Britische Vorschriften zum Datenschutzrecht

Die Pflicht, sich als deutscher Onlinehändler bei der britischen Datenschutzbehörde in einem komplizierten Verfahren und in einer für ihn fremden Sprache zu registrieren, kann eine enorme abschreckende Wirkung haben. Es ist daher sicher eine gute Nachricht, dass die Mehrzahl der deutschen Onlinehändler, die ihre Produkte nach Großbritannien vertreiben, nicht von dieser Registrierungspflicht betroffen sind. Warum das so ist und in welchen Fällen die Registrierungspflicht greift, können Sie dem folgenden Beitrag entnehmen.

Frage: Müssen deutsche Onlinehändler, die ihren Handel über eine Niederlassung in Großbritannien abwickeln, sich bei der britischen Datenschutzbehörde ICO registrieren lassen?

Ja, diese Pflicht besteht. Der Datenschutz wird in Großbritannien über folgende Gesetze abgesichert: „Data Protection Act 1998“ und „Privacy and Electronic Communications Regulations 2003“. Für die Einhaltung dieser Gesetze ist in Großbritannien das Information Commissioner’s Office (ICO) zuständig. Wichtigstes Instrument, die Einhaltung des Datenschutzes sicherzustellen, ist die Pflichtregistrierung bei der ICO. Section 5, Paragraph 3 des Data Protection Act regelt, dass ein ausländisches Unternehmen oder eine Privatperson dann unter die Vorschriften des britischen Datenschutzgesetzes fällt, wenn es/sie in Großbritannien über ein Büro, Zweigstelle oder Niederlassung verfügt.

(3)For the purposes of subsections (1) and (2), each of the following is to be treated as established in the United Kingdom—
(a)an individual who is ordinarily resident in the United Kingdom,
(b)a body incorporated under the law of, or of any part of, the United Kingdom,
(c)a partnership or other unincorporated association formed under the law of any part of the United Kingdom, and
(d)any person who does not fall within paragraph (a), (b) or (c) but maintains in the United Kingdom—
(i)an office, branch or agency through which he carries on any activity, or
(ii)a regular practice;

Diese Registrierung beinhaltet Informationen zur Organisationsform, Adresse, geschäftliche Aktivität, Art der Datenverarbeitung, Verantwortlicher für die Datenverarbeitung im Unternehmen, etc.) . Die Registrierung kann per Email erfolgen (s. notification@ico.org.uk). Der deutsche Onlinehändler mit einer Niederlassung in Großbritannien kann sich einem Eigentest unterziehen, ob und inwieweit er registrierungspflichtig ist.

Der deutsche Onlinehändler muss allerdings einen Datenschutzbeauftragten als Ansprechpartner mit Sitz in Großbritannien ernennen.

Section 5, Paragraph 2 Data Protection Act 1998
(2)A data controller falling within subsection (1)(b) must nominate for the purposes of this Act a representative established in the United Kingdom.

Frage: Welche Sanktionen können bei Verstoß gegen britisches Datenschutzrecht verhängt werden?

Die britische Datenschutzbehörde kann bei Verletzung der datenschutzrechtlichen Bestimmungen sowie bei Nichtregistrierung Strafgelder bis zu 500.00 Pfund verhängen. In besonders schweren Fällen können Freiheitsstrafen verhängt werden. Die ICO hält eine Liste von besonders schweren Strafrechtsfällen (möglicherweise zur Abschreckung) in ihren Merkblättern vor.

Frage: Unterliegt ein deutscher Onlinehändler, der seine Geschäfte in Großbritannien direkt von Deutschland aus betreibt, britischem Datenschutzrecht und der Pflicht zur Registrierung?

Nein, deutsche Onlinehändler, die ihre Geschäfte in Großbritannien direkt von Deutschland aus betreiben, unterliegen nicht dem britischen Datenschutzrecht und müssen sich nicht bei der britischen Datenschutzbehörde registrieren lassen. Diese ergibt sich aus Section 5, Paragraph 1 Data Protection Act, demnach das britische Datenschutzgesetz nur Anwendung findet, wenn eine Niederlassung in Großbritannien besteht oder wenn in Großbritannien Ausrüstung zur Datenverarbeitung genutzt wird.

(1)Except as otherwise provided by or under section 54, this Act applies to a data controller in respect of any data only if—
(a)the data controller is established in the United Kingdom and the data are processed in the context of that establishment, or
(b)the data controller is established neither in the United Kingdom nor in any other EEA State but uses equipment in the United Kingdom for processing the data otherwise than for the purposes of transit through the United Kingdom.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook .