Die britische Datenschutzaufsichtsbehörde (Information Commissioner’s Office – ICO) und der deutsche Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) unterzeichneten eine Absichtserklärung, um die Zusammenarbeit bei Ermittlungen zu vertiefen und einen verstärkten Informationsaustausch zwischen den Behörden zu ermöglichen.
Wir geben einen Überblick darüber, was dies für Unternehmen im Vereinigten Königreich und in Deutschland bedeuten könnte.
Inhalt der Absichtserklärung
Am 10. Juni 2024 vereinbarten ICO und BfDI in ihrer Absichtserklärung (Memorandum of Understanding) Folgendes:
- Vertiefung der bestehenden Beziehungen zwischen den Behörden und Förderung des Austausches zur gegenseitigen Unterstützung bei der Anwendung der Datenschutzgesetze,
- Grundsätze der Zusammenarbeit zwischen den Behörden und
- einen rechtlichen Rahmen für den Austausch relevanter Informationen und Erkenntnisse zwischen den Behörden.
Insbesondere letzter Punkt dürfte direkte Auswirkungen auf Unternehmen in Deutschland und im Vereinigten Königreich haben.
Austausch von Daten zwischen ICO und BfDI
Die Absichtserklärung bedeutet nicht, dass ICO und BfDI nun personenbezogene Daten nach Belieben austauschen können, da sie sich nach wie vor an die anwendbaren Datenschutzgesetze halten müssen.
Die Absichtserklärung sieht jedoch vor, dass die Behörden Informationen über potenzielle oder laufende Ermittlungen gegen Organisationen in den jeweiligen Ländern austauschen.
Sie werden ggf. auch gemeinsame Ermittlungen zu grenzüberschreitenden Vorfällen durchführen, an denen Organisationen in beiden Ländern beteiligt sind, ohne dass personenbezogene Daten an die jeweils andere Behörde weitergegeben werden. Wenn also eine Organisation eine Datenschutzverletzung im Vereinigten Königreich oder beim BfDI meldet, die auch personenbezogene Daten aus dem jeweils anderen Land betrifft, kann die jeweilige Behörde die andere Behörde in ihre Ermittlungen einbeziehen. Nicht-personenbezogene Daten wie der Name der meldenden Organisation und die Einzelheiten des Vorfalls fallen nicht unter das Datenschutzrecht und können weitergegeben werden.
Was bedeutet das für Organisationen im Vereinigten Königreich und in Deutschland?
Organisationen, die in beiden Ländern tätig sind oder ihren Sitz im Vereinigten Königreich oder in Deutschland haben und personenbezogene Daten aus dem jeweils anderen Land verarbeiten, könnten davon betroffen sein. Dies wäre bspw. der Fall, wenn ein britisches Unternehmen eine Tochtergesellschaft mit Sitz in Deutschland hat oder ein deutsches Unternehmen Waren im Vereinigten Königreich verkauft.
Sollten die britische oder deutsche Behörde gegen diese Unternehmen ermitteln und einen Grund zur Annahme haben, dass der untersuchte Verstoß oder bzw. die gemeldete Datenschutzverletzung eine grenzüberschreitende Auswirkung hat, könnten die Ermittlungsergebnisse zwischen ICO und BfDI ausgetauscht werden. Dies soll die Ermittlungen, die Strafverfolgung und die Durchsetzung erleichtern.
Hinweise für Unternehmen
Bei der Aufarbeitung von Vorfällen oder der Einführung neuer Verarbeitungstätigkeiten sollten Unternehmen daher prüfen, ob es einen grenzüberschreitenden Datenfluss gibt und ob sie parallelen oder gemeinsamen Untersuchungen durch ICO und BfDI ausgesetzt sein könnten. Wenn Sie sich nicht sicher sind, ob eine grenzüberschreitende Datenübermittlung vorliegt, sollten Sie einen Datenschutzexperten zu Rate ziehen.
Unternehmen, die wegen Art. 3 Abs. 2 DSGVO in den Anwendungsbereich der DSGVO fallen, d.h. die ihren Sitz im Vereinigten Königreich haben, aber Waren oder Dienstleistungen in Deutschland (oder anderen EU-Ländern) anbieten, aber nicht der Verpflichtung nachkommen, einen EU-Vertreter zu benennen, könnten von der Absichtserklärung besonders betroffen sein. Wenn Sie sich nicht sicher sind, ob Sie einen EU-Vertreter benötigen, helfen wir Ihnen gerne weiter.