Blog
Hinweis: Beiträge werden automatisch aus dem Englischen übersetzt. Für den Originalinhalt besuchen Sie bitte unsere englische Seite. Einige Übersetzungen sind möglicherweise nicht perfekt; wir danken Ihnen für Ihr Verständnis.
illustration of the European and British flag In the context of Brexit.

Brexit und UK-Datenschutzbeauftragter

Andreas

Andreas Maetzler

1. Abkommen über Handel und Zusammenarbeit

Nach dem Austritt des Vereinigten Königreichs aus der EU sah das Austrittsabkommen einen Übergangszeitraum für die Aushandlung der künftigen Beziehungen zwischen dem Vereinigten Königreich und der EU vor. Kurz vor dem Ende der Übergangszeit, dem 31. Dezember 2020, einigten sich die beiden Parteien auf ein Handels- und Kooperationsabkommen (TCA), das kaum Einzelheiten zum Datenschutz enthält. Es geht jedoch glücklicherweise auf das größte Problem eines harten Brexit ein: den Datenfluss von der EU in das Vereinigte Königreich (siehe unten 5. Datenübermittlung zwischen der EU und dem Vereinigten Königreich). Ansonsten gibt es keine wesentlichen Bestimmungen zum Datenschutz, insbesondere keine Änderungen in Bezug auf die Notwendigkeit der Ernennung eines Vertreters in der EU oder im Vereinigten Königreich nach dem Ende des Übergangszeitraums. Daher müssen Unternehmen, die keine Niederlassung, Zweigstelle oder sonstige Einrichtung in der EU und/oder im Vereinigten Königreich haben und die Waren und Dienstleistungen anbieten oder betroffene Personen überwachen, einen Vertreter für die Märkte benennen, auf denen sie tätig sind.

Referenzen: ICO FAQs

2. Situation ab dem 1. Januar 2021

Bis zum 1. Januar 2021 betraf die Verpflichtung zur Benennung eines Vertreters gemäß Art. 27. GDPR nur Unternehmen mit Sitz außerhalb der EU (einschließlich des Vereinigten Königreichs) betroffen. Daher war diese Verpflichtung für Unternehmen mit Sitz innerhalb der EU und des Vereinigten Königreichs nicht allzu auffällig. Mit dem Austritt des Vereinigten Königreichs aus der EU könnte diese “versteckte” Verpflichtung zur Benennung eines Vertreters nun gerade, aber nicht nur, für Unternehmen mit Sitz im Vereinigten Königreich sowie für Unternehmen mit Sitz in der EU sehr relevant werden.

Mit dem Ende der Übergangsfrist ist im Vereinigten Königreich die “UK GDPR” zusammen mit einer geänderten Fassung des Data Protection Act 2018 in Kraft getreten. Der neue britische Datenschutzrahmen entspricht der EU-DSGVO und verpflichtet Unternehmen, die außerhalb des Vereinigten Königreichs ansässig sind, aber den britischen Markt ansprechen, einen Vertreter im Vereinigten Königreich zu benennen. Aus der Sicht eines Außenstehenden gibt es nun also zwei Rechtsvorschriften, die Unternehmen dazu verpflichten können, einen Vertreter zu benennen: zum einen die EU-DSGVO, die für Unternehmen mit Sitz außerhalb der EU gilt, und zum anderen die UK-DSGVO, die für Unternehmen mit Sitz außerhalb des Vereinigten Königreichs gilt. Daher hat das ICO die Unternehmen bereits sehr früh über die mögliche Verpflichtung zur Bestellung eines Vertreters in der EU und/oder im Vereinigten Königreich informiert.

Referenzen: Änderung der UK GDPR, Data Protection Act 2018, Data Protection Exit Regulation, ICO: Will the GDPR still apply?, ICO FAQs

3. Vertretung

illustration.

Müssen Unternehmen, die nicht im Vereinigten Königreich ansässig sind, einen britischen Vertreter ernennen?

Die britische Regierung hat erklärt, dass ab dem 1. Januar 2021 Unternehmen mit Sitz außerhalb des Vereinigten Königreichs, sei es in der EU oder in einem Drittland, einen Vertreter des Vereinigten Königreichs gemäß Art. 27 UK-GDPR einen Vertreter ernennen müssen, wenn sie:

  • Waren oder Dienstleistungen für Personen im Vereinigten Königreich anbieten; oder
  • das Verhalten von Personen im Vereinigten Königreich überwachen. Wir haben unsere SaaS-Lösung für die Vertretung im Vereinigten Königreich angepasst und können Ihnen unsere LegalTech-Dienstleistungen von unserem britischen Büro aus anbieten.

Ressourcen: Änderung der UK GDPR, ICO: Erfordernis eines EU-Vertreters, ICO FAQs

Ernennung eines UK-Vertreters

Müssen britische Unternehmen einen EU-Vertreter benennen?

Im Allgemeinen benötigen Unternehmen, die keine Niederlassung in der EU haben, einen Vertreter gemäß Art. 27 GDPR einen Vertreter, wenn sie:

  • Waren oder Dienstleistungen für Personen im EWR anbieten
  • das Verhalten von Personen im EWR überwachen. Da das Vereinigte Königreich nach dem Ende der Übergangszeit kein Mitgliedstaat mehr ist, gilt eine Niederlassung im Vereinigten Königreich nicht mehr als EU-Niederlassung. Aus Sicht der EU gilt das Vereinigte Königreich dann als Drittland. Diese allgemeine Regel verpflichtet daher britische Unternehmen, die die oben genannten Kriterien erfüllen, einen EU-Vertreter zu bestellen. Als Anwaltskanzlei bieten wir Ihnen eine SaaS-Lösung für die Vertretung in allen EU-Mitgliedstaaten an.

