Zum Inhalt springen Zur Navigation springen
Großbritanniens Datenschutzreform – Neuer Anlauf

Großbritanniens Datenschutzreform – Neuer Anlauf

Mit einem neuen Versuch wurde das „Gesetz über Datenschutz und digitale Informationen (Nr. 2)“ ins englische Unterhaus eingebracht, nachdem der erste Anlauf gescheitert war. Das Gesetz befindet sich momentan in der zweiten Lesung. In diesem Beitrag berichten wir über die Neuerungen und Auswirkungen der Reform.

Zweiter Anlauf – Was war passiert?

Der ursprüngliche Gesetzentwurf über Datenschutz und digitale Informationen [Bill 143 2022-23] wurde am 18. Juli 2022 eingebracht. Die zweite Lesung des Gesetzes war für den 5. September 2022 vorgesehen. Nach der Wahl von Elizabeth Truss wurde die zweite Lesung zunächst verschoben: Die Minister sollten die Möglichkeit erhalten, den Gesetzesentwurf weiter zu prüfen.

Am Ende kam es dann ganz anders: Der Gesetzentwurf wurde am 8. März 2023 zurückgezogen. Doch noch am selben Tag hat die Staatssekretärin für Wissenschaft, Innovation und Technologie, Michelle Donelan, den Gesetzentwurf über Datenschutz und digitale Informationen (Nr. 2) eingebracht. Das Gesetzgebungsverfahren ist zwar noch nicht abgeschlossen, die Chancen stehen aber hoch, dass der Entwurf durchgewunken wird, zumal es sich um eine „verbesserte“ Version des ursprünglichen Entwurfs handelt.

Was wurde verbessert? Und wo liegt der Unterschied zu unserem EU-Recht?

Mit einem kleinen Seitenhieb in Richtung EU verkündete die zuständige Ministerin Michelle Donelan:

„Unsere Unternehmen und Bürger müssen sich nicht mehr mit der europäischen Datenschutz-Grundverordnung herumschlagen. Unsere neuen Gesetze befreien britische Unternehmen von unnötiger Bürokratie, um neue Entdeckungen zu ermöglichen, Technologien der nächsten Generation voranzutreiben, Arbeitsplätze zu schaffen und unsere Wirtschaft anzukurbeln.“

Das klingt gut für die Bürger im Vereinigten Königreich. Und nach einem tragischen Schicksal der Anwender der DSGVO. Doch was ist dran, an diesem Versprechen?

Im Großen und Ganzen wird das Gesetz eine Minimierung von Pflichten nach sich ziehen. Aber auch die Rechte von Betroffenen sollen beschränkt werden. Gleichzeitig geht man jedenfalls mit den britischen Bestimmungen konform, wenn und soweit man die DSGVO einhält Es handelt sich also um ein Mindestmaß an Datenschutz, was ein Minus gegenüber der DSGVO darstellt. Die Reformvorlage sieht nicht nur materielle Änderungen vor. Es soll auch eine Umstrukturierung der britischen Datenschutzbehörde geben. Das „Information Commissioner’s Office (ICO)“ soll demnach zukünftig einen gesetzlichen Vorstand mit einem Vorsitzenden und einem Geschäftsführer haben. Das stellt wohl eine Verschlankung des Apparates dar, dessen Kopf derzeit noch aus 8 Leuten besteht.

Gleichwohl sagte ICO-Kommissar John Edwards:

„Der Gesetzentwurf wird sicherstellen, dass mein Amt weiterhin als vertrauenswürdige, faire und unabhängige Aufsichtsbehörde arbeiten kann. Wir freuen uns darauf, weiterhin konstruktiv mit der Regierung zusammenzuarbeiten, um zu überwachen, wie diese Reformen im Gesetzentwurf zum Ausdruck kommen, während er seinen Weg durch das Parlament fortsetzt.“

Das klingt positiv pessimistisch.

Das liegt aber in der Natur der Behörden: Kein Apparat möchte dabei zusehen, wie er rationalisiert wird. Die Sprache des Widersandes bleibt dennoch höflich, da man dem Rationalisierer nicht auch noch vor den Kopf stoßen möchte. Andererseits könnte durch die neue Spitze die Machtposition des Vorsitzenden bzw. des Geschäftsführers gestärkt werden. Der Frage, welche Rolle das Amt des ICO-Kommissars zukünftig einnehmen wird, sieht John Edwards bestimmt nicht nur mit reiner Gelassenheit entgegen.

