Die Rolle eines Beauftragten nach dem Brexit unter der EU- und UK-DSGVO
1. Abkommen über Handel und Zusammenarbeit
Bis zum Ende des Übergangszeitraums am 31. Dezember 2020 war die Verpflichtung zur Bestellung eines Datenschutzbeauftragten nur für Unternehmen in der Europäischen Union (einschließlich des Vereinigten Königreichs) relevant, wenn es um die Sorgfaltspflichten von Unternehmen ohne Niederlassung in der EU ging. Nachdem das Vereinigte Königreich aus der Europäischen Union ausgetreten ist, bilden die beiden Länder nun zwei getrennte Märkte mit unterschiedlichen regulatorischen und rechtlichen Bestimmungen. Da es sich bei der DSGVO um eine EU-Verordnung handelt, wird sie im Vereinigten Königreich nach dem Brexit im Allgemeinen nicht mehr anwendbar sein. Die britische Regierung hat die GDPR jedoch in das britische Datenschutzrecht aufgenommen. Ab dem 1. Januar 2021 gilt also die britische Version der GDPR (“UK GDPR”) und Unternehmen müssen sie einhalten. Das Gute daran ist, dass die Abweichungen der UK GDPR von der EU-Version hauptsächlich nur die Einführung einer britischen Anwendung betreffen und nicht die Verpflichtungen eines Unternehmens ändern. Daher sind die praktischen Auswirkungen minimal - Unternehmen, die die DSGVO bereits vor dem 1. Januar 2021 einhalten, werden auch nach dem Ende des Übergangszeitraums die EU- und die UK-GDPR einhalten, mit Ausnahme der folgenden Punkte:
Es gibt zwei große Auswirkungen des Brexit auf die Einhaltung der Datenschutzbestimmungen:
- die Verpflichtung, einen Vertreter in der EU, im Vereinigten Königreich oder in beiden Ländern zu benennen; und
- der Datenfluss zwischen der EU und dem Vereinigten Königreich, der dem Handels- und Kooperationsabkommen (TCA”) unterliegt, das im Dezember 2020 von der EU und dem Vereinigten Königreich vereinbart wurde.
Wir erörtern diese und andere datenschutzbezogene Auswirkungen des Brexit hier.
Die Pflicht zur Bestellung eines Vertreters
Um das Folgende in einen Kontext zu stellen, werfen wir einen kurzen Blick auf die Verpflichtung gemäß Art. 27 GDPR und ihre Auswirkungen vor dem Brexit. Art. 27 DSGVO verpflichtet Unternehmen mit Sitz außerhalb der EU, einen europäischen Vertreter zu benennen, wenn sie personenbezogene Daten europäischer Personen verarbeiten, die sich auf das Angebot von Waren oder Dienstleistungen an Personen in der EU oder die Überwachung des Verhaltens von Personen in der EU beziehen. Die Rolle des Vertreters besteht darin, als Kontaktstelle für die lokalen Datenschutzbehörden und die betroffenen Personen zu fungieren. Da in der EU ansässige Unternehmen von dieser Verpflichtung nicht betroffen waren, überrascht es nicht, dass sie in der EU nicht allzu sehr im Vordergrund stand. Diese “versteckte Verpflichtung” wurde jedoch von Null auf Hundert erhöht, als das Vereinigte Königreich seine eigene Version der Datenschutz-Grundverordnung umsetzte, die dieselbe Verpflichtung in einem ausschließlich auf das Vereinigte Königreich beschränkten Kontext vorsieht. Aus der Außenperspektive bedeutet dies, dass es jetzt zwei Rechtsvorschriften gibt, die Unternehmen dazu verpflichten könnten, einen Vertreter entweder in der EU, im Vereinigten Königreich oder sogar in beiden Ländern zu benennen. Die Auswirkungen sollten von den meisten Unternehmen bedacht werden, unabhängig davon, ob sie in der EU, im Vereinigten Königreich oder anderswo ansässig sind.
Art. 27 UK GDPR entspricht Art. 27 EU GDPR und daher verpflichten beide Bestimmungen Unternehmen in gleicher Weise zur Bestellung eines Vertreters, wenn Unternehmen:
- Waren oder Dienstleistungen für Einzelpersonen anbieten; oder
- das Verhalten von Einzelpersonen überwachen.
