UK-Vertreter Datenschutz

Bisher benötigten ausschließlich Unternehmen mit Sitz außerhalb der EU nach Artikel 27 DSGVO einen so genannten EU-Vertreter als Ansprechpartner für Datenschutzthemen.

Mit dem Austritt Großbritanniens aus der EU ist seit dem 01.01.2021 nun auch das Vereinigte Königreich aus Sicht der DSGVO ein „Drittland“ und Unternehmen, die ihren Sitz im Vereinigten Königreich haben und Daten von EU-Bürgern verarbeiten, müssen jetzt ebenfalls einen EU-Vertreter bestellen.

Die Auswirkungen des Brexit gehen aber noch weit darüber hinaus:

Großbritannien behält die DSGVO im Wesentlichen als nationales Recht bei. Das britische Datenschutzgesetz (article 27 UK representative) fordert dabei in gleicher Weise einen Vertreter im Vereinigten Königreich wie der europäische Artikel 27 DSGVO – mit dem Unterschied, dass der UK data representative eben im Vereinigten Königreich ansässig sein muss. Die britische Datenschutzaufsichtsbehörde ICO hat das auch noch einmal ausdrücklich klargestellt.

Das bedeutet, dass alle Unternehmen mit Sitz außerhalb des Vereinigten Königreichs einen so genannten UK Representative (uk data protection representative) mit Sitz im Vereinigten Königreich bestellen müssen, wenn sie weiterhin Dienstleistungen im Vereinigten Königreich anbieten und dabei personenbezogene Daten von britischen Staatsbürgern verarbeiten.

Zusätzlich zum „UK Representative“ muss der britischen Datenschutzaufsichtsbehörde ICO auch ein Datenschutzbeauftragter benannt werden. Dieser muss aber keinen Sitz im Vereinigten Königreich haben, sondern kann auch in der EU ansässig sein – sofern er die nötige Expertise im britischen Datenschutzrecht aufweist.

Grafisch lässt sich das wie folgt darstellen: