Bisher benötigten ausschließlich Unternehmen mit Sitz außerhalb der EU nach Artikel 27 DSGVO einen so genannten EU-Vertreter als Ansprechpartner für Datenschutzthemen.
Der Brexit – der nun zum Ende der Übergangsphase am 31.12.2020 wirksam wird – hat nicht nur Auswirkungen auf das im Vereinigten Königreich geltende Datenschutzrecht, sondern stellt auch neue Anforderungen an Unternehmen, die einen Sitz entweder im Vereinigten Königreich oder innerhalb der EU haben und an diejenigen, die im jeweils anderen Rechtsraum Dienstleistungen anbieten und dadurch grenzüberschreitend Daten übermitteln.
Gerade in den letzten Monaten waren diese grenzüberschreitendenden Datenübermittlungen – insbesondere in die USA – ein vieldiskutiertes Thema. Wir berichteten hierzu unter bereits den Schlagworten „Schrems II“ und „EU-US PrivacyShield“ in unserem ePrivacy-Newsletter und auch noch einmal in dieser Ausgabe.
Nach dem Brexit ist nun auch das Vereinigte Königreich aus Sicht der DSGVO ein „Drittland“ und Unternehmen, die ihren Sitz im Vereinigten Königreich haben und Daten von EU-Bürgern verarbeiten, müssen jetzt einen EU-Vertreter bestellen.
Die Auswirkungen des Brexit gehen aber weit darüber hinaus: Großbritannien behält die DSGVO nämlich im Wesentlichen als nationales Recht bei. Das britische Datenschutzgesetz fordert dabei in gleicher Weise einen Vertreter im Vereinigten Königreich wie der europäische Artikel 27 DSGVO – mit dem Unterschied, dass der „UK Representative“ eben im Vereinigten Königreich ansässig sein muss. Die britische Datenschutzaufsichtsbehörde ICO hat das auch noch einmal ausdrücklich klargestellt .
Das bedeutet, dass alle Unternehmen mit Sitz außerhalb des Vereinigten Königreichs (also auch Unternehmen aus der EU!) einen so genannten UK Representative mit Sitz im Vereinigten Königreich bestellen müssen, wenn sie weiterhin Dienstleistungen im Vereinigten Königreich anbieten und dabei personenbezogene Daten von britischen Staatsbürgern verarbeiten.
Im Ergebnis werden Unternehmen, die ihren Sitz außerhalb Europas haben, neben ihrem bestehenden EU-Vertreter nun zusätzlich auch einen UK Representative bestellen müssen, wenn sie personenbezogene Daten von Britinnen und Briten verarbeiten.
Leider ist auch damit noch nicht genug: Zusätzlich zum „UK Representative“ muss der britischen Datenschutzaufsichtsbehörde ICO auch ein Datenschutzbeauftragter benannt werden. Dieser muss aber keinen Sitz im Vereinigten Königreich haben, sondern kann auch in der EU ansässig sein – sofern er die nötige Expertise im britischen Datenschutzrecht aufweist.
Grafisch lässt sich das folgendermaßen zusammenfassen:
Wichtig für Sie könnte sein:
ePrivacy bietet ab 2021 auch die Dienstleistung des UK Representative an und auch die Funktion des UK-Datenschutzbeauftragten!
Haben Sie Fragen zu diesem Thema, dann melden Sie sich gerne bei uns!