Mit dem Brexit kam für viele Unternehmen außerhalb des Vereinigten Königreichs die Pflicht zur Bestellung eines UK-Vertreters. Doch wer muss nun tatsächlich einen UK-Vertreter bestellen? Was sind dessen Aufgaben? Über welche Kenntnisse sollte er verfügen? Und wie findet man den passenden Anbieter?
Was ist ein UK-Vertreter?
Ein UK-Vertreter (UK representative) ist vereinfacht gesagt das Spiegelbild des EU-Vertreters, wie Art. 27 der Datenschutz-Grundverordnung (DSGVO) ihn von Unternehmen außerhalb der EU verlangt.
Die DSGVO wurde im Wesentlichen im Vereinigten Königreich (United Kingdom, UK) in das nationale Recht überführt. Deshalb fallen nunmehr die Anforderungen an einen EU-Vertreter auch bei einem UK-Vertreter an. Art. 27 UK GDPR (UK General Data Protection Regulation) legt fest, dass Unternehmen einen Vertreter innerhalb des Vereinigten Königreichs bestellen müssen, wenn
- das Unternehmen keine Niederlassung in UK unterhält,
- aber Personen in UK Waren oder Dienstleistungen anbietet oder das Verhalten von Personen im Vereinigten Königreich beobachtet.
Wer ist von der Pflicht zur Bestellung eines UK-Vertreters betroffen?
Die Pflicht zur Bestellung trifft, wie oben bereits kurz dargestellt, alle Unternehmen, die keine Niederlassung im Vereinigten Königreich haben, aber kostenpflichtig oder kostenfrei Dienstleistungen oder Waren für Personen in UK anbieten oder das Verhalten solcher Personen beobachten, zum Beispiel durch Tracking auf Websites.
Neben den Verantwortlichen nach Art. 4 Nr. 7 UK GDPR sind auch Dienstleister als Auftragsverarbeiter in der Pflicht, einen UK-Vertreter zu benennen.
Ausnahmen von der Bestellpflicht
Von der Bestellungspflicht gibt es wenige Ausnahmen. So müssen Behörden oder öffentliche Stellen keinen UK-Vertreter bestellen. Daneben besteht keine Notwendigkeit eines UK-Vertreters, wenn die Verarbeitung von Daten
- nur gelegentlich erfolgt,
- keine umfangreiche Verarbeitung besonderer Datenkategorien nach Art. 9 UK GDPR oder
- keine umfangreiche Verarbeitung personenbezogener Daten über Straftaten oder strafrechtliche Verurteilungen nach Art. 10 UK GDPR vorgenommen wird.
Dabei sind stets die Art, die Umstände, der Zweck sowie das Risiko für die Rechte und Freiheiten der Betroffenen zu berücksichtigen. Insbesondere bei Online-Unternehmen dürfte eine solche Ausnahme wohl kaum zum Tragen kommen.
Achtung: Die Bestellungspflicht für einen UK-Vertreter besteht nur dann nicht, wenn alle Verarbeitungen eines Verantwortlichen unter die Ausnahmen fallen. Ist auch nur eine Verarbeitung umfangreich oder nicht nur gelegentlich, ist ein UK-Vertreter zu benennen.
Wer kann als UK-Vertreter bestellt werden?
Als Ihren UK-Vertreter können Sie eine natürliche Person, ein Unternehmen oder eine Organisation bzw. einen Verein bestellen. Wichtig ist dabei vor allem, dass der UK-Vertreter seinen Sitz im Vereinigten Königreich hat.
Neben diesen örtlichen Vorgaben werden eine ausreichende Vertrauenswürdigkeit sowie die persönliche und organisatorische Fähigkeit zur Wahrnehmung der Vertreterpflichten erwartet. Eine nachzuweisende fachliche Qualifikation wird dagegen nicht verlangt. Sie sollten sich aber darüber klar sein, dass zahlreiche datenschutzrechtliche Fragen auf Ihren UK-Vertreter zukommen und dieser daher das Datenschutzrecht im Vereinigten Königreich und auch die relevanten Anforderungen an die Informationssicherheit hinreichend kennen sollte. Um Sie ausreichend vertreten zu können, hat der UK-Vertreter auch ein umfangreiches Verständnis für Ihre Datenflüsse und -verarbeitungen mitzubringen. Ein Gespür für die Anliegen des Unternehmens sowie im Umgang mit Behörden ist zudem nicht zu unterschätzen.
