Die neuen Datenschutzregeln im UK: Der UK-Vertreter

Wohl hat die Briten einiges an der EU gestört. Die DSGVO gehörte aber offensichtlich nicht dazu, denn zum 1. Januar 2021 wurde eine „UK-GDPR“ in Kraft gesetzt, die ihrer Vorgängerin inhaltlich sehr ähnelt.

Der UK-Vertreter

Übernommen wurde insbesondere auch das Erfordernis eines „Vertreters“, wie wir es aus Art. 27 DSGVO für nicht in der EU ansässige Firmen kennen.

Unternehmen, die keine Niederlassung in Großbritannien haben, aber Waren oder Dienstleistungen gegenüber UK-Bürgern anbieten oder deren Verhalten überwachen, haben nach Art. 27 UK-GDPR einen Vertreter zu bestellen. Dies umfasst insbesondere Anbieter aus dem Onlinebereich wie aber auch IT-Unternehmen, die derartige Daten für ihre Kunden verarbeiten. Es gilt selbst dann, wenn das IT-Unternehmen nur eine Auftragsverarbeitung vornimmt, also die Daten im Namen eines Dritten verarbeitet.

Wie sein europäisches Vorbild soll der UK-Vertreter als Ansprechpartner vor Ort fungieren und ggf. anfallende Kommunikation mit der britischen Datenschutzbehörde „British Information Commissioner's Office“ übernehmen. Er ist zudem Zustellungsempfänger für den gesamten Schriftverkehr mit Bezug zum Datenschutz in dem UK. Das soll vermeiden, dass man durch Überwindung der Landesgrenzen bei der Kommunikation zu viel Zeit verliert.

Qualifikation des Vertreters

Der Vertreter kann eine Firma oder natürliche Person sein, die in dem UK niedergelassen oder wohnhaft ist. Er ist schriftlich gegenüber der britischen Datenschutzbehörde zu benennen. Er muss Zugriff auf das Verarbeitungsverzeichnis des Unternehmens haben (Art. 30 UK-GDPR) und umfassend bevollmächtigt sein, für das Unternehmen zu handeln. Entsprechend sollte er über ausreichend Kenntnisse im Datenschutzrecht verfügen. Er muss zudem in der Datenschutzerklärung des Unternehmens mit seinen Kontaktdaten genannt werden.

Mögliche Sanktionen

Die Sanktionen bei einem Verstoß gegen die UK-GDPR sind ähnlich drakonisch wie die nach der DSGVO: Es können Bußgelder bis zu GBP 8.700.000 bzw. 2% des weltweiten Jahresumsatzes eines Unternehmens verhängt werden. Ergo sollten auch bei personenbezogenen Daten von Personen aus dem Vereinigten Königreich die gleichen Schutzmaßnahmen ergriffen und Prinzipien angewendet werden wie bei Daten von EU-Bürgern.

 



Autor: Beatrix Fakó