Ressourcen: ICO: Erfordernis eines EU-Vertreters, ICO FAQs

EU-Vertreter ernennen

4. Datenfluss

Datenfluss aus der EU in das Vereinigte Königreich

Das TCA erlaubt den freien Datenfluss aus der EU (und dem EWR) in das Vereinigte Königreich für einen Zeitraum von maximal sechs Monaten, der als “Überbrückungszeitraum” bezeichnet wird. Nach diesem Zeitraum wird die Europäische Kommission hoffentlich über die Annahme eines Angemessenheitsbeschlusses entschieden haben. Liegt bis dahin keine Entscheidung der Europäischen Kommission vor, läuft die Überbrückungsfrist ungeachtet dessen aus und das Vereinigte Königreich muss alternative Mechanismen bereitstellen, um die rechtmäßige Verarbeitung personenbezogener Daten aus der EU zu gewährleisten. In einer Erklärung vom 28. Dezember 2020 empfiehlt das ICO britischen Unternehmen, die mit EU- oder EWR-Organisationen zusammenarbeiten, die personenbezogene Daten in das Vereinigte Königreich übermitteln, bis Ende April 2021 alternative Übermittlungsmechanismen für den Datenfluss zwischen der EU und dem Vereinigten Königreich einzurichten. Auch die britische Regierung rät britischen Unternehmen, als sinnvolle Vorsichtsmaßnahme alternative Übermittlungsmechanismen einzurichten. Am wichtigsten sind dabei die Standardvertragsklauseln (SCC). Das ICO bietet Anleitungen und interaktive Tools zur Erstellung von SCCs. Wenn die Europäische Kommission bis zum Ende der Sechsmonatsfrist keinen Angemessenheitsbeschluss erlässt, muss das Vereinigte Königreich die Übermittlungsbeschränkungen der EU-Datenschutzverordnung einhalten. Im Allgemeinen ist eine Datenübermittlung möglich, wenn sie durch einen Angemessenheitsbeschluss, eine geeignete Schutzmaßnahme oder eine Ausnahme abgedeckt ist. Liegt kein Angemessenheitsbeschluss vor, kann der EWR-Absender Daten in das Vereinigte Königreich übermitteln, wenn er geeignete Schutzmaßnahmen ergreift. Liegt kein Angemessenheitsbeschluss vor und sind keine angemessenen Garantien vorhanden, kann der EWR-Absender dennoch Daten in das Vereinigte Königreich übermitteln, wenn eine der Ausnahmen der EU-DSGVO gilt. Das ICO informiert britische Unternehmen jedoch darüber, dass diese Ausnahmen gemäß den EDPB-Leitlinien restriktiv auszulegen sind und sich hauptsächlich auf Übermittlungen beziehen, die gelegentlich stattfinden und nicht wiederholt werden.

Quellen: Erklärung des ICO als Reaktion auf die Ankündigung der EU-Kommission zur Genehmigung der Angemessenheit des Vereinigten Königreichs, EU-Kommission: Datenschutz nach dem Ende der Brexit-Übergangszeit für kleine Unternehmen und Organisationen

Datenfluss aus dem Vereinigten Königreich in die EU

Die britische Regierung erklärt, dass es derzeit keine Änderungen für den Datenfluss aus dem Vereinigten Königreich in die EU/EWR, nach Gibraltar und in andere Länder gibt, die von der EU als angemessen angesehen werden. Datenübertragungen aus dem Vereinigten Königreich in die EU sind daher zulässig, aber britische Unternehmen sollten ihre Unterlagen und Datenschutzhinweise aktualisieren, um diese Übertragungen abzudecken. Die Regierung hat erklärt, dass sie diese Angelegenheit im Auge behalten wird.

Ressourcen: Gov.uk: “Verwendung personenbezogener Daten in Ihrem Unternehmen oder einer anderen Organisation”

5. Vererbte Daten

Art. 71(1) des Austrittsabkommens enthält Bestimmungen für “Altdaten” für den Fall, dass die Europäische Kommission keine Angemessenheitsbeschlüsse erlässt. Altdaten bestehen aus Daten von Personen außerhalb des Vereinigten Königreichs, die:

  • vor dem Ende des Übergangszeitraums erworben und gemäß der EU-DSGVO verarbeitet wurden; oder
  • die auf der Grundlage des Austrittsabkommens verarbeitet wurden. Die Altdaten unterliegen weiterhin der EU-DSGVO (auch “eingefrorene DSGVO” genannt). Das ICO empfiehlt Unternehmen daher, zu ermitteln, welche Daten vor dem Ende des Übergangszeitraums erhoben wurden. Da das britische Datenschutzrecht derzeit mit der eingefrorenen GDPR übereinstimmt, müssen Unternehmen in der Praxis möglicherweise keine Änderungen vornehmen, um das Austrittsabkommen einzuhalten. Die britische Regierung betont jedoch, dass Unternehmen eine Bestandsaufnahme ihrer personenbezogenen Daten vornehmen sollten, um alte Daten zu identifizieren und zu verfolgen. Wenn die Europäische Kommission eine Angemessenheitsentscheidung trifft, werden diese Bestimmungen nicht mehr gelten. Ressourcen: Gov.uk Guidance: Verwendung personenbezogener Daten in Ihrem Unternehmen oder einer anderen Organisation, EU-Kommission: ICO: Internationale Datenübermittlung