogene Daten nicht länger aufbewahrt werden sollten, als es gesetzlich vorgeschrieben ist.
[In Kapitel 2, Abschnitt 39 (Verarbeitung zu Strafverfolgungszwecken) wird empfohlen, dass die Daten regelmäßig überprüft werden sollten, um festzustellen, ob eine weitere Aufbewahrung zu gesetzlichen Zwecken erforderlich ist].
- Der Sechste Datenschutzgrundsatz besagt, dass personenbezogene Daten von dem für die Verarbeitung Verantwortlichen und dem Auftragsverarbeiter in einer sicheren Weise verarbeitet werden müssen. Es müssen geeignete Maßnahmen ergriffen werden, um eine unbefugte oder unrechtmäßige Verarbeitung sowie einen zufälligen Verlust, eine zufällige Zerstörung oder eine zufällige Beschädigung zu verhindern.
[Kapitel 2, Teil 3, Abschnitt 40 (Verarbeitung zu Strafverfolgungszwecken) und Kapitel 2, Teil 4, Abschnitt 91 (Verarbeitung durch Nachrichtendienste)]
Hinweis: Informationen zu den Datenschutzgrundsätzen für den Zweck der allgemeinen Verarbeitung finden Sie in Kapitel 2, EU-GDPR, Artikel 5 (Grundsätze für die Verarbeitung personenbezogener Daten).
Was sind die Grundsätze der britischen GDPR?
Die britische Datenschutz-Grundverordnung bezieht sich auf die Grundsätze der EU-Grundverordnung, die in Kapitel 2 Artikel 5 erwähnt werden. Die Grundsätze in Bezug auf die Verarbeitung personenbezogener Daten sind im Folgenden zusammengefasst:
- Personenbezogene Daten sollten auf rechtmäßige, faire und transparente Weise verarbeitet werden.
- Der Zweck der Datenerhebung sollte spezifisch, ausdrücklich und rechtmäßig sein. Die Zwecke der Erhebung und Verarbeitung gelten als unvereinbar, es sei denn, sie liegen im öffentlichen Interesse oder dienen der statistischen, historischen oder wissenschaftlichen Forschung. [Artikel 89(1)
- Personenbezogene Daten sollten begrenzt, angemessen und relevant sein, je nach der Notwendigkeit des Zwecks.
- Persönliche Daten sollten auf dem neuesten Stand gehalten werden und ihre Richtigkeit sollte gewahrt bleiben. Ungenaue Daten müssen entweder gelöscht oder sofort korrigiert werden.
- Personenbezogene Daten sollten nicht über den für die Verarbeitung erforderlichen Zeitraum hinaus gespeichert werden, es sei denn, der Zweck ist die Archivierung und die Zwecke stehen im Einklang mit Artikel 89 Absatz 1.
- Die Integrität und Vertraulichkeit personenbezogener Daten sollte mit Hilfe geeigneter organisatorischer oder technischer Maßnahmen geschützt werden.
- Nach dem Grundsatz der Rechenschaftspflicht ist der Verantwortliche dafür verantwortlich, die Einhaltung der Vorschriften nachzuweisen.
Welche Rechte haben betroffene Personen nach dem DPA 2018?
In den Abschnitten 44-54 von Kapitel 3, Teil 3 (Verarbeitung zu Strafverfolgungszwecken) und in den Abschnitten 93-100 von Kapitel 3, Teil 4 (Verarbeitung durch Nachrichtendienste) der DSGVO werden die Rechte erläutert, die betroffene Personen zum Schutz ihrer personenbezogenen Daten ausüben können. Lesen Sie weiter, um mehr über sie zu erfahren.
- Das Auskunftsrecht verpflichtet den Verantwortlichen für die Datenverarbeitung, Informationen wie die Identität der betroffenen Person und die Rechtsgrundlage für die Verarbeitung personenbezogener Daten zur Verfügung zu stellen. In bestimmten Fällen ist es auch erforderlich, Informationen über die Aufbewahrungsfrist für personenbezogene Daten und die Kriterien, die diese Frist bestimmen, zu geben. [Abschnitt 44 (2(b))
- Das Auskunftsrecht gewährt der betroffenen Person das Recht, von dem für die Datenverarbeitung Verantwortlichen eine Bestätigung darüber zu erhalten, ob ihre personenbezogenen Daten verarbeitet werden oder nicht. Im ersten Fall kann die betroffene Person verlangen, dass ihre personenbezogenen Daten berichtigt oder gelöscht werden oder dass ihre Verarbeitung eingeschränkt wird.
- Das Recht auf Berichtigung ermöglicht es der betroffenen Person, von dem für die Verarbeitung Verantwortlichen die unverzügliche Vervollständigung oder Berichtigung unrichtiger personenbezogener Daten zu verlangen. Bei der Verarbeitung durch Nachrichtendienste muss der Antrag der betroffenen Person jedoch von einem Gericht genehmigt werden.
- Das Recht auf Löschung oder Einschränkung der Verarbeitung bedeutet, dass der für die Verarbeitung Verantwortliche gesetzlich verpflichtet ist, die personenbezogenen Daten der betroffenen Person ohne unangemessene Verzögerung zu löschen. Die Verarbeitung der personenbezogenen Daten muss eingeschränkt werden:
- wenn sie zu Beweiszwecken aufbewahrt werden sollen oder
- wenn ihre Unrichtigkeit (nachdem sie angefochten wurde) nicht festgestellt werden kann.
Auch für die Verarbeitung durch Nachrichtendienste muss der Antrag der betroffenen Person von einem Gericht genehmigt werden.
- Das Recht, keiner automatisierten Entscheidungsfindung zu unterliegen, bedeutet, dass der Verantwortliche keine wesentlichen Entscheidungen allein auf der Grundlage einer automatisierten Verarbeitung treffen darf, es sei denn, dies ist gesetzlich zulässig.
- Das Recht auf Intervention bei automatisierten Entscheidungen gilt für automatisierte Entscheidungen der Verantwortlichen, die eine betroffene Person erheblich beeinträchtigen oder gesetzlich zulässig sind. Die Verantwortlichen für die Datenverarbeitung sind verpflichtet, innerhalb eines Monats schriftlich zu antworten.
- Das Recht auf Widerspruch gegen die Verarbeitung gewährt der betroffenen Person das Recht, der Verarbeitung ihrer personenbezogenen Daten durch den Verantwortlichen in vollem Umfang oder für einen bestimmten Zweck, in einer bestimmten Weise oder aus bestimmten Gründen zu widersprechen, wenn sie der Ansicht ist, dass dies ihre Interessen oder Rechte beeinträchtigt. In jedem Fall muss der Verantwortliche innerhalb von 21 Tagen antworten. Wenn er sich weigert, kann die betroffene Person eine gerichtliche Anordnung beantragen, § 99.
Die Abschnitte 51-54 des Datenverarbeitungsgesetzes erweitern einige weitere Rechte der betroffenen Personen. Sie enthalten eine Reihe von Bestimmungen, nämlich die Ausübung der Rechte durch den Beauftragten, die Form der Auskunftserteilung usw., offensichtlich unbegründete oder übermäßige Anträge der betroffenen Person, die Bedeutung der "geltenden Frist".
Hinweis: Die Artikel 12-23, Abschnitte 1-5 des Kapitels 3 der DSGVO enthalten Informationen über die Rechte, die den betroffenen Personen in Bezug auf die allgemeine Verarbeitung zustehen.
Wie unterscheidet sich die UK DPA von der EU GDPR?
Einige der wichtigsten Änderungen zwischen der UK DPA und der EU GDPR sind:
|
Parameter
|
UK DPA
|
EU-GDPR
|
|
Zweck
|
Das britische Datenschutzgesetz gilt für die allgemeine Verarbeitung, die Verarbeitung zu Strafverfolgungszwecken und die Verarbeitung personenbezogener Daten durch Nachrichtendienste.
|
Für den Zweck der allgemeinen Verarbeitung personenbezogener Daten.
|
|
Gerichtsbarkeit
|
Gilt für alle Einrichtungen, die personenbezogene Daten britischer Personen verarbeiten, ihnen Waren und Dienstleistungen anbieten oder ihr Verhalten überwachen.
|
Gilt für alle Einrichtungen, die personenbezogene Daten verarbeiten, Waren und Dienstleistungen anbieten oder das Verhalten von EU- und EWR-Bürgern überwachen.
|
|
Datenschutzbeauftragter
|
Außer für Gerichte und Justizbehörden ist die Bestellung eines Datenschutzbeauftragten erforderlich.
|
Die Ernennung des DSB liegt in der Verantwortung des Verantwortlichen und des Auftragsverarbeiters.
|
|
Aufsichtsbehörden
|
Das Information Commissioner's Office ist die einzige unabhängige Aufsichtsbehörde, die die Einhaltung des DPA 2018 in Großbritannien überwacht.
|
Der Europäische Datenschutzausschuss (EDPB), der sich aus Vertretern der Datenschutzbehörden der einzelnen Mitgliedsstaaten, der nationalen Aufsichtsbehörde (SA) und dem Europäischen Datenschutzbeauftragten (EDSB) zusammensetzt, überwacht die Regulierung der EU-GDPR.
|
|
Alter der Mündigkeit
|
In Bezug auf die Dienste der Informationsgesellschaft liegt das Mindestalter für die Einwilligung bei 13 Jahren.
|
Die Verarbeitung personenbezogener Daten ist nur rechtmäßig, wenn das Kind mindestens 16 Jahre alt ist, und schränkt die Mitgliedstaaten ein, dieses Alter auf 13 Jahre zu senken.
|
|
Sanktionen bei Nichteinhaltung der Vorschriften
|
Der Höchstbetrag der Strafe beträgt 4 % des weltweiten Jahresumsatzes oder 17,5 Millionen £.
|
Der Höchstbetrag der Geldbuße beträgt 4% des weltweiten Jahresumsatzes oder 20 Millionen Euro.
|
Wie können öffentliche und private Organisationen das UK DPA 2018 und die UK GDPR einhalten?
Wenn Organisationen, zuständige Behörden und Nachrichtendienste personenbezogene Daten von Einzelpersonen erheben, sind sie auch dafür verantwortlich, dass diese Daten sicher und geschützt sind. Um Verstöße gegen die UK DPA 2018 und die UK GDPR zu vermeiden, müssen sich Verantwortliche und Auftragsverarbeiter daran halten:
- Die Zustimmung der betroffenen Personen und/oder der rechtliche Zweck für die Aufnahme und Fortsetzung der Verarbeitung personenbezogener Daten der betroffenen Personen wurden eingeholt.
- eine rechtmäßige, faire und transparente Verarbeitung der personenbezogenen Daten der betroffenen Personen vorzunehmen.
- Führen Sie vollständige und genaue Aufzeichnungen über die personenbezogenen Daten der betroffenen Personen.
- die Daten auf Antrag der betroffenen Person entweder zu berichtigen oder zu löschen.
- Löschen Sie die Daten sicher, nachdem die Aufbewahrungsfrist abgelaufen ist.
Um Daten entweder auf Anfrage oder nach Ablauf der Aufbewahrungsfrist zu löschen, müssen Unternehmen ein Programm zur sicheren Datenlöschung verwenden, wie z.B. BitRaser verwenden, das weltweit anerkannte Datenlöschungsstandards und Algorithmen unterstützt, um Daten von mehreren Laufwerken und Geräten unwiederbringlich zu löschen. Das Tool wurde auch von ADISA getestet, einer unabhängigen britischen Prüforganisation, die Software nach strengen Tests auf Datensicherheit und Produktwirksamkeit zertifiziert.
Durch die automatische Erstellung detaillierter Berichte und eines fälschungssicheren Vernichtungszertifikats trägt BitRaser zur Einhaltung von DPA und UK GDPR bei.
+1-844-775-0101
