MONOLITH LAW OFFICE+81-3-6262-3248Wochentags 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

General Corporate

Was ist die UK GDPR? Erklärung der Beziehung zur GDPR und wichtige Punkte, die man beachten sollte

General Corporate

Was ist die UK GDPR? Erklärung der Beziehung zur GDPR und wichtige Punkte, die man beachten sollte

Infolge des Austritts Großbritanniens aus der EU wurde am 1. Januar 2021 (2021年1月1日) die UK GDPR (Japanisches ~ Britische Allgemeine Datenschutzverordnung) in Kraft gesetzt.

Die GDPR ist eine Regelung der EU für die Verarbeitung und Übertragung personenbezogener Daten, und japanische Unternehmen, die Dienstleistungen für Kunden innerhalb der EU anbieten, müssen die Anforderungen der GDPR erfüllen. Die UK GDPR ist die britische Version dieser Verordnung.

In diesem Artikel erläutern wir die Beziehung zwischen der GDPR und der EU GDPR sowie Details zur EU GDPR. Erfahren Sie die wichtigen Punkte und die zu beachtenden Gesetze, wenn Sie Ihr Geschäft in Europa, einschließlich Großbritannien, ausbauen möchten.

Die mit dem Brexit eingeführte UK GDPR

Britische Flagge

Das Vereinigte Königreich hat die Europäische Union (EU) am 31. Januar 2020 verlassen und in Folge dessen wurde die UK GDPR auf Basis der EU GDPR eingeführt.

Unter der EU GDPR wird das Vereinigte Königreich als ein “Drittland” betrachtet, und britische Unternehmen, die Dienstleistungen für EU-Verbraucher anbieten, müssen sowohl die britische als auch die EU GDPR einhalten.

GDPR (EU-Datenschutz-Grundverordnung)Ein Gesetz, das 2018 in Kraft getreten ist.
Wer innerhalb der EU Waren oder Dienstleistungen anbietet oder das Verhalten von Personen überwacht, muss Datenschutzmaßnahmen ergreifen.
UK-GDPR (Britische Datenschutz-Grundverordnung)Ein Gesetz, das im Zuge des EU-Austritts im Jahr 2020 in Kraft getreten ist. Unternehmen und Organisationen, die im Vereinigten Königreich gegründet wurden oder Dienstleistungen für Nutzer im Vereinigten Königreich anbieten, müssen Datenschutzmaßnahmen ergreifen.

Verwandter Artikel: Was ist die GDPR? Vergleich mit dem Datenschutzgesetz und was japanische Unternehmen beachten sollten[ja]

Verwandter Artikel: Erklärung der Schlüsselpunkte bei der Erstellung einer GDPR-konformen Datenschutzrichtlinie[ja]

Was ist die UK GDPR?

Die UK GDPR (Japanische ~General Data Protection Regulation des Vereinigten Königreichs) ist eine Verordnung, die die Anforderungen für die Verarbeitung und Übertragung personenbezogener Daten ins Ausland festlegt und die Normen und Pflichten definiert, die von denjenigen, die diese Verarbeitung oder Übertragung durchführen, eingehalten werden müssen.

Das im Jahr 2018 erlassene Data Protection Act 2 (Japanisches ~Datenschutzgesetz 2018) aktualisierte und ersetzte den Rahmen des im Jahr 1998 im Vereinigten Königreich eingeführten Datenschutzgesetzes. Angesichts des Austritts Großbritanniens aus der EU wurde dieses Gesetz auf der Grundlage des EU-Austrittsgesetzes von 2018 überarbeitet und trat am 1. Januar 2021 (2021) als UK GDPR in Kraft.

Die UK GDPR findet Anwendung auf die “Verarbeitung personenbezogener Daten”, die im Rahmen der Tätigkeiten von Verantwortlichen oder Verarbeitern innerhalb des Vereinigten Königreichs stattfindet. Darüber hinaus gilt die UK GDPR auch für die Verarbeitung personenbezogener Daten durch Verantwortliche oder Verarbeiter, die in bestimmten Fällen keine Niederlassung im Vereinigten Königreich haben.

Wichtige Punkte zum UK GDPR

Wichtige Punkte

In diesem Abschnitt erläutern wir zwei wichtige Punkte, die man im Zusammenhang mit dem UK GDPR beachten sollte:

  • Übertragung personenbezogener Daten
  • Ernennung von Vertretern und Bevollmächtigten

Übertragung personenbezogener Daten

Bezüglich der Datenübertragung zwischen Japan und dem Vereinigten Königreich hält Japan auch nach dem Brexit an der Bestimmung fest, die es gemäß Artikel 24 des japanischen Gesetzes zum Schutz personenbezogener Informationen (vor der Änderung durch Artikel 50 des Gesetzes zur Förderung der Bildung einer digitalen Gesellschaft, in Kraft getreten am 1. April 2021 (Reiwa 4 (2022))) gegenüber der EU getroffen hat.

Des Weiteren ist während der Übergangsphase die Übertragung personenbezogener Daten zwischen dem Vereinigten Königreich und der EU weiterhin reibungslos möglich.

Daher ist auch nach dem Austritt des Vereinigten Königreichs aus der EU die reibungslose Übertragung personenbezogener Daten zwischen Japan und dem Vereinigten Königreich gesichert.

Ernennung von Vertretern und Bevollmächtigten

Britische Unternehmen, die keine Niederlassungen oder Büros innerhalb der EU haben, müssen einen EU-Bevollmächtigten ernennen und ihre Datenschutzmitteilungen entsprechend aktualisieren.

BevollmächtigterUnternehmen, die keine Niederlassung in der EU haben und personenbezogene Daten innerhalb der EU verarbeiten, sind verpflichtet, einen Bevollmächtigten in der EU zu ernennen. Der Bevollmächtigte hat die Aufgabe, als Vertreter des Unternehmens mit den Behörden in der EU in Bezug auf die Verarbeitung personenbezogener Daten zu koordinieren.
VertreterVertreter müssen von Unternehmen, die eine Niederlassung in der EU haben und personenbezogene Daten innerhalb der EU verarbeiten, ernannt werden. Der Vertreter trägt die Verantwortung für die Verarbeitung personenbezogener Daten des Unternehmens innerhalb der EU.

Der Bevollmächtigte wird dabei die Funktionen einer Niederlassung oder eines Büros als Vertreter übernehmen.

Zudem verlangt das britische Recht, dass EU-Unternehmen, die personenbezogene Daten besitzen, einen Vertreter im Vereinigten Königreich benennen.

Daher müssen Unternehmen mit Sitz in der EU überprüfen, ob die von ihnen verarbeiteten Informationen unter die Regelungen des UK GDPR fallen, und gegebenenfalls ihre Aufzeichnungen überprüfen und abgrenzen.

Welche japanischen Unternehmen unterliegen der UK GDPR?

Unternehmen

Für japanische Unternehmen gibt es zwei Fälle, in denen die UK GDPR Anwendung findet:

  1. Wenn sie eine Niederlassung im Vereinigten Königreich haben und dort tätig sind.
  2. Wenn sie keine Niederlassung im Vereinigten Königreich haben, aber Geschäfte auf den britischen Markt ausrichten.

Im zweiten Fall wird die UK GDPR in folgenden Situationen angewendet:

  • Wenn ein japanisches Unternehmen einen E-Commerce-Shop betreibt, der sich an den globalen Markt, einschließlich Europa, richtet.
  • Wenn Marketingkampagnen für den europäischen Markt durchgeführt werden.
  • Wenn ein japanisches Unternehmen Einnahmen aus dem europäischen Markt erzielt.

Konkret sind dies Fälle, in denen:

  • Ein japanisches Unternehmen eine Spiele-App an Spieler im Vereinigten Königreich verteilt und dabei Namen oder Zahlungsinformationen der Spieler sammelt.
  • Ein E-Commerce-Shop, der Zahlungen in Pfund ermöglicht, in englischer Sprache verfasst ist und Lieferungen ins Vereinigte Königreich erwähnt, Kundendaten wie Adresse, Namen und Kontoinformationen sammelt.
  • Ein japanisches Unternehmen Namen und E-Mail-Adressen verwaltet, um Newsletter an Personen im Vereinigten Königreich zu versenden.
  • Ein japanisches Unternehmen Standortdaten von Personen im Vereinigten Königreich über eine App sammelt und analysiert.
  • Ein japanisches Unternehmen Cookie-Informationen von einer Webseite sammelt, um die Vorlieben von Personen zu analysieren und zielgerichtete Werbung zu schalten.
  • Ein japanisches Unternehmen Gesundheitsinformationen von Personen im Vereinigten Königreich über tragbare Geräte (wie Smartwatches) sammelt und verwaltet.

Unten finden Sie ein Flussdiagramm zum Anwendungsbereich der UK GDPR.

Flussdiagramm

Quelle: „Praxishandbuch zur allgemeinen Datenschutzverordnung des Vereinigten Königreichs (UK GDPR)“[ja] | Japan External Trade Organization (JETRO) London Office, Overseas Research Department

Drei Risiken bei Verstößen gegen die UK GDPR

In diesem Kapitel stellen wir drei Risiken vor, die bei einem Verstoß gegen die UK GDPR entstehen können.

  • Risiko, von der ICO hohe Geldstrafen einschließlich Sanktionen auferlegt zu bekommen
  • Risiko, rechtliche Forderungen wie Schadensersatzansprüche von Datensubjekten zu erhalten
  • Risiko, das Vertrauen im Geschäftsleben zu verlieren, wenn der Datenschutz als unzureichend angesehen wird

Das ICO (Information Commissioner’s Office) ist eine unabhängige britische Behörde, die zum Schutz der Informationsrechte gegründet wurde. Bei festgestellten Verstößen gegen die UK GDPR kann es zu Geldstrafen durch das ICO kommen.

Die Geldstrafen können sehr hoch sein. Im Jahr 2019 wurde gegen die britische Fluggesellschaft British Airways eine Geldstrafe von 183 Millionen Pfund (1,5 % des weltweiten Jahresumsatzes von British Airways) verhängt.

Auch Marriott International, das Unternehmen hinter bekannten Hotelmarken wie Marriott und Ritz-Carlton, wurde mit einer Geldstrafe von 99 Millionen Pfund belegt.

Da solche Maßnahmen veröffentlicht werden, führen hohe Geldstrafen nicht nur zu finanziellen Einbußen, sondern können auch zu einem Wertverlust der Marke führen. Ein einmal gesunkener Unternehmenswert ist sehr schwer wieder zu steigern. Um den Markenwert nicht zu gefährden, ist es daher notwendig, beim Umgang mit personenbezogenen Daten äußerste Sorgfalt walten zu lassen.

Zusammenfassung: Aufmerksame Beobachtung der Änderungen der UK GDPR ist erforderlich

Die UK GDPR (Japanische ~ Britische Allgemeine Datenschutzverordnung) ist eines der relativ neuen Gesetze, die infolge des Austritts Großbritanniens aus der EU am 1. Januar 2021 (2021年1月1日) geändert wurden.

Darüber hinaus werden in Großbritannien zwei Gesetze angewendet: die für das Vereinigte Königreich bestimmte UK GDPR und die EU GDPR, die in den EU-Mitgliedstaaten gilt.

Auch gegenwärtig wird die Überprüfung der Datenschutzvorschriften aus verschiedenen Perspektiven vorangetrieben. Daher sollten japanische Unternehmen, die bereits in Großbritannien oder anderen EU-Ländern tätig sind, die Entwicklungen der UK GDPR-Änderungen aufmerksam verfolgen.

Bei Verstößen gegen die UK GDPR drohen nicht nur hohe Bußgelder, sondern auch ein möglicher Reputationsschaden für die Unternehmensmarke. Es ist wichtig, die eigene Sicherheitsinfrastruktur zu überprüfen und sich auf Regeländerungen und entsprechende Maßnahmen vorzubereiten.

Maßnahmen unserer Kanzlei

Die Monolith Rechtsanwaltskanzlei ist eine Kanzlei mit umfangreicher Erfahrung in IT, insbesondere im Bereich Internet und Recht. In den letzten Jahren hat sich das globale Geschäft zunehmend ausgeweitet, und die Notwendigkeit für rechtliche Überprüfungen durch Experten ist stetig gestiegen. Unsere Kanzlei bietet Lösungen im Bereich des internationalen Rechts an.

Bereiche, die von der Monolith Rechtsanwaltskanzlei abgedeckt werden: Internationales Recht & Auslandsgeschäfte[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Zurück Nach Oben