Zusammenfassung: Wenn Ihr Unternehmen ab dem 1. Januar 2021 nicht im Vereinigten Königreich (UK) niedergelassen ist, dort aber Waren oder Dienstleistungen anbietet, oder wenn es das Verhalten von Personen im Vereinigten Königreich beobachtet, muss es dort einen Vertreter bestellen.
Wenn Ihr Unternehmen ab dem 1. Januar 2021 weder in der EU noch im Vereinigten Königreich niedergelassen ist, müssen Sie möglicherweise einen Vertreter sowohl in der EU als auch in UK bestellen.
Gilt diese Anforderung auch für mein Unternehmen?
Das Vereinigte Königreich hat die EU am 31. Januar 2020 verlassen (Brexit). Bis zum 31. Dezember 2020 läuft eine Übergangsphase. Anschließend wird nach gegenwärtigem Stand die EU-Datenschutzgrundverordnung in das Recht des Vereinigten Königreichs übernommen („UK GDPR“). Nach der UK GDPR ergibt sich dann folgende Anforderung zur Bestellung eines UK-Vertreters:
Kurz gesagt: Wenn Ihr Unternehmen nicht im Vereinigten Königreich niedergelassen ist, dort aber Waren oder Dienstleistungen anbietet oder wenn es das Verhalten von Personen in Vereinigten Königreich beobachtet, muss es dort einen Vertreter bestellen.
Was bedeutet “Anbieten von Waren oder Dienstleistungen”?
Die Definition ist sehr weit gefasst: Wenn Sie zum Beispiel ein SaaS-Geschäft betreiben, das Nutzer aus dem Vereinigten Königreich nicht ausdrücklich ausschließt, bieten Sie einen “Service” für Einzelpersonen im Vereinigten Königreich an. Wenn Sie einen Webshop mit einer englischen Benutzeroberfläche betreiben und den Versand ins Vereinigte Königreich anbieten, bieten Sie ebenfalls “Waren” an. Kurz gesagt, wenn Sie in irgendeiner Weise Geschäfte mit Personen machen, die im Vereinigten Königreich wohnen (nicht nur Staatsbürger), fällt Ihr Unternehmen unter diese Kategorie.
Was bedeutet “Verhalten betroffener Personen beobachten”?
Wenn Ihr Unternehmen eine Website oder einen Webshop betreibt, wo Cookies oder soziale Plugins verwendet, um das Tracking oder die Erstellung von Profilen Ihrer Besucher zu ermöglichen, besteht eine hohe Wahrscheinlichkeit, dass dies als “Überwachung des Verhaltens” von Einzelpersonen betrachtet werden könnte.
Wann ist mein Unternehmen im Vereinigten Königreich „niedergelassen“?
Wenn Ihr Unternehmen (oder eine seiner Tochtergesellschaften) im Vereinigten Königreich registriert ist und/oder dort einen Geschäftssitz hat, gilt es dort als “niedergelassen”.
Wie finde ich einen UK-Vertreter?
Wir können Ihnen über unser Netzwerk UK-Vertreter im Vereinigten Königreich vermitteln. Sprechen Sie uns gern an (mail@planit.legal).
Welche Funktion hat der Vertreter und wie ernenne ich ihn?
Der Vertreter ist eine Person oder Einrichtung, die insbesondere für Aufsichtsbehörden und betroffene Personen bei sämtlichen Fragen im Zusammenhang mit der Verarbeitung von personenbezogenen Daten als Anlaufstelle dient. Der Vertreter muss dem Information Commissioner’s Office (ICO), der Datenschutzaufsichtsbehörde des Vereinigten Königreichs, schriftlich benannt werden. Dies wird in der Regel vom Vertreter selbst in Ihrem Namen als seine erste Amtshandlung vorgenommen. In der Praxis hat es sich bewährt, eine Anwaltskanzlei oder einen Rechtsdienstleister als Vertreter zu benennen – diese verfügen in der Regel über umfangreiche Erfahrung im Datenschutzrecht und einen direkten Draht zur Aufsichtsbehörde.
Muss ich auch einen Vertreter in der EU ernennen?
Wenn Ihr Unternehmen nicht in der EU niedergelassen ist, dort aber Waren oder Dienstleistungen anbietet und/oder das Verhalten von Einzelpersonen beobachtet, müssen Sie neben dem UK-Vertreter auch einen Vertreter in der EU ernennen (weitere Infos zum EU-Vertreter finden Sie hier). Das heißt, wenn Ihr Unternehmen in keiner der beiden Regionen niedergelassen ist, müssen Sie möglicherweise zwei getrennte Vertreter für beide Regionen ernennen.
Es genügt, wenn Sie für die gesamte EU nur einen EU Vertreter bestellen. In der EU haben Sie eine gewisse Flexibilität bei der Wahl des Mitgliedstaates, in dem der Vertreter ernannt werden soll: Im Prinzip sind Sie frei in der Wahl und der (verbleibenden) 27 Mitgliedsstaaten. Der Vertreter muss jedoch in einem Mitgliedsstaat ernannt werden, in dem sich zumindest einige der Personen befinden, deren persönliche Daten Ihr Unternehmen verarbeitet. Das bedeutet zum Beispiel, dass Sie keinen Vertreter in Malta bestellen können, wenn Sie Ihre Dienstleistungen ausschließlich deutschen Staatsbürgern anbieten.
Welche weiteren Auswirkungen hat der Brexit auf den Datenschutz in der EU und im Vereinigten Königreich?
Die britische Regierung hat die Verabschiedung einer eigenen Version der DSGVO („UK GDPR“) durch eine Änderung des „Data Protection Act“ von 2018 vorbereitet. Es ist davon auszugehen, dass die materiellen Datenschutz-Anforderungen ab dem 1. Januar 2021 ähnlich sein werden wie in der EU. Es bleibt jedoch abzuwarten, wie sehr die britische Regierung an ihrer eigenen Version der DSGVO “feilen” wird, welche Regelungen gegebenenfalls anders ausgelegt werden und wie die Unternehmen auf diese Änderungen reagieren müssen.
Datentransfers zwischen der EU und dem Vereinigten Königreich unterliegen zunächst den Anforderungen für Drittlandtransfers (Kapitel V der DSGVO). Gegebenenfalls müssen daher für solche Transfers Maßnahmen wie die EU-Standardvertragsklauseln eingesetzt werden. Es wird jedoch erwartet, dass die EU-Kommission in absehbarer Zeit eine “Angemessenheitsentscheidung” für das Vereinigte Königreich erlassen wird. Dies würde bedeuten, dass ein Unternehmen in der EU in der Lage wäre, ohne zusätzliche Maßnahmen Daten aus der EU in das Vereinigte Königreich zu “exportieren”. Ebenso wird erwartet, dass das Vereinigte Königreich Datenexporte aus dem Vereinigten Königreich in die EU ohne zusätzliche Anforderungen zulassen wird. Die weitere Entwicklung sollte hier aber beobachtet werden.
Mehr Informationen und Hintergründe
Weitere Informationen finden Sie in folgenden Quellen:
- Das Information Commissioner’s Office (ICO), die Datenschutzbehörde des Vereinigten Königreichs, hat kürzlich einen Leitfaden zu diesem Thema veröffentlicht.
- Die britische Regierung hat einen so genannten “Keeling”-Plan veröffentlicht, der die geplanten Änderungen des Datenschutzgesetzes von 2018 skizziert.
- Der Europäische Datenschutzausschuss (EDPB) hat einen zusätzlichen Leitfaden zu “Datentransfers nach dem GDPR im Falle eines ungeregelten Brexit” veröffentlicht