Mehr Entlastung für die Verantwortlichen

Der Gesetzentwurf sieht daneben vor, dass Unternehmen nur dann Aufzeichnungen über die Verarbeitung von Daten führen müssen, wenn es sich um Daten mit hohem Risiko handelt, wie z. B. Gesundheitsdaten einer Person.

Bei „Daten mit hohem Risiko“ handelt es sich um einen unbestimmten Rechtsbegriff. Es ist also von vornherein nicht klar abgrenzbar, wann ein Datum mit hohem Risiko vorliegt. Das birgt das Risiko einer erheblichen Rechtsunsicherheit. Denn selbst bei der engeren Definition der DSGVO, wann ihr Anwendungsbereich eröffnet ist, gibt es auch hierzulande immer wieder große Unsicherheiten und Missverständnisse, Diskussionen und Meinungen.

Betroffene Person – Heul leise!

Nicht nur bei den Pflichten soll abgespeckt werden, sondern auch bei den Rechten der Betroffenen. Um seine Betroffenenrechte wahrnehmen zu können, muss ein bestimmter „Schwellenwert“ überschritten sein. Das ist sowas ähnliches wie die Schöpfungshöhe im Urheberrecht oder das Rechtsschutzbedürfnis als Voraussetzung einer Klage. Der neue Entwurf ersetzt den Schwellenwert „offensichtlich unbegründet oder übertrieben“ für die Ablehnung von Anträgen auf Wahrung der Rechte der betroffenen Person durch einen Schwellenwert „schikanös oder übertrieben“.

Bei der Entscheidung, ob und wie auf Anfragen zu den Rechten betroffener Personen zu reagieren ist, können die für die Verarbeitung Verantwortlichen also prüfen, ob die Anfrage beabsichtigt war, Schwierigkeiten zu verursachen, ob sie in böser Absicht gestellt wurde oder ob sie einen Missbrauch des Verfahrens darstellt.

Das ist gut gemeint. Wird aber in der Regel dazu führen, dass sich der Angefragte schikaniert fühlen wird.

Ist doch bei uns auch so?

Zwar werden im Rahmen der DSGVO ebenfalls schikanöse und rechtsmissbräuchliche Ansprüche abgewiesen. Die Systematik ist aber eine andere. Im Rahmen des Art. 12 Abs. 5 DSGVO kann eine Einrede erhoben werden. Das bedeutet, der Gegner eines Auskunftsanspruchs muss sich „wehren“, er muss „reden“. Der Schwellenwert wird aber, wie eben die Schöpfungshöhe oder das Rechtsschutzbedürfnis immer geprüft. Außerdem ist man seltener im Bereich von

„offenkundig unbegründeten oder – insbesondere im Fall von häufiger Wiederholung – exzessiven Anträgen einer betroffenen Person“ (Art. 12 DSGVO),

als bei „schikanös oder übertriebenen“ Anträgen. Es wird demnach voraussichtlich zu einer hohen Anzahl nicht gehörter Beschwerden kommen.

Weniger Papierkram zum Datenschutz

Die neuen Vorschläge verlangen ähnlich wie die DSGVO Aufzeichnungen über die Verarbeitung personenbezogener Daten. Allerdings treffen diese Pflichten nur Organisationen, die Verarbeitungstätigkeiten durchführen, die wahrscheinlich zu einem „hohen Risiko für die Rechte und Freiheiten der betroffenen Personen“ führen. Das hohe Risiko wird unter Berücksichtigung von Art, Umfang, Kontext und Zweck der Verarbeitung bestimmt. Der unbestimmte Rechtsbegriff „Daten mit hohem Risiko“ ist, wie oben schon beschrieben, problematisch. In früheren Vorschlägen waren Organisationen von der Aufbewahrungspflicht befreit, die weniger als 250 Personen beschäftigen und keine risikoreiche Verarbeitung vornehmen. Beide Formulierungen werden in der Praxis durch die Rechtsprechung auszufüllen sein.

Cookie-Banner – Die nerven nur

Es soll daneben weitere Ausnahmen geben, in denen eine Zustimmung für die Platzierung von Cookies oder ähnlichen Tracking-Technologien auf den Endgeräten der Nutzer erforderlich ist. Zu den vorgeschlagenen Ausnahmen gehören das Sammeln statistischer Informationen, um Verbesserungen vorzunehmen, das Erscheinungsbild oder die Funktion einer Website an die Präferenzen der Nutzer anzupassen. Notwendige Sicherheitsaktualisierungen der Software auf einem Gerät sollen ohne Zustimmung installiert werden können und der Standort einer Person soll in einem Notfall ermittelt werden können. Mit Ausnahme der Identifizierung von Nutzern in Notfällen müssen den Nutzern allerdings klare und umfassende Informationen zur Verfügung gestellt werden und sie müssen eine einfache Möglichkeit haben, sich dagegen zu entscheiden.

