SBS Firmengruppe Logos

| Datenschutzrecht

Brexit: Neue Regelungen im Datenschutzrecht ab 2021


EU-DSGVO wird durch die britische General Data Protection Regulation ersetzt 

Am 1. Februar 2020 ist Großbritannien aus der Europäischen Union (EU) ausgetreten. Um einen Abbruch der wirtschaftlichen Zusammenarbeit von einem auf den anderen Tag zu verhindern, läuft eine sogenannte Übergangfrist bis zum 31. Dezember 2020. Bisher konnten sich Großbritannien und die EU nicht auf einen gemeinsamen Austrittsvertrag einigen. Nun wird die Zeit für weitere Verhandlungen knapp.

Mit Blick auf den Datenschutz ist eine Sache bereits jetzt klar, unabhängig davon, ob EU und Vereinigtes Königreich sich bis zum Jahresende auf einen Austrittsvertrag einigen. Ab dem 1. Januar 2021 wird in dem Vereinigten Königreich (United Kingdom, UK) die britische General Data Protection Regulation (UK GDPR, auch UK- DSGVO) gelten.

Was ändert sich zum 1. Januar 2021 im Datenschutzrecht?

Bisher galt in Großbritannien wie in allen EU-Staaten die Datenschutzgrundverordnung (DSGVO). Mit Ablauf der Brexit-Übergangsfrist ist die EU-DSGVO in Großbritannien nicht mehr direkt anwendbar und wird durch die UK GDPR ersetzt. Dies hat zur Folge, dass sich zum Ende des Jahres 2020 die datenschutzrechtliche Situation für Unternehmen, die Geschäftsbeziehungen in das Vereinigte Königreich unterhalten, ändert.

Zwar bleiben viele Anforderungen identisch, so dass sich Unternehmen im Allgemeinen auch weiterhin auf EU-DSGVO-konforme Geschäftsprozesse stützen können. Da das Vereinigte Königreich im Fall eines No-Deal Brexits zu einem datenschutzrechtlichen Drittland werden könnte, müssen die rechtlichen Grundlagen für internationale Datentransfers überprüft werden. Unternehmen sind daher gut beraten, rechtliche Vorkehrungen zu treffen, um die Einhaltung des Datenschutzrechts auch dann gewährleisten zu können, wenn das Vereinigte Königreich nach dem Übergangszeitraum zu einem datenschutzrechtlichen Drittland wird. Dies betrifft z.B. die Anpassung der Information über die Datenverarbeitung, des Musters zur Auskunftserteilung sowie des Verzeichnisses von Verarbeitungstätigkeiten. Des Weiteren sind die Anforderungen der Art. 44 ff. DSGVO an die Datenübermittlung in Drittstaaten zu erfüllen. Der europäische Datenschutzausschuss (European Data Protection Board, EDPB) hat bereits Hinweise zur Übermittlung von Daten nach der DSGVO im Fall eines ungeregelten Brexits veröffentlicht. Das Dokument finden Sie > H I  E R <

Zudem sind viele Unternehmen ab dem 1. Januar 2021 nach der UK GDPR verpflichtet, einen so genannten Datenschutz-Vertreter im Vereinigten Königreich zu benennen.

Wer muss nach britischem Recht einen Vertreter benennen?

Die Pflicht zur Bestellung eines Vertreters trifft nach Artikel 27 UK GDPR alle Unternehmen ohne Niederlassung im Vereinigten Königreich, die dort Waren oder Dienstleistungen anbieten oder das Verhalten von Menschen beobachten. Dies umfasst neben dem B2C-Bereich auch B2B-Unternehmen (Auftragsverarbeiter, z.B. IT-Dienstleister), wenn die Voraussetzungen bei mindestens einem der Geschäftskunden gegeben sind.

Die Schwelle für die Verpflichtung zur Benennung eines Vertreters ist sehr niedrig. Bereits das Anbieten einer an UK-Bürger ausgerichteten Website wird häufig das Erfordernis auslösen, einen UK-Vertreter zu benennen.

