Skip to content
Brexit and UK Privacy Representation Resource Center
Article

Brexit and UK Privacy Representation

Andreas Maetzler
Andreas Maetzler
5 min read
Brexit and UK Privacy Representation

Handels- und Kooperationsabkommen

Nachdem das Vereinigte Königreich die EU verlassen hatte, sah das Austrittsabkommen eine Übergangsfrist für die Verhandlung der zukünftigen Beziehung zwischen dem Vereinigten Königreich und der EU vor. Kurz vor dem Ende der Übergangsfrist, am 31. Dezember 2020, einigten sich beide Parteien auf ein Handels- und Kooperationsabkommen ("TCA"), das jedoch recht knapp in Bezug auf den Datenschutz ist. Glücklicherweise behandelt es jedoch das größte Anliegen eines harten Brexits: den Datenfluss von der EU in das Vereinigte Königreich (siehe unten 5. EU-UK-Datenübertragung für weitere Details). Abgesehen davon gibt es keine wesentlichen Bestimmungen zum Datenschutz, insbesondere keine Änderungen bezüglich der Notwendigkeit, nach dem Ende der Übergangsfrist einen EU- oder UK-Vertreter zu benennen. Daher sind Unternehmen ohne Niederlassung, Zweigstelle oder sonstige Einrichtung in der EU und/oder im Vereinigten Königreich, die Waren und Dienstleistungen anbieten oder Daten von betroffenen Personen überwachen, verpflichtet, einen Vertreter in den Märkten zu benennen, die sie erreichen.

Referenzen: ICO FAQs

2. Situation ab dem 1. Januar 2021

Bis zum 1. Januar 2021 betraf die Verpflichtung zur Benennung eines Vertreters gemäß Art. 27 DSGVO nur Unternehmen außerhalb der EU (einschließlich des Vereinigten Königreichs). Daher war diese Verpflichtung für in der EU und im Vereinigten Königreich ansässige Unternehmen nicht allzu prominent. Mit dem Austritt des Vereinigten Königreichs aus der EU könnte diese "versteckte" Verpflichtung zur Benennung eines Vertreters nun sehr relevant werden, insbesondere aber nicht ausschließlich für Unternehmen im Vereinigten Königreich sowie für Unternehmen innerhalb der EU.

Mit dem Ende der Übergangsfrist trat die „UK GDPR“ zusammen mit einer überarbeiteten Version des Datenschutzgesetzes von 2018 in Großbritannien in Kraft. Äquivalent zur EU-DSGVO verpflichtet das neue britische Datenschutzrahmenwerk Unternehmen, die außerhalb des Vereinigten Königreichs ansässig sind, aber den britischen Markt erreichen, einen Vertreter im Vereinigten Königreich zu benennen. Aus der Perspektive eines Außenstehenden gibt es nun zwei rechtliche Bestimmungen, die Unternehmen zur Bestellung eines Vertreters verpflichten können: die EU-DSGVO, die für Unternehmen gilt, die außerhalb der EU ansässig sind, einerseits, und die UK-GDPR, die für Unternehmen gilt, die außerhalb des Vereinigten Königreichs ansässig sind, andererseits. Daher informierte die ICO Unternehmen bereits sehr früh über die mögliche Verpflichtung, einen Vertreter in der EU und/oder im Vereinigten Königreich zu benennen.

Referenzen: Änderung der UK-DSGVO, Datenschutzgesetz 2018, Datenschutz-Ausgangsverordnung, ICO: Wird die DSGVO weiterhin gelten?, ICO FAQs

3. Darstellung

Müssen nicht-UK-Unternehmen einen UK-Vertreter ernennen?

Die britische Regierung erklärte, dass ab dem 1. Januar 2021 Unternehmen, die sich außerhalb des Vereinigten Königreichs befinden, ob in der EU oder in einem Drittland, gemäß Art. 27 UK-GDPR einen britischen Vertreter benennen müssen, wenn sie:

  • Waren oder Dienstleistungen für Einzelpersonen im Vereinigten Königreich anbieten; oder
  • Überwachen Sie das Verhalten von Einzelpersonen im Vereinigten Königreich. Wir haben unsere SaaS-Lösung für die Vertretung im Vereinigten Königreich angepasst und können Ihnen unsere LegalTech-Dienstleistungen aus unserem Büro im Vereinigten Königreich anbieten.

Ressourcen: Änderung der UK-DSGVO, ICO: Anforderung an einen EU-Vertreter, ICO FAQs

Ernenne UK Representativ

Müssen britische Unternehmen einen EU-Vertreter ernennen?

Grundsätzlich benötigen Unternehmen, die keinen Sitz in der EU haben, gemäß Art. 27 DSGVO einen Vertreter, wenn sie:

  • Waren oder Dienstleistungen für Einzelpersonen im EWR anbieten
  • Überwachen Sie das Verhalten von Einzelpersonen im EWR. Da das Vereinigte Königreich nach Ablauf der Übergangsfrist kein Mitgliedstaat mehr ist, zählt eine Niederlassung im Vereinigten Königreich nicht mehr als EU-Niederlassung. Aus EU-Sicht gilt das Vereinigte Königreich dann als Drittland. Daher verpflichtet diese allgemeine Regel UK-Unternehmen, die die oben genannten Kriterien erfüllen, einen EU-Vertreter zu ernennen. Als Anwaltskanzlei bieten wir Ihnen eine SaaS-Lösung für die Vertretung in allen EU-Mitgliedstaaten an.

Ressourcen: ICO: Anforderung an einen EU-Vertreter, ICO FAQs

Appoint EU Representative

4. Datenfluss

Datenfluss von der EU nach Großbritannien

Das TCA erlaubt den freien Datenfluss aus der EU (und dem EWR) in das Vereinigte Königreich für einen Zeitraum von maximal sechs Monaten, der als „Überbrückungszeitraum“ bezeichnet wird. Nach diesem Zeitraum wird die Europäische Kommission hoffentlich über die Annahme eines Angemessenheitsbeschlusses entschieden haben. Liegt bis dahin keine Entscheidung der Europäischen Kommission vor, läuft die Überbrückungsfrist ungeachtet dessen aus und das Vereinigte Königreich muss alternative Mechanismen bereitstellen, um die rechtmäßige Verarbeitung personenbezogener Daten aus der EU zu gewährleisten.

In einer Erklärung vom 28. Dezember 2020 empfiehlt das ICO britischen Unternehmen, die mit EU- oder EWR-Organisationen zusammenarbeiten, die personenbezogene Daten in das Vereinigte Königreich übermitteln, bis Ende April 2021 alternative Übermittlungsmechanismen für den Datenfluss zwischen der EU und dem Vereinigten Königreich einzurichten. Auch die britische Regierung rät britischen Unternehmen, als sinnvolle Vorsichtsmaßnahme alternative Übermittlungsmechanismen einzurichten. Am wichtigsten sind dabei die Standardvertragsklauseln (SCC). Das ICO bietet Anleitungen und interaktive Tools zur Erstellung von SCCs. Wenn die Europäische Kommission bis zum Ende der sechsmonatigen Frist keinen Angemessenheitsbeschluss fasst, muss das Vereinigte Königreich die Übermittlungsbeschränkungen der EU-DSGVO einhalten. Im Allgemeinen ist eine Datenübermittlung möglich, wenn sie durch einen Angemessenheitsbeschluss, eine angemessene Schutzmaßnahme oder eine Ausnahme abgedeckt ist. Liegt kein Angemessenheitsbeschluss vor, kann der EWR-Absender Daten in das Vereinigte Königreich übermitteln, wenn er geeignete Schutzmaßnahmen ergreift. Liegt kein Angemessenheitsbeschluss vor und sind keine angemessenen Garantien vorhanden, kann der EWR-Absender dennoch Daten in das Vereinigte Königreich übermitteln, wenn eine der Ausnahmen der EU-DSGVO gilt. Das ICO informiert die Unternehmen im Vereinigten Königreich jedoch darüber, dass diese Ausnahmen gemäß den EDPB-Leitlinien restriktiv auszulegen sind und sich hauptsächlich auf Übermittlungen beziehen, die nur gelegentlich stattfinden und nicht wiederholend sind.

Ressourcen: ICO-Erklärung als Reaktion auf die Ankündigung der EU-Kommission zur Genehmigung der Angemessenheit des Vereinigten Königreichs, EU-Kommission: Datenschutz nach dem Ende der Brexit-Übergangsfrist für kleine Unternehmen und Organisationen

Datenfluss vom Vereinigten Königreich in die EU

Die britische Regierung gibt an, dass es derzeit keine Änderungen für den Datenfluss vom Vereinigten Königreich in die EU/EWR, Gibraltar und andere von der EU als angemessen betrachtete Länder gibt. Übertragungen vom Vereinigten Königreich in die EU sind daher erlaubt, aber britische Unternehmen sollten ihre Dokumentation und Datenschutzhinweise aktualisieren, um diese Übertragungen abzudecken. Die Regierung erklärte, dass sie dies überprüfen wird.

Ressourcen: Gov.uk: "Die Verwendung von personenbezogenen Daten in Ihrem Unternehmen oder einer anderen Organisation"

5. Altdaten

Art. 71(1) des Austrittsabkommens enthält Bestimmungen für "Alt-Daten", falls von der Europäischen Kommission keine Angemessenheitsbeschlüsse verabschiedet werden. Alt-Daten bestehen aus Daten von Personen außerhalb des Vereinigten Königreichs, die:

  • erworben vor dem Ende der Übergangsfrist und verarbeitet gemäß der EU-DSGVO; oder
  • Verarbeitet auf der Grundlage des Austrittsabkommens. Alt-Daten werden weiterhin dem EU-DSGVO unterliegen (auch als "eingefrorenes DSGVO" bezeichnet). Die ICO empfiehlt daher Unternehmen, zu identifizieren, welche Daten vor dem Ende der Übergangsfrist erhoben wurden. Da das britische Datenschutzgesetz derzeit mit dem eingefrorenen DSGVO übereinstimmt, müssen Unternehmen in der Praxis möglicherweise keine Änderungen vornehmen, um mit dem Austrittsabkommen konform zu sein. Die britische Regierung betont jedoch, dass Unternehmen personenbezogene Daten erfassen sollten, um Alt-Daten zu identifizieren und zu verfolgen. Wenn von der Europäischen Kommission eine Angemessenheitsentscheidung getroffen wird, werden diese Bestimmungen nicht mehr gelten.

Ressourcen: Gov.uk Leitfaden: Verwendung von personenbezogenen Daten in Ihrem Unternehmen oder Ihrer Organisation, EU-Kommission: DSB: Internationale Datenübermittlungen

About the Author

Andreas Maetzler

Andreas Maetzler

Privacy Professional

Dr. Andreas Mätzler is a data privacy Attorney and partner at IURO – the law firm providing legal expertise for all our products. He holds privacy certificates from various institutions and is a designated DPO for banks, financial institutions, tech, and health care companies. Prighter is based on his in-depth legal knowledge and hands-on experience in the execution of privacy projects.