Der Brexit und das damit verbundene Hin und Her haben in den vergangenen Jahren viele Unternehmensressourcen gebunden. Mit Blick auf den Datenschutz ist eine Sache bereits jetzt klar, unabhängig davon, ob EU und Vereinigtes Königreich sich bis zum Jahresende auf ein Abkommen über die zukünftigen Beziehungen einigen werden oder nicht:
Datenschutzrechtlich wird die europäische Datenschutz-Grundverordnung (EU-DSGVO) in Großbritannien durch ein eigenes Rechtsregime abgelöst (UK GDPR), das im Wesentlichen der DSGVO entspricht. Zahlreiche deutsche Unternehmen ohne Niederlassung im Vereinigten Königreich müssen daher ab dem 1. Januar 2021 einen britischen Datenschutz-Vertreter bestellen.
UK-Datenschutz-Vertreter für deutsche Unternehmen
Welche deutschen Unternehmen müssen einen britischen Datenschutz-Vertreter nach Art. 27 UK GDPR bestellen?
Ein deutsches Unternehmen ohne Niederlassung im Vereinigten Königreich (UK) muss ab dem 1. Januar 2021 einen britischen Datenschutz-Vertreter bestellen, wenn es personenbezogene Daten von Personen verarbeitet, die sich in UK aufhalten, und in den Anwendungsbereich der UK GDPR fällt. Das ist der Fall, wenn die Datenverarbeitung damit im Zusammenhang steht, entweder (a) Personen in UK Waren oder Dienstleistungen anzubieten, auch wenn diese kostenfrei sind, oder (b) das Verhalten der Person zu beobachten, soweit dieses in UK erfolgt.
Typische Anwendungsfälle, die eine Anwendbarkeit der UK GDPR auslösen, beinhalten die Erbringung von finanziellen, geschäftlichen oder rechtlichen Dienstleistungen gegenüber UK-Bürgern, Online-Handel, individuelles Targeting und Online-Werbung, Cloud- und SaaS-Dienstleistungen, Reise und Transport, klinische Studien, Gesundheits- und Diagnoseleistungen, sowie digitale Dienstleistungen wie etwa Handy-Apps, Spiele und Online-Communities.
Eine Ausnahme von der resultierenden Verpflichtung, einen Datenschutz-Vertreter zu benennen, gilt allgemein für staatliche Stellen und Behörden. Private Unternehmen sind nur dann ausgenommen, wenn die Datenverarbeitung nur gelegentlich erfolgt, keine umfangreiche Verarbeitung besonders geschützter Daten wie Gesundheitsdaten beinhaltet und unter Berücksichtigung der Art, der Umstände, des Umfangs und der Zwecke der Verarbeitung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Da alle Bedingungen für eine Ausnahme vorliegen müssen, werden sich Unternehmen mit regelmäßigen Geschäftsbeziehungen ins VK hierauf kaum berufen können.
Was ist die Funktion und Rolle eines Datenschutz-Vertreters für EU-Unternehmen?
Gemäß Artikel 27 UK GDPR wird der Vertreter vom Verantwortlichen oder Auftragsbearbeiter damit beauftragt, neben oder anstelle des Unternehmens als lokale Anlaufstelle für Datenschutz-Anliegen durch betroffene Personen (z.B. Auskunftsersuchen oder Löschungsanfragen) oder das British Information Commissioner’s Office (ICO) – die britische Datenschutz-Aufsichtsbehörden – zu fungieren.
Zu diesem Zweck müssen die Kontaktdaten des UK-Vertreters in den Datenschutzerklärungen des Unternehmens genannt werden (Artikel 13 und 14 UK GDPR). Der Vertreter muss im Vereinigten Königreich niedergelassen sein und schriftlich bestellt werden. Er erhält eine Kopie des Verarbeitungsverzeichnisses (Artikel 30 UK GDPR), in dem die Unternehmensprozesse, die in den Anwendungsbereich des britischen Datenschutzrechts fallen, abgebildet sind. Auf Anfrage des ICO muss er das Dokument herausgeben und mit der Aufsichtsbehörde kooperieren.
Welche Risiken drohen bei Nichtbeachtung?
Unternehmen, die zur Bestellung eines Datenschutz-Vertreters in Großbritannien verpflichtet sind, dies aber nicht tun, droht ein Bußgeld von bis 8,7 Millionen britischen Pfund oder 2% des weltweiten Jahresumsatzes, je nachdem, welche der Zahlen höher ist. Zudem riskieren Unternehmen erhebliche Reputationsschäden für Ihre Marken, sofern entsprechende Bußgeldverfahren öffentlich werden.
Was kostet der UK-Datenschutzvertreter-Service von EU-REP.Global?
In Kooperation mit unseren britischen Partnern bietet EU-REP.Global effektive, schlanke und transparente Lösungen für den VK-Datenschutzvertreter. Unternehmen mit bestehenden Prozessen zur Erfüllung von Betroffenenrechten unter der DSGVO, die keine umfangreiche Betreuung bei der Bearbeitung von Anfragen im Einzelfall benötigen, können uns bereits ab 99 Euro netto pro Monat zum UK-Datenschutz-Vertreter bestellen. Sollten Sie größeren Beratungsbedarf haben, wenden Sie sich bitte an unseren Kundenservice, damit wir eine individuelle Lösung für Sie entwickeln können.
