Zum Hauptinhalt springen

GDPR VK-Vertreter

für Unternehmen ohne Niederlassung in Großbritannien

Brexit: Neue Pflichten für EU-Unternehmen

Zum Ende des Jahres 2020 ändert sich die rechtliche Situation für Unternehmen, die Geschäftsbeziehungen in das Vereinigte Königreich unterhalten. Denn mit Ablauf der Brexit-Übergangsfrist ist die DSGVO in Großbritannien nicht mehr direkt anwendbar und wird die britische General Data Protection Regulation (UK GDPR) ersetzt.

Zwar bleiben viele Anforderungen identisch, so dass sich Unternehmen im Allgemeinen auch weiterhin auf DSGVO-konforme Geschäftsprozesse stützen können. Jedoch müssen die rechtlichen Grundlagen für internationale Datentransfers überprüft werden.

Zudem sind viele Unternehmen ab dem 1. Januar 2021 nach der UK GDPR verpflichtet, einen so genannten Datenschutz-Vertreter im Vereinigten Königreich (VK) zu benennen.

Wer muss nach britischem Recht einen Vertreter benennen?

Die Pflicht zur Bestellung eines Vertreters trifft nach Artikel 27 UK GDPR alle Unternehmen ohne Niederlassung im VK, die dort Waren oder Dienstleistungen anbieten oder das Verhalten von Menschen im beobachten. Dies umfasst neben dem B2C-Bereich auch B2B-Unternehmen (Auftragsverarbeiter, z.B. IT-Dienstleister), wenn die Voraussetzungen bei mindestens einem der Geschäftskunden gegeben sind.

Die Schwelle ist hierbei sehr niedrig: Bereits das Anbieten einer an VK-Bürger ausgerichteten Website wird häufig das Erfordernis auslösen, einen VK-Vertreter zu benennen. Beispiele für Anwendungsfälle der Pflicht sind:

  • Schaltung von Suchmaschinenwerbung, die auf das VK ausgerichtet ist,
  • Möglichkeit, Waren oder Dienstleistungen im VK zu bestellen, oder Akzeptierung des britischen Pfund als Zahlungsmittel,
  • Tracking von VK-Bürgern, etwa mittels Cookies oder Device Fingerprints,
  • international ausgerichtete Produkte der Transport- und Reisebranche,
  • Durchführung von klinischen Studien oder Marktforschungen.

Pflichten und Rolle des Vertreters

Der Vertreter soll als lokaler Ansprechpartner für Bürgerinnen und Bürger sowie das British Information Commissioner's Office (ICO), die britische Datenschutz-Aufsichtsbehörde, agieren und das Unternehmen in Bezug auf die ihm nach der UK GDPR obliegenden Verpflichtungen vertreten.

So können Zustellungen in behördlichen Verfahren, wie etwa Auskunftsersuchen des ICO bei einem Verdacht auf Verstöße gegen die UK GDPR, mit Rechtswirkung für das Unternehmen an den Vertreter erfolgen. Der Vertreter sollte daher über Erfahrung im Datenschutzrecht verfügen, um Risiken für das Unternehmen bewerten zu können.

Der Vertreter:

  • muss im VK niedergelassen sein.
  • muss schriftlich benannt werden.
  • hält ein Verarbeitungsverzeichnis (Artikel 30 UK GDPR) des Unternehmens vor.
  • soll für das Unternehmen handeln und muss deshalb Vertretungsmacht besitzen.

Bußgelder

Sollte ein Unternehmen seiner Verpflichtung, einen VK-Vertreter zu benennen, nicht nachkommen, können Bußgelder in Höhe von bis zu GBP 8.700.000 bzw. 2 % des weltweiten Unternehmens-Jahresumsatzes verhängt werden, je nachdem, welcher Betrag höher ist. Ein Verstoß gegen eine entsprechende Verpflichtung ist leicht zu erkennen, da der Vertreter regelmäßig in Datenschutzerklärungen zu nennen ist.

Ausnahmen

Die Verpflichtung, einen VK-Vertreter zu benennen, gilt nicht für Fälle, denen der Gesetzgeber nur ein geringes Risiko für Persönlichkeitsrechte beimisst. Dies ist der Fall, wenn Verarbeitungen nur gelegentlich stattfinden, keine besonderen Kategorien personenbezogener Daten betreffen und voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten Betroffener führen. All diese Bedingungen müssen kumulativ gegeben sein; deshalb ist es selten, dass ein grundsätzlich in den Anwendungsbereich der UK GDPR fallendes Unternehmen von dieser Ausnahme profitieren wird.

DP Dock als Datenschutz-Vertreter im Vereinigten Königreich

DP Dock fungiert über eine britische Tochtergesellschaft als Datenschutz-Vertreter im Vereinigten Königreich. Profitieren Sie mit Ihren Unternehmen von:

  • unserer Erfahrung im internationalen Datenschutz und unserer rechtlichen Expertise.
  • unseren Sprachkenntnissen, die eine reibungslose Kommunikation auf Englisch und Deutsch ermöglichen.
  • unserem Netzwerk, das Ihnen im Ernstfall sofortigen Zugang zu auf das Datenschutzrecht spezialisierten Rechtsanwälten in Großbritannien ermöglicht.

Wenn Sie einen Datenschutz-Vertreter im VK benötigen oder noch unsicher sind, ob die Pflicht Ihr Unternehmen betrifft, sprechen Sie uns gerne an. Wir bieten wir unsere Dienstleistungen auch als Subunternehmer für Kanzleien und Datenschutzberater an.
 

Kontakt aufnehmen