Erst im Juni atmete Europa nach Erlass des Angemessenheitsbeschlusses durch die Europäische Kommission für das Vereinigte Königreich einmal kurz auf. Nun plant die britische Regierung eine eigenständigere Datenschutzpolitik, die sich von den Vorgaben der DSGVO lösen soll. Dies könnte den Status der UK als sicheres Drittland gefährden.
Der Inhalt im Überblick
Vorstellung der geplanten Reform
In der letzten Woche stellte der britische Digitalminister, Oliver Dowden, die wesentlichen Ziele der geplanten Reform der britischen Datenschutzpolitik vor. Ziel sei es, in einem wachstums- und innovationsfreundlichen Umfeld ein hohes Datenschutzniveau anzustreben. Insbesondere sollen schnell und kreativ globale Partnerschaften entwickelt werden, die es britischen Unternehmen erleichtern, Daten mit wichtigen internationalen Märkten auszutauschen.
Im Folgenden möchten wir kurz zusammenfassen, welche Änderungen die vorgestellten Reformpläne vorsehen:
Neuer Datenschutzbeauftragter
Mit der Überwachung der geplanten Umstellung soll ein neuer Datenschutzbeauftragter betraut werden. Die britische Regierung hatte in der letzten Woche den neuseeländischen Datenschutzbeauftragten John Edwards als ihren bevorzugten Kandidaten für das Amt benannt. Die Amtszeit der jetzigen Datenschutzbeauftragten, Elizabeth Denham, endet nach dreimonatiger Verlängerung am 31. Oktober 2021.
Nach den Ausführungen des britischen Digitalministers wird der neue Datenschutzbeauftragte als Leiter der britischen Aufsichtsbehörde, die für die Durchsetzung des Datenschutzrechts zuständig ist, über die traditionelle Rolle der Aufsichtsbehörde, die sich ausschließlich auf den Schutz der Datenrechte konzentriert, hinausgehen und einen ausgewogenen Ansatz verfolgen, der weitere Innovationen und wirtschaftliches Wachstum fördert.
Ende unnötiger Cookie-Banner
Die britische Regierung plant zudem die Abschaffung unnötiger Cookie-Banner. Nutzer sollen zwar grundsätzlich weiterhin aktiv einwilligen müssen, wenn ein hohes Risiko für die Privatsphäre besteht. Viele der Einwilligungen hält die Regierung allerdings für nicht sinnvoll. Insbesondere soll es Abfragen zu einer Vielzahl von einzelnen Cookies in Zukunft nicht mehr geben.
Oliver Dowden führt hierzu aus:
„Jetzt, da wir die EU verlassen haben, bin ich entschlossen, die Gelegenheit zu ergreifen und eine weltweit führende Datenpolitik zu entwickeln, die eine Brexit-Dividende für Einzelpersonen und Unternehmen in ganz Großbritannien bringt. Das bedeutet, dass wir unsere eigenen Datengesetze so reformieren müssen, dass sie auf gesundem Menschenverstand beruhen und nicht auf dem Abhaken von Kästchen.“
Diese Idee ist nicht neu. Alternativen zu Cookie-Banner-Lösungen werden mittlerweile vielfach diskutiert. Erst im Juni veröffentlichte die NGO noyb zusammen mit dem Sustainable Computing Lab („CSL“) der Wirtschaftsuniversität Wien einen Vorschlag für ein automatisches Browser Signal, das Cookie-Banner ersetzen könnte.
Ob eine entsprechende Regelung am Ende tatsächlich in der Lage ist, personenbezogene Daten ausreichend zu schützen, wird sich zeigen müssen.
Internationale Datenpartnerschaften
Weiterhin sollen die globalen Märkte für britische Unternehmen geöffnet und Partnerschaften mit Ländern geschlossen werden, die hohe Datenschutzstandards haben. Ziel soll es sein, dass Unternehmen keine kostspieligen Maßnahmen zur Einhaltung der Vorschriften ergreifen müssen, um personenbezogene Daten mit internationalen Märkten austauschen zu können. Dabei sollen die Partnerschaften auf den bestehenden Angemessenheitsvereinbarungen aufbauen, die das Vereinigte Königreich mit Ländern in aller Welt geschlossen hat. Dazu zählen neben den USA etwa auch Staaten wie Südkorea, Indien, Brasilien oder Australien.
Die USA gehören zu den wichtigsten nationalen Handelspartnern des Vereinigten Königreichs bei Datenübermittlungen. Um Handlungsbeziehungen zu unterstützen und Datentransfers zu erleichtern, sollen deshalb Hindernisse beseitigt werden.
Stärker als bisher möchte die britische Regierung künftig auch auf andere Regelungen, wie Zertifizierungen, Selbstregulierungskodizes, verbindliche Unternehmensregeln oder Standardvertragsklauseln setzen.
Ende des Angemessenheitsbeschlusses?
Die Europäische Kommission hat am 28. Juni 2021 einen Angemessenheitsbeschluss für das Vereinigte Königreich erlassen. Nach dem Brexit gilt UK nun zunächst für die nächsten vier Jahre als sicheres Drittland.
Bereits zum Zeitpunkt des Erlasses hatte der Europäische Datenschutzausschuss (EDSA) wegen der nationalen Regelungen zur Massenüberwachung durch Polizeibehörden und Geheimdienste, Bedenken hinsichtlich des angemessenen Datenschutzniveaus im Vereinigten Königreich geäußert. Ein Sprecher der EU-Kommission wies nach den Reform-Ankündigungen der britischen Regierung nun ausdrücklich darauf hin, dass man den Angemessenheitsbeschluss auch vor Ablauf der Vier-Jahres-Frist aussetzen oder beenden könne und dies bei Dringlichkeit auch unverzüglich geschehen kann.
Dies würde viele Unternehmen vor eine ähnlich unbefriedigende Lage wie beim derzeitigen Datentransfer in die USA stellen.