Es handelt sich also größtenteils um Opt-out-Verfahren. Wie ermittelt werden soll, wann und ob ein Notfall vorliegt, ist bisher unklar.

Gemeinnützige Unternehmen und Marketing

Für das Opt-out-Verfahren hat man sich auch im Hinblick auf gemeinnützige Organisationen entschieden. Nichtkommerzielle Organisationen können ohne vorherige Zustimmung elektronische Marketingmitteilungen zur Förderung karitativer, politischer oder anderer nichtkommerzieller Ziele versenden.

Opportunitätsprinzip mal anders

Gleichzeitig sollen Anbieter öffentlicher elektronischer Kommunikationsdienste und -netze, verdächtige Aktivitäten im Zusammenhang mit unrechtmäßiger Direktwerbung an das ICO melden. Der jeweilige Netz- oder Diensteanbieter soll zwar ausdrücklich nicht verpflichtet sein, den Inhalt der Kommunikation abzufangen oder zu untersuchen. Wie aber sonst verdächtige Aktivitäten im Zusammenhang mit Direktwerbung ans Licht kommen sollen, bleibt unklar.

Die Änderungen im Überblick

Die Intention der Neuerungen sind zusammengefasst:

  • Kosten und Belastungen reduzieren
    Die Kosten für die Einhaltung datenschutzrechtlicher Bestimmungen und die Menge an Dokumentationen sollen reduziert werden. Die Belastungen für Unternehmen sollen allgemein verringert werden. „Trotz“ Datenschutz´ soll es den Unternehmen ermöglicht bleiben, ihre bestehenden Mechanismen für den grenzüberschreitenden Transfer weiter zu nutzen – wenn sie die bisherigen Vorschriften bereits einhalten. Dabei soll insbesondere gemeinnützigen Organisationen mehr Vertrauen zugebilligt werden, zu erkennen, wann sie personenbezogene Daten ohne Zustimmung weitergeben können.
  • Vertrauen schaffen
    Das Vertrauen der Öffentlichkeit und der Unternehmen in KI-Technologien soll ebenfalls gestärkt werden. Außerdem soll Vertrauen in nicht-kommerzielle Unternehmen und deren verantwortungsvollen Umgang mit personenbezogenen Daten gesetzt werden.
  • Bußgelder und Strafrecht
    Die Bußgelder für belästigende Anrufe und SMS im Rahmen der Verordnung über den Schutz der Privatsphäre und der elektronischen Kommunikation (PECR) sollen erhöht werden. Es soll eine Erleichterung der Weitergabe und Nutzung personenbezogener Daten für Zwecke der Strafverfolgung und der nationalen Sicherheit stattfinden.
  • Vereinfachung und KI
    Pop-ups und Banner sollen eingeschränkt werden. Die gemeinsame Nutzung von Kundendaten durch intelligente Datenprogramme soll ermöglicht werden, um Dienstleistungen wie personalisierte Marktvergleiche und Kontoverwaltung anzubieten.

UK vs. EU: Besser oder schlechter?

Das neue Gesetz speckt den Datenschutz gehörig ab. Jedenfalls vordergründig. Denn durch die Vielzahl an unbestimmten Rechtsbegriffen und praktischen Unklarheiten muss die Rechtsprechung noch einiges an Arbeit leisten. Das Gesetz muss sich in dieser Zeit erst bewähren. Allerdings hat man dem Bürgerlichen Gesetzbuch einst auch den hohen Grad Abstraktion vorgeworfen – nun gilt es als systematisch- und rechtstechnisches Meisterwerk. Einiges am neuen Vorstoß klingt gut und hat durchaus die richtige Zielrichtung. Vielleicht wird sich der europäische Gesetzgeber diese Zielrichtung zu eigen machen.

Die Unternehmen ächzen unter der vermeintlichen Last der DSGVO, insbesondere der Vielzahl an Dokumentationspflichten. Das kostet Geld und macht wenig Lust auf Datenschutz. Diese Lustlosigkeit schadet aber dem Bewusstsein, wie wichtig der Schutz personenbezogener Daten ist. Zudem drängt der EU-Gesetzgeber die Rechtsanwender durch Vorschriften, die gar nicht eingehalten werden können, in eine Gleichgültigkeit gegenüber dem Recht. Tenor: Bestenfalls können wir von