Was unter “Anbieten von Waren und Dienstleistungen” zu verstehen ist, wird in den Leitlinien des EDPB zum territorialen Anwendungsbereich der DSGVO (Leitlinie 3/2018) erläutert. Auch wenn diese Leitlinien für das britische Recht nicht mehr unmittelbar relevant sind, hat das ICO erklärt, dass sie bei der Behandlung spezifischer Fragen dennoch hilfreiche Anhaltspunkte bieten. Daher können die EDPB-Leitlinien bei der Bestimmung des territorialen Geltungsbereichs der DSGVO hilfreich sein, solange die britische Regierung keine neuen Vorschriften zu diesem Thema erlässt oder die ICO eine widersprüchliche Erklärung veröffentlicht. Nach den EPDB-Leitlinien müssen verschiedene Faktoren berücksichtigt werden, um festzustellen, ob ein Unternehmen seine Waren oder Dienstleistungen Personen in einer bestimmten Region anbietet. Einige Faktoren, die zu berücksichtigen sind, sind:
- die Verwendung von Sprachen, die in einer bestimmten Region gesprochen werden, oder das Anbieten von Zahlungen in der Währung einer solchen Region;
- die Verwendung von Google- oder Facebook-Anzeigen, um einen Markt anzusprechen, oder andere Marketingaktivitäten, die sich an Kunden in einem solchen Markt richten;
- die Angabe von Referenzen oder Zeugnissen, die für einen bestimmten Markt relevant sind;
- wenn es sich um eine internationale Tätigkeit handelt, wie z. B. bestimmte touristische Aktivitäten;
- die Angabe lokaler Adressen oder Telefonnummern, die von Personen in derselben Region erreicht werden können;
- die Verwendung von Top-Level-Domains in einem solchen Markt;
- Angebot der Lieferung von Waren an Personen in der betreffenden Region.
Auch die Auslegung des Kriteriums “Überwachung des Verhaltens einer Person” unterliegt der Leitlinie 3/2018. Nicht jede Online-Erhebung oder -Analyse personenbezogener Daten von Personen in der EU gilt als “Überwachung”. Die Überwachung des Verhaltens der betroffenen Personen setzt die Absicht voraus, Daten für einen bestimmten Zweck zu sammeln. Daher gilt jede Art der Verfolgung von Personen im Internet, einschließlich der möglichen anschließenden Verwendung von Profiling-Techniken, als “Überwachung”. Dem EDPB zufolge kann die Überwachung nicht nur im Internet, sondern auch über Wearables und andere intelligente Geräte erfolgen. Zu den Überwachungsaktivitäten gehören:
- verhaltensbezogene Werbung;
- Aktivitäten zur Geolokalisierung, insbesondere zu Marketingzwecken
- Online-Tracking durch die Verwendung von Cookies oder anderen Tracking-Techniken wie Fingerabdrücken;
- personalisierte Diät- und Gesundheitsanalysedienste im Internet;
- VIDEOÜBERWACHUNG;
- Marktumfragen und andere Verhaltensstudien auf der Grundlage individueller Profile;
- Überwachung oder regelmäßige Berichterstattung über den Gesundheitszustand einer Person.
Jedes Unternehmen, das solche Aktivitäten durchführt, sollte sich der Auswirkungen bewusst sein. EU-Unternehmen, die sich bisher noch keine Gedanken über die Notwendigkeit der Ernennung eines Vertreters machen mussten, sollten prüfen, ob sie sich an Personen im Vereinigten Königreich wenden und daher einen britischen Vertreter benötigen. Das Gleiche gilt für britische Unternehmen: Auch wenn die Bestimmungen der EU-DSGVO unverändert bleiben, sollten britische Unternehmen, die keine Niederlassung in der Europäischen Union haben, prüfen, ob sie unter die Verpflichtung zur Bestellung eines europäischen Vertreters nach Art.Unternehmen mit Sitz außerhalb der EU und des Vereinigten Königreichs - die idealerweise bereits vor dem Brexit von dieser Verpflichtung im Rahmen der DSGVO wussten - sollten sorgfältig prüfen, ob sie nach den neuen britischen Bestimmungen einen britischen Vertreter benennen müssen. Um sowohl das EU-Recht als auch das britische Recht einzuhalten, müssen sie jetzt möglicherweise zwei Vertreter benennen. Wenn sie bereits einen europäischen Vertreter bestellt haben, dieser aber keine Niederlassung im Vereinigten Königreich hat, muss das Unternehmen einen zusätzlichen britischen Vertreter bestellen. Das Gleiche gilt für Unternehmen, deren europäischer Vertreter im Vereinigten Königreich ansässig war und keine Niederlassung in der EU hat. Sie müssen nun möglicherweise einen europäischen Vertreter mit Sitz in der EU ernennen. Am günstigsten dürfte es sein, einen Vertreter zu ernennen, der sowohl in der EU als auch im Vereinigten Königreich niedergelassen ist. Antworten auf alle weiteren Fragen zur Vertreterpflicht finden Sie in unseren FAQ zur Datenschutz-Grundverordnung und in unseren FAQ zum Datenschutz im Vereinigten Königreich.
Auswirkungen des “Brexit-Deals” auf den Datentransfer
Eine der vielen brennenden Fragen im Zusammenhang mit dem Austritt des Vereinigten Königreichs aus der EU war, welche Auswirkungen dies auf den Datentransfer aus der EU in das Vereinigte Königreich und umgekehrt haben würde. Während das Vereinigte Königreich erklärte, dass Datenübertragungen aus dem Vereinigten Königreich in die EU zulässig seien, blieb die EU bei ihrem Standpunkt, dass jegliche Datenübertragungen aus der EU in das Vereinigte Königreich unter die Bestimmungen der Datenschutz-Grundverordnung (DSGVO) über internationale Datenübertragungen fallen würden. Dennoch hat die EU mit der Arbeit an einem Angemessenheitsbeschluss begonnen, der Datenübertragungen erheblich erleichtern würde, indem er den Datenfluss ohne zusätzliche Schutzmaßnahmen ermöglichen würde. Da das Urteil des Europäischen Gerichtshofs vom Juli 2020 (Schrems II) die Arbeit der EU an der Annahme eines Angemessenheitsbeschlusses verzögerte und die Übergangsfrist am 31. Dezember 2020 ausläuft, sah es für Datenübermittlungen zwischen der EU und dem Vereinigten Königreich nicht gerade rosig aus. Glücklicherweise wurden die aufkommenden Bedenken durch das TCA ausgeräumt, das eine Überbrückungsfrist von maximal sechs Monaten vorsieht, die der EU mehr Zeit für die Angemessenheitsentscheidung einräumt. Während dieses Überbrückungszeitraums können Daten wie gewohnt übermittelt werden. Es ist jedoch nicht sicher, ob ein Angemessenheitsbeschluss angenommen wird oder nicht. Unternehmen, die Daten aus der EU in das Vereinigte Königreich übermitteln, sollten daher bereits vor Ablauf des Überbrückungszeitraums alternative Sicherheitsvorkehrungen einrichten.
- vor dem Ende des Übergangszeitraums erworben und gemäß der EU-DSGVO verarbeitet werden; oder
- auf der Grundlage des Austrittsabkommens verarbeitet werden. Für die Altdaten gilt weiterhin die EU-DSGVO (auch “eingefrorene DSGVO” genannt). Das ICO empfiehlt Unternehmen daher, zu ermitteln, welche Daten vor dem Ende des Übergangszeitraums erhoben wurden. Da das britische Datenschutzrecht derzeit mit der eingefrorenen GDPR übereinstimmt, müssen Unternehmen in der Praxis möglicherweise keine Änderungen vornehmen, um das Austrittsabkommen einzuhalten. Die britische Regierung betont jedoch, dass Unternehmen eine Bestandsaufnahme ihrer personenbezogenen Daten vornehmen sollten, um ältere Daten zu identifizieren und zu verfolgen. Wenn die Europäische Kommission eine Angemessenheitsentscheidung trifft, werden diese Bestimmungen nicht mehr gelten. Ressourcen: Gov.uk Guidance: Verwendung personenbezogener Daten in Ihrem Unternehmen oder einer anderen Organisation, EU-Kommission: ICO: Internationale Datenübermittlung