Großbritannien veröffentlicht Vorschläge für ein neues Datenschutzreformgesetz
Großbritannien veröffentlicht Vorschläge für ein neues Datenschutzreformgesetz
Die britische Regierung hat kürzlich Pläne zur Reform der britischen Datenschutzgesetze im Anschluss an ihre Konsultation “Data: Eine neue Richtung” angekündigt. Die aktuellen Gesetze des Vereinigten Königreichs (die britische Datenschutz-Grundverordnung (GDPR), die Verordnungen über den Schutz der Privatsphäre und die elektronische Kommunikation (Privacy and Electronic Communications Regulations) und das Datenschutzgesetz (Data Protection Act 2018)) werden zwar nicht aufgehoben, aber erheblich geändert werden. Der Grundgedanke hinter diesen Vorschlägen ist das Ziel, das Vereinigte Königreich zum “attraktivsten globalen Marktplatz” zu machen. Die Regierung ist der Ansicht, dass dies durch ein verbessertes Datenregime erreicht werden kann, das unter anderem Innovationen fördert und den Unternehmen wertvolle Zeit und Ressourcen spart, indem einige der strengeren Compliance-Anforderungen abgeschafft werden.
Verringerung des Befolgungsaufwands für Unternehmen (und das Ende des Cookie-Banners)
Datenschutzmanagementprogramme: Die Regierung ist zwar der Ansicht, dass der Grundsatz der Rechenschaftspflicht ein grundlegender Bestandteil des Schutzes der Rechte des Einzelnen ist, will aber dennoch die “unverhältnismäßige Belastung”, die dies für einige Organisationen mit sich bringt, verringern. “Datenschutzmanagementprogramme” werden einige der eher präskriptiven Elemente der britischen Datenschutzverordnung ersetzen. Dazu gehört die Abschaffung des Erfordernisses, einen unabhängigen Datenschutzbeauftragten zu ernennen, und stattdessen die Verpflichtung, eine leitende verantwortliche Person zu ernennen, deren Aufgabe es ist, eine organisationsweite Kultur der Einhaltung der Vorschriften zu schaffen. Während die Anforderung, Risiken zu ermitteln und zu bewältigen, bestehen bleibt, entfällt die Notwendigkeit, Datenschutzfolgenabschätzungen in ihrer derzeitigen Form durchzuführen, ebenso wie die Anforderung nach Artikel 30, Aufzeichnungen über die Verarbeitungstätigkeiten (RoPAs) zu führen. Interessanterweise waren die meisten Teilnehmer an der Konsultation nicht mit dem Vorschlag einverstanden, die Verwendung von RoPAs abzuschaffen, so dass diese wahrscheinlich noch einige Zeit lang die bevorzugte Methode für den Nachweis von Datenverarbeitungstätigkeiten bleiben werden.
Auskunftsersuchen: Die Regierung plant, die Schwelle für die Verweigerung einer Antwort auf ein Auskunftsersuchen von “offensichtlich unbegründet oder übertrieben” in “lästig oder übertrieben” zu ändern. Damit wird der Test mit der Regelung des Freedom of Information Act in Einklang gebracht. Die Regierung hat ihre Pläne zur Wiedereinführung einer nominalen Gebühr, die von betroffenen Personen, die einen Antrag stellen, zu zahlen ist, sowie ihren Vorschlag zur Einführung einer Kostenobergrenze für die Bearbeitung von Anträgen aufgegeben. Die Auswirkungen dieser Änderung dürften in der Praxis minimal sein, auch wenn sie die Umstände, unter denen ein Antrag abgelehnt werden kann, wohl einschränken wird.
Cookies: Websites werden nicht mehr verpflichtet sein, im Vereinigten Königreich ansässigen Personen Cookie-Banner anzuzeigen. Eine Änderung, die viele Internetnutzer mit offenen Armen begrüßen werden. In der näheren Zukunft wird die Regierung es zulassen, dass Cookies (und ähnliche Technologien) ohne ausdrückliche Zustimmung für eine kleine Anzahl anderer, nicht aufdringlicher Zwecke auf dem Gerät eines Nutzers platziert werden. Diese Änderungen werden nicht nur für Websites gelten, sondern auch für vernetzte Technologien wie Apps auf Smartphones, Tablets, Smart-TVs oder anderen vernetzten Geräten. Längerfristig ist beabsichtigt, zu einem Opt-out-Modell der Einwilligung überzugehen. Das bedeutet, dass Cookies gesetzt werden könnten, ohne dass zuvor eine Einwilligung eingeholt wurde, sofern der Nutzer klare Informationen darüber erhält, wie er die Verwendung von Cookies ablehnen kann, und dass er dies problemlos tun kann. Es ist jedoch unwahrscheinlich, dass dies für Websites gilt, die sich an Kinder richten. Es gibt auch Pläne, die so genannte “Soft-Opt-In”-Methode für elektronisches Marketing (d. h. E-Mails und SMS) auszuweiten, damit auch nichtkommerzielle Organisationen wie Wohltätigkeitsorganisationen davon profitieren können. Die Lockerung bestimmter Vorschriften wird durch eine Verschärfung der Strafen für schwerwiegende Verstöße kompensiert, wobei die Höchststrafe auf das Niveau der britischen GDPR angehoben wird (d. h. 17,5 Millionen Pfund oder 4 % des weltweiten Jahresumsatzes, je nachdem, was höher ist).
Die Macht der Daten für die Innovation freisetzen
Ein Schwerpunkt der Konsultation war die Bedeutung der Innovation und der verantwortungsvollen Nutzung personenbezogener Daten, um wissenschaftliche Durchbrüche voranzutreiben und Spitzentechnologien zu ermöglichen, die sozioökonomischen Nutzen bringen. Die Vorschläge in diesem Bereich zielen darauf ab, für Organisationen mehr Sicherheit darüber zu schaffen, wie und wann personenbezogene Daten für diese Zwecke verwendet werden dürfen, und sicherzustellen, dass die britischen Gesetze mit den datengesteuerten Technologien Schritt halten. Die Vorschläge beinhalten:
- Schaffung einer Definition des Begriffs “wissenschaftliche Forschung” auf der Grundlage von Erwägungsgrund 159 der britischen Datenschutz-Grundverordnung;
- Klärung der Verwendung einer weit gefassten Einwilligung (die es der wissenschaftlichen Forschung erlaubt, eine weniger spezifische Form der Einwilligung zu verwenden, wenn es nicht möglich ist, den Zweck der Verarbeitung zum Zeitpunkt der Datenerhebung vollständig zu bestimmen);
- Klärung der Möglichkeit der Weiterverarbeitung personenbezogener Daten in Situationen, in denen ein Wechsel des für die Verarbeitung Verantwortlichen stattgefunden hat, und Klarstellung, dass eine Weiterverarbeitung nicht stattfinden kann, wenn die ursprüngliche Rechtsgrundlage die Einwilligung ist, außer unter sehr begrenzten Umständen;
- eine begrenzte Anzahl sorgfältig definierter Verarbeitungstätigkeiten zu schaffen, bei denen die Abwägungsprüfung nicht angewendet werden muss, damit sich der für die Verarbeitung Verantwortliche auf ein berechtigtes Interesse als Rechtsgrundlage für die Verarbeitung berufen kann;
- KI und maschinelles Lernen: Es werden mehrere Maßnahmen in Bezug auf KI vorgeschlagen, einschließlich solcher, die sich auf die Abschwächung von Verzerrungen beziehen; und
- Klarheit darüber, wann Daten als “anonymisiert” angesehen werden können.