Was sind die Aufgaben des UK-Vertreters?
Die vorrangige Aufgabe des UK-Vertreters ist es, Ihre Anlaufstelle für Betroffene und die britische Aufsichtsbehörde Information Commissioner‘s Office (ICO) zu sein. Dabei kann der UK-Vertreter rechtswirksam Erklärungen abgeben und solche in Vertretung empfangen. Auch kann Ihr Vertreter im Vereinigten Königreich von der Aufsichtsbehörde in die Pflicht genommen werden, alle relevanten Informationen bereitzuhalten, die zur Aufklärung von datenschutzrechtlichen Sachverhalten notwendig sind. Arbeitet der UK-Vertreter nicht ausreichend mit der ICO zusammen, besteht ein Bußgeldrisiko.
Daneben wird per Gesetz festgelegt, dass der UK-Vertreter ein Verzeichnis aller Verarbeitungstätigkeiten, die im oder mit Bezug auf Personen im Vereinigten Königreich anfallen, vorzuhalten hat. Inwiefern die Erstellung, Pflege und Ergänzung des Verzeichnisses vom UK-Vertreter selbst zu gewährleisten sind, ist gesetzlich nicht konkret geregelt. Vertraglich kann das dem UK-Vertreter jedoch übertragen werden.
Besteht eine Haftung des UK-Vertreters?
Die Bestellung eines UK-Vertreters bringt keinen Haftungsausschluss für den Verantwortlichen oder Auftragsverarbeiter mit sich (Art. 27 Abs. 5 UK GDPR). Verantwortlicher und Auftragsverarbeiter sind weiterhin nach den Grundsätzen der UK GDPR für Haftungsfälle heranzuziehen und müssen sich das Verhalten Ihres Vertreters zurechnen lassen. Der UK-Vertreter ist, zumindest im Außenverhältnis, nicht selbst haftbar. Arbeitet der UK-Vertreter also entgegen seiner gesetzlichen Pflicht nicht mit der ICO zusammen, haftet der Verantwortliche bzw. der Auftragsverarbeiter. Verstößt der UK-Vertreter gegen seine Vereinbarung mit dem Verantwortlichen oder Auftragsverarbeiter, kann er im Innenverhältnis je nach Ausgestaltung des Vertrages haftbar gemacht werden.
Dass eine Haftung des UK Vertreters nicht vorgesehen ist, zeigt auch der Schadensersatzanspruch nach Art. 82 Abs. 1 UK GDPR. Hier wird die Verpflichtung zum Schadensersatz explizit nicht dem UK-Vertreter auferlegt, sondern dem Verantwortlichen und dem Auftragsverarbeiter.
Fazit: Business im Vereinigten Königreich geht nur mit UK-Vertreter!
Während es für einige datenschutzrechtliche Regelungen – wie etwa den Drittlandtransfer – noch eine Übergangsfrist gibt, gilt die Pflicht zur Bestellung eines UK-Vertreters bereits seit dem Brexit. Wenn Sie also als Unternehmen außerhalb des Vereinigten Königreichs (weiterhin) Produkte oder Services für Personen in UK anbieten bzw. dort Verhalten beobachten, sollten Sie schnellstmöglich einen UK-Vertreter bestellen. Eine fehlende Bestellung kann ein Bußgeld nach sich ziehen und die Bußgeldhöhe ist auch in der UK GDPR analog zur DSGVO geregelt.
Bei der Wahl Ihres UK-Vertreters sollten Sie sorgsam vorgehen. Fundierte und nachweisbare Fachkenntnis sowohl im Datenschutz als auch in der Informationssicherheit sowie Erfahrung bei der Zusammenarbeit mit Aufsichtsbehörden ist äußerst ratsam!