Seit dem Brexit setzt sich das englische Datenschutzrecht im Wesentlichen wie folgt zusammen:
- Die DSGVO gilt materiell weiterhin, aber nicht mehr als europäische Verordnung, sondern nun als “UK GDPR”, d.h. “Regulation (EU) 2016/679 […] as it forms part of the law of England and Wales, Scotland and Northern Ireland”, also als nationales englisches Recht. Das ergibt sich aus Section 3 des European Union (Withdrawal) Act 2018.
- Weiterhin gilt das englische Umsetzungsrecht, d.h. der Data Protection Act 2018.
- Zudem sind mit dem Wirksamwerden des Brexit die Data Protection, Privacy and Electronic Communications (Amendments etc) (EU Exit) Regulations 2019 in Kraft getreten. Sie enthalten vor allem Änderungen der UK GDPR und des Data Protection Act 2018.
Ein Beispiel des Zusammenwirkens dieser Bestimmungen geben die Regeln zum Vertreter im Vereinigten Königreich, dem UK Representative:
- Art. 27 der DSGVO verlangt unter bestimmten Voraussetzungen die Bestellung eines EU-Vertreters.
- Das gilt auch nach der UK GDPR, jetzt als nationales englisches Recht.
- Die Data Protection, Privacy and Electronic Communications (Amendments etc) (EU Exit) Regulations 2019 ändern den Text der DSGVO allerdings. Nach Schedule 1 Paragraph 21 ist Art. 27 der UK GDPR wie folgt zu lesen:
Article 27 Representatives of controllers or processors not established in the United Kingdom
1. Where Article 3(2) applies, the controller or the processor shall designate in writing a representative in the United Kingdom.
2. The obligation laid down in paragraph 1 of this Article shall not apply to:
(a) processing which is occasional, does not include, on a large scale, processing of special categories of data as referred to in Article 9(1) or processing of personal data relating to criminal convictions and offences referred to in Article 10, and is unlikely to result in a risk to the rights and freedoms of natural persons, taking into account the nature, context, scope and purposes of the processing; or
(b) a public authority or body.
(Abs. 3 entfällt)
4. The representative shall be mandated by the controller or processor to be addressed in addition to or instead of the controller or the processor by, in particular, the Commissioner and data subjects, on all issues related to processing, for the purposes of ensuring compliance with this Regulation.
5. The designation of a representative by the controller or processor shall be without prejudice to legal actions which could be initiated against the controller or the processor themselves.
Verantwortliche und Auftragsverarbeiter ausserhalb des Vereinigten Königreichs müssen unter den Voraussetzungen von Art. 27 (UK-)GDPR daher einen UK-Vertreter bestellen, und zwar auch dann, wenn sie bereits einen EU-Vertreter bestellt haben. Hinweise dazu finden sich bei der ICO. Daran ändert die 4 – 6‑monatige Übergangsfrist für Datenübermittlungen aus dem EWR nach UK nichts; diese bezieht sich lediglich auf die Angemessenheit bzw. die Zulässigkeit grenzüberschreitender Übermittlungen, was mit der Bestellungspflicht nichts zu tun hat.