Internationale Datenübermittlung
Zum Thema internationaler Datentransfer sagte die Regierung, sie werde auch Reformen vorantreiben , “die es dem Vereinigten Königreich besser ermöglichen, Angemessenheitsbeurteilungen mit einem Fokus auf risikobasierte Entscheidungen und Ergebnisse anzugehen und die Verpflichtungen des Vereinigten Königreichs in Bezug auf Datenströme weiterhin zu unterstützen”. Dazu gehören ein risikobasierter Ansatz für Angemessenheitsentscheidungen und die Befugnis des Ministers, neue britische Mechanismen für die Übermittlung von Daten ins Ausland zu schaffen oder andere internationale Datentransfermechanismen im britischen Recht anzuerkennen, wenn sie die nach britischem Recht erforderlichen Ergebnisse erzielen.
Bereitstellung besserer öffentlicher Dienstleistungen
Die Reformen in diesem Bereich sollen auf den Erkenntnissen aus der COVID-19-Pandemie aufbauen. Die Regierung hat aktuelle Herausforderungen für ein gemeinsames und interoperables Datenökosystem identifiziert, die mit ihren Vorschlägen angegangen werden sollen. Dazu gehören Themen wie die Erbringung öffentlicher Dienstleistungen durch nicht-öffentliche Stellen, die Verarbeitung von Gesundheitsdaten in Notfällen und Maßnahmen im Zusammenhang mit der öffentlichen und nationalen Sicherheit.
Umstrukturierung des Information Commissioner’s Office
Eine Reform des ICO ist ebenfalls geplant, obwohl die Vorschläge wahrscheinlich keine direkten Auswirkungen auf Einzelpersonen oder Organisationen haben werden. Die Änderungen an der Struktur des ICO zielen auf einen separaten unabhängigen Vorstand ab, der die Exekutive anleitet und kontrolliert, während die letztendliche Macht bei einem einzelnen Informationsbeauftragten liegt. Es wurde auch vorgeschlagen, dass die vom ICO erstellten gesetzlichen Leitlinien von der Regierung vorab genehmigt werden müssen, was Fragen zur Unabhängigkeit des Amtes aufwirft.
Unsere Gedanken…
Wir sind gespannt darauf, wie sich die Vorschläge für das Programm zum Schutz der Privatsphäre entwickeln und ob am Ende dieselben Unterlagen und Maßnahmen verwendet werden, z. B. die RoPAs, nur unter einem anderen Namen. Die Frage, auf die jeder eine Antwort wissen möchte, ist, ob die Europäische Kommission die Änderungen als eine so bedeutende Abweichung von der EU-Gesetzgebung ansehen wird, dass sie eine Überprüfung ihrer Angemessenheitsentscheidung in Bezug auf das Vereinigte Königreich fordert. Die Regierung scheint zuversichtlich zu sein, dass es keine derartigen Auswirkungen geben wird, aber es wird sich zeigen, ob diese Zuversicht unangebracht ist.
Es bleibt auch abzuwarten, wie die Änderungen von Unternehmen gehandhabt werden, die sowohl der EU- als auch der UK-DSGVO unterworfen sind. Wenn ein Unternehmen beispielsweise nach der EU-DSGVO weiterhin einen Datenschutzbeauftragten benötigt, wie wahrscheinlich ist es dann, dass es für die Einhaltung der Vorschriften im Vereinigten Königreich auf einen solchen verzichten wird, selbst wenn dies von einer hochrangigen verantwortlichen Person innerhalb des Unternehmens überprüft werden muss? Die Auswirkungen der beabsichtigten Verringerung des Befolgungsaufwands könnten begrenzt sein, wenn die Unternehmen noch der EU-DSGVO unterliegen.
Ein letzter Punkt: Die Notwendigkeit für Unternehmen, die nicht im Vereinigten Königreich ansässig sind, aber unter Artikel 3 der britischen Datenschutz-Grundverordnung fallen, einen britischen Vertreter zu benennen, hat sich nicht geändert. Umgekehrt müssen britische Unternehmen, die nicht in der EU niedergelassen sind, weiterhin einen EU-Vertreter benennen. Weitere Informationen über die Rolle eines Vertreters nach der EU- und der UK-DSGVO nach dem Brexit finden Sie hier.