In folgenden Beispielen besteht ebenfalls eine Pflicht zur Bestellung eines Datenschutz-Vertreters:

  • Schaltung von Suchmaschinenwerbung, die auf UK ausgerichtet ist,
  • Möglichkeit, Waren oder Dienstleistungen in UK zu bestellen, oder Akzeptierung des britischen Pfund als Zahlungsmittel,
  • Tracking von UK-Bürgern, etwa mittels Cookies oder Device Fingerprints,
  • international ausgerichtete Produkte der Transport- und Reisebranche,
  • Durchführung von klinischen Studien oder Marktforschungen

Über den Datenschutzvertreter

Der Vertreter soll als lokaler Ansprechpartner für Bürgerinnen und Bürger sowie für das British Information Commissioner's Office (ICO), die britische Datenschutz-Aufsichtsbehörde, agieren. Er vertritt das Unternehmen in Bezug auf die ihm nach der UK GDPR obliegenden Verpflichtungen. So können Zustellungen in behördlichen Verfahren, wie etwa Auskunftsersuchen des ICO bei einem Verdacht auf Verstöße gegen die UK GDPR, mit Rechtswirkung für das Unternehmen an den Vertreter erfolgen. Der Vertreter sollte daher über Erfahrung im Datenschutzrecht verfügen, um Risiken für das Unternehmen bewerten zu können.

Darüber hinaus muss der Vertreter:

  • im Vereinigten Königreich niedergelassen sein.
  • schriftlich benannt werden.
  • ein Verarbeitungsverzeichnis nach Artikel 30 UK GDPR des Unternehmens vorhalten.
  • Vertretungsmacht besitzen, da er für das jeweilige Unternehmen handeln soll.

Das ICO hat kürzlich einen Leitfaden zum Thema Datentransfer nach dem UK GDPR veröffentlicht.

Bußgelder bei Unterlassen der Benennung

Sollte ein Unternehmen seiner Verpflichtung, einen UK-Vertreter zu benennen, nicht nachkommen, können Bußgelder in Höhe von bis zu GBP 8.700.000 bzw. 2 % des weltweiten Unternehmens-Jahresumsatzes verhängt werden, je nachdem, welcher Betrag höher ist. Ein Verstoß gegen eine entsprechende Verpflichtung ist leicht zu erkennen, da der Vertreter regelmäßig in Datenschutzerklärungen zu nennen ist.


SBS Legal – Kanzlei für Datenschutzrecht in Hamburg

Sind Sie von den Änderungen des Datenschutzrechts im Vereinigten Königreich betroffen und haben Fragen zur Umsetzung der UK GDPR? Dann sind Sie bei uns genau richtig!

Als Kanzlei für Datenschutzrecht betreut SBS Legal seit Jahren Unternehmen kompetent in allen Belangen des Datenschutzes – sowohl innerhalb als auch außerhalb der EU. Unser Team aus erfahrenen Rechtsanwälten sorgt dafür, dass auch Sie den hohen Anforderungen des Datenschutzrechts in jeder Hinsicht gerecht werden und die von der Rechtsprechung gesetzten Maßstäbe souverän umsetzen.

Wünschen Sie die Rechtsberatung von dem erfahrenen Team aus Fachanwälten und Spezialisten der SBS LEGAL?

Wir stehen auch Ihnen gern als Partner zur Seite und freuen uns, Ihren Erfolg mitzugestalten.

Für weitere Rückfragen stehen wir Ihnen jederzeit gerne auch telefonisch zur Verfügung.

Der Erstkontakt zu SBS LEGAL ist immer kostenlos.

SBS Direktkontakt

telefonisch unter (+49) 040 / 7344086-0 oder
per E-Mail unter mail@sbs-legal.de oder
per unten angebotenem SBS Direktkontakt.

Ich habe die Datenschutz-Richtlinien gelesen und stimmen diesen hiermit zu.

Zurück zur Blog-Übersicht