Großbritannien stellt neue Datenschutzreform vor

Im Jahr 2019 befand die EU das britische Datenschutzsystem für robust genug, um die Fortsetzung der Datenübermittlung zwischen Großbritannien und der EU zuzulassen. [Shutterstock / alice-photo]

In Großbritannien wurden die Einzelheiten des geplanten Gesetzes zur Datenschutzreform (Data Reform Bill) des Landes veröffentlicht. Darin sollen Änderungen am Datenschutzrahmen vorgenommen werden, der in der britischen Post-Brexit-Version der EU-Datenschutz-Grundverordnung enthalten ist.  

Die Vorschläge wurden am Freitag (17. Juni) als Reaktion auf eine Konsultation veröffentlicht. Dazu gehören Pläne zur Umstrukturierung der britischen Datenschutzbehörde, des Information Commissioner’s Office (ICO), zur Einführung eines Opt-Out-Modells für die Zustimmung zu Cookies und zur Erleichterung neuer Datenpartnerschaften mit anderen Ländern einzugehen.

Die Data Reform Bill wurde Anfang des Jahres im Rahmen der Queen’s Speech, der alljährlichen Vorstellung der Gesetzgebungsagenda des Jahres, angekündigt und soll den Datenschutz und den Schutz der Privatsphäre ändern, der mit der Umsetzung der Datenschutz-Grundverordnung im Jahr 2018 eingeführt wurde.

Im Jahr 2019 befand die EU das britische Datenschutzsystem für robust genug, um die Fortsetzung der Datenübermittlung zwischen Großbritannien und der EU zuzulassen.

Die EU hat jedoch Maßnahmen vorgesehen, die es ermöglichen, diese Entscheidung bei Bedarf rückgängig zu machen. Dazu gehört auch eine „Auflösungsklausel“, die eine Neubewertung und Erneuerung der Entscheidung für 2024 vorsieht.

Die endgültigen Auswirkungen der Reformen, auch wenn sie erheblich von den EU-Normen abweichen, bleiben jedoch abzuwarten, wie einige Beobachter bemerkten.

„Obwohl viele dieser Reformen bedeutsam zu sein scheinen, könnten sie in der Praxis nur begrenzte Auswirkungen haben“, sagte Robert Bateman, Leiter des Content-Bereichs bei GRC World Forums, gegenüber EURACTIV.

„Viele Organisationen, die sowohl in Großbritannien als auch in der EU tätig sind, werden wahrscheinlich nicht viel ändern, da sie weiterhin die strengeren Vorschriften der EU einhalten müssen“, fügte er hinzu.

Modernisierung der britischen Datenschutzbehörde

Ein Schlüsselelement des Plans ist ein Vorschlag zur „Modernisierung“ der ICO, die den Datenschutz in Großbritannien überwacht.

Den Plänen zufolge soll der oberste Beamte der Behörde, der Informationsbeauftragte, durch einen Vorsitzenden, einen Geschäftsführer und einen Vorstand ersetzt werden. Außerdem sollen der Behörde „neue Ziele“ gesetzt werden.

Nach Angaben der britischen Regierung werden diese eine bessere parlamentarische und öffentliche Kontrolle ermöglichen und den Schwerpunkt stärker auf Wachstum, Innovation und Wettbewerb legen.

Außerdem soll die Art und Weise reformiert werden, in der die ICO gesetzliche Kodizes und Leitfäden entwickelt, nämlich durch die Einbindung eines Expertengremiums und die Notwendigkeit der Genehmigung durch einen Staatssekretär, bevor solche Arbeiten dem Parlament vorgelegt werden können.

Die Vorschläge der Regierung wurden am Freitag vom derzeitigen britischen Informationsbeauftragten, John Edwards, begrüßt.

Datenschutzverwaltung

Ein weiteres wichtiges Ziel der Reformen ist es, den Unternehmen mehr Flexibilität bei der Einhaltung der Datenschutzstandards zu ermöglichen, um den nach Ansicht der Regierung unverhältnismäßigen Verwaltungsaufwand zu verringern.

Die geplanten Reformen in diesen Bereichen, so Bateman, gehörten zu den wichtigeren Vorschlägen und könnten dazu führen, dass viele Schritte, die derzeit verpflichtend sind, freiwillig werden.

Der Vorschlag sieht beispielsweise vor, dass kleinere Unternehmen nicht mehr verpflichtet sind, einen behördlichen Datenschutzbeauftragten mit der Durchführung einer Datenschutz-Folgenabschätzung für ihr Risikomanagement zu beauftragen, wenn sie unabhängig nachweisen können, dass ihr Ansatz angemessen ist.

„Eine Organisation kann ihren behördlichen Datenschutzbeauftragten nicht allein für die Erfüllung seiner Aufgaben disziplinieren“, so Bateman. „Das bedeutet, dass ein Datenschutzbeauftragter theoretisch die Rechte der betroffenen Personen verteidigen kann, auch wenn dies den Interessen der Organisation zuwiderläuft.“

Bojana Bellamy, Präsidentin des Centre for Information Policy Leadership, begrüßte hingegen einen stärker risiko- und ergebnisorientierten Ansatz für das Datenschutzmanagement, da dieser einen besseren und angemesseneren Schutz biete.

„Es bedeutet keineswegs das Ende der Datenschutzbeauftragten und der Datenschutz-Folgenabschätzungen, da die Unternehmen weiterhin nachweisen müssen, wie sie das Programm überwachen und die Risiken managen“, sagte sie gegenüber EURACTIV.

Sie fügte hinzu, dass Schritte in diese Richtung von anderen Regierungen darauf hindeuten, dass dies „ein globaler Trend“ sei.

Internationale Datenübermittlung

Die Reformen sollen auch das Potenzial Großbritanniens zur Förderung von Verbindungen im Datenverkehr mit internationalen Partnern stärken.

Der Gesetzentwurf sieht vor, dass der Expertenrat für den internationalen Datenverkehr die Befugnis erhält, Hindernisse für den Datenverkehr zu beseitigen. Dieser Rat besteht aus einer Gruppe von Organisationen, Tech-Unternehmen und Wissenschaftlern.

Der von London geäußerte Wunsch, neue Datenpartnerschaften mit Ländern wie den USA, Australien, Singapur und Südkorea einzugehen, hat in Brüssel die Sorge ausgelöst, dass bei einer Fortsetzung des Datenverkehrs zwischen der EU und Großbritannien auch Daten von EU-Bürgern an Drittländer mit unzureichenden Datenschutzstandards weitergegeben werden könnten.

„Die britische Regierung erwägt zu Recht, die Regeln und Mechanismen für den Datenverkehr weiterzuentwickeln“, sagte Bellamy. „Das ist ein großes Problem für alle Unternehmen, ob groß oder klein, was die Einhaltung der Vorschriften und die Rechtslage angeht. Langfristig ist das nicht tragbar.“

Cookies, Marketing-Anrufe und Forschungsarbeiten

Die britische Regierung plant außerdem die Einführung von Bußgeldern für unerwünschte Marketing-Anrufe und -Nachrichten. Der Gesetzentwurf sieht eine Anhebung der Höchststrafe von 500.000 Pfund auf 17,5 Millionen Pfund oder vier Prozent des Gesamtumsatzes vor, sofern dieser Wert höher ist.

Die bereits bestehenden Vorschriften werden ebenfalls überarbeitet, um die Zahl der Pop-ups mit Cookie-Zustimmung zu verringern, indem ein Opt-out-Modell eingeführt wird, das für den gesamten Internet-Browser eines Nutzers gilt.

Forscher erhalten zudem mehr Flexibilität und Klarheit in Bezug auf die Datennutzung. Konkret könnte dies bedeuten, dass Personen gefragt werden, ob sie damit einverstanden sind, dass ihre Daten für die Forschung in einem bestimmten Studienbereich und nicht für ein bestimmtes Projekt innerhalb dieses Bereichs verwendet werden.

[Bearbeitet von Luca Bertuzzi/Nathalie Weatherald]

Subscribe to our newsletters

Subscribe