Rechtsanwältin, Fachanwältin für Informationstechnologierecht & Zertifizierte Datenschutzbeauftragte (TÜV)
T (+49) 040 / 7344 086-0
Fachanwalt für Urheber- und Medienrecht und Spezialist für Arbeitsrecht, Zertifizierter Datenschutzbeauftragter (TÜV)
T (+49) 040 / 7344 086-0
Blog Artikel
Am 1. Februar 2020 ist Großbritannien aus der Europäischen Union (EU) ausgetreten. Um einen Abbruch der wirtschaftlichen Zusammenarbeit von einem auf den anderen Tag zu verhindern, läuft eine sogenannte Übergangfrist bis zum 31. Dezember 2020. Bisher konnten sich Großbritannien und die EU nicht auf einen gemeinsamen Austrittsvertrag einigen. Nun wird die Zeit für weitere Verhandlungen knapp.
Mit Blick auf den Datenschutz ist eine Sache bereits jetzt klar, unabhängig davon, ob EU und Vereinigtes Königreich sich bis zum Jahresende auf einen Austrittsvertrag einigen. Ab dem 1. Januar 2021 wird in dem Vereinigten Königreich (United Kingdom, UK) die britische General Data Protection Regulation (UK GDPR, auch UK- DSGVO) gelten.
Bisher galt in Großbritannien wie in allen EU-Staaten die Datenschutzgrundverordnung (DSGVO). Mit Ablauf der Brexit-Übergangsfrist ist die EU-DSGVO in Großbritannien nicht mehr direkt anwendbar und wird durch die UK GDPR ersetzt. Dies hat zur Folge, dass sich zum Ende des Jahres 2020 die datenschutzrechtliche Situation für Unternehmen, die Geschäftsbeziehungen in das Vereinigte Königreich unterhalten, ändert.
Zwar bleiben viele Anforderungen identisch, so dass sich Unternehmen im Allgemeinen auch weiterhin auf EU-DSGVO-konforme Geschäftsprozesse stützen können. Da das Vereinigte Königreich im Fall eines No-Deal Brexits zu einem datenschutzrechtlichen Drittland werden könnte, müssen die rechtlichen Grundlagen für internationale Datentransfers überprüft werden. Unternehmen sind daher gut beraten, rechtliche Vorkehrungen zu treffen, um die Einhaltung des Datenschutzrechts auch dann gewährleisten zu können, wenn das Vereinigte Königreich nach dem Übergangszeitraum zu einem datenschutzrechtlichen Drittland wird. Dies betrifft z.B. die Anpassung der Information über die Datenverarbeitung, des Musters zur Auskunftserteilung sowie des Verzeichnisses von Verarbeitungstätigkeiten. Des Weiteren sind die Anforderungen der Art. 44 ff. DSGVO an die Datenübermittlung in Drittstaaten zu erfüllen. Der europäische Datenschutzausschuss (European Data Protection Board, EDPB) hat bereits Hinweise zur Übermittlung von Daten nach der DSGVO im Fall eines ungeregelten Brexits veröffentlicht. Das Dokument finden Sie > H I E R <
Zudem sind viele Unternehmen ab dem 1. Januar 2021 nach der UK GDPR verpflichtet, einen so genannten Datenschutz-Vertreter im Vereinigten Königreich zu benennen.
Die Pflicht zur Bestellung eines Vertreters trifft nach Artikel 27 UK GDPR alle Unternehmen ohne Niederlassung im Vereinigten Königreich, die dort Waren oder Dienstleistungen anbieten oder das Verhalten von Menschen beobachten. Dies umfasst neben dem B2C-Bereich auch B2B-Unternehmen (Auftragsverarbeiter, z.B. IT-Dienstleister), wenn die Voraussetzungen bei mindestens einem der Geschäftskunden gegeben sind.
Die Schwelle für die Verpflichtung zur Benennung eines Vertreters ist sehr niedrig. Bereits das Anbieten einer an UK-Bürger ausgerichteten Website wird häufig das Erfordernis auslösen, einen UK-Vertreter zu benennen.
In folgenden Beispielen besteht ebenfalls eine Pflicht zur Bestellung eines Datenschutz-Vertreters:
Der Vertreter soll als lokaler Ansprechpartner für Bürgerinnen und Bürger sowie für das British Information Commissioner's Office (ICO), die britische Datenschutz-Aufsichtsbehörde, agieren. Er vertritt das Unternehmen in Bezug auf die ihm nach der UK GDPR obliegenden Verpflichtungen. So können Zustellungen in behördlichen Verfahren, wie etwa Auskunftsersuchen des ICO bei einem Verdacht auf Verstöße gegen die UK GDPR, mit Rechtswirkung für das Unternehmen an den Vertreter erfolgen. Der Vertreter sollte daher über Erfahrung im Datenschutzrecht verfügen, um Risiken für das Unternehmen bewerten zu können.
Darüber hinaus muss der Vertreter:
Das ICO hat kürzlich einen Leitfaden zum Thema Datentransfer nach dem UK GDPR veröffentlicht.
Sollte ein Unternehmen seiner Verpflichtung, einen UK-Vertreter zu benennen, nicht nachkommen, können Bußgelder in Höhe von bis zu GBP 8.700.000 bzw. 2 % des weltweiten Unternehmens-Jahresumsatzes verhängt werden, je nachdem, welcher Betrag höher ist. Ein Verstoß gegen eine entsprechende Verpflichtung ist leicht zu erkennen, da der Vertreter regelmäßig in Datenschutzerklärungen zu nennen ist.
Sind Sie von den Änderungen des Datenschutzrechts im Vereinigten Königreich betroffen und haben Fragen zur Umsetzung der UK GDPR? Dann sind Sie bei uns genau richtig!
Als Kanzlei für Datenschutzrecht betreut SBS Legal seit Jahren Unternehmen kompetent in allen Belangen des Datenschutzes – sowohl innerhalb als auch außerhalb der EU. Unser Team aus erfahrenen Rechtsanwälten sorgt dafür, dass auch Sie den hohen Anforderungen des Datenschutzrechts in jeder Hinsicht gerecht werden und die von der Rechtsprechung gesetzten Maßstäbe souverän umsetzen.
Wir stehen auch Ihnen gern als Partner zur Seite und freuen uns, Ihren Erfolg mitzugestalten.
Für weitere Rückfragen stehen wir Ihnen jederzeit gerne auch telefonisch zur Verfügung.