Eng­li­sches Daten­schutz­recht nach dem Bre­x­it; UK-Vertreter

Seit dem Bre­x­it setzt sich das eng­li­sche Daten­schutz­recht im Wesent­li­chen wie folgt zusammen:

Ein Bei­spiel des Zusam­men­wir­kens die­ser Bestim­mun­gen geben die Regeln zum Ver­tre­ter im Ver­ei­nig­ten König­reich, dem UK Representative:

  • Art. 27 der DSGVO ver­langt unter bestimm­ten Vor­aus­set­zun­gen die Bestel­lung eines EU-Vertreters.
  • Das gilt auch nach der UK GDPR, jetzt als natio­na­les eng­li­sches Recht.
  • Die Data Pro­tec­tion, Pri­va­cy and Elec­tro­nic Com­mu­ni­ca­ti­ons (Amend­ments etc) (EU Exit) Regu­la­ti­ons 2019 ändern den Text der DSGVO aller­dings. Nach Sche­du­le 1 Para­graph 21 ist Art. 27 der UK GDPR wie folgt zu lesen:

    Arti­cle 27 Repre­sen­ta­ti­ves of con­trol­lers or pro­ces­sors not estab­lished in the United Kingdom

    1. Whe­re Arti­cle 3(2) app­lies, the con­trol­ler or the pro­ces­sor shall desi­gna­te in wri­ting a repre­sen­ta­ti­ve in the United Kingdom.
    2. The obli­ga­ti­on laid down in para­graph 1 of this Arti­cle shall not app­ly to:
    (a) pro­ces­sing which is occa­sio­nal, does not inclu­de, on a lar­ge sca­le, pro­ces­sing of spe­cial cate­go­ries of data as refer­red to in Arti­cle 9(1) or pro­ces­sing of per­so­nal data rela­ting to cri­mi­nal con­vic­tions and offen­ces refer­red to in Arti­cle 10, and is unli­kely to result in a risk to the rights and free­doms of natu­ral per­sons, taking into account the natu­re, con­text, scope and pur­po­ses of the pro­ces­sing; or
    (b) a public aut­ho­ri­ty or body.
    (Abs. 3 entfällt)
    4. The repre­sen­ta­ti­ve shall be man­da­ted by the con­trol­ler or pro­ces­sor to be addres­sed in addi­ti­on to or ins­tead of the con­trol­ler or the pro­ces­sor by, in par­ti­cu­lar, the Com­mis­sio­ner and data sub­jects, on all issu­es rela­ted to pro­ces­sing, for the pur­po­ses of ensu­ring com­pli­an­ce with this Regulation.
    5. The desi­gna­ti­on of a repre­sen­ta­ti­ve by the con­trol­ler or pro­ces­sor shall be without pre­ju­di­ce to legal actions which could be initia­ted against the con­trol­ler or the pro­ces­sor themselves.

Ver­ant­wort­li­che und Auf­trags­ver­ar­bei­ter ausser­halb des Ver­ei­nig­ten König­reichs müs­sen unter den Vor­aus­set­zun­gen von Art. 27 (UK-)GDPR daher einen UK-Ver­tre­ter bestel­len, und zwar auch dann, wenn sie bereits einen EU-Ver­tre­ter bestellt haben. Hin­wei­se dazu fin­den sich bei der ICO. Dar­an ändert die 4 – 6‑monatige Über­gangs­frist für Daten­über­mitt­lun­gen aus dem EWR nach UK nichts; die­se bezieht sich ledig­lich auf die Ange­mes­sen­heit bzw. die Zuläs­sig­keit grenz­über­schrei­ten­der Über­mitt­lun­gen, was mit der Bestel­lungs­pflicht nichts zu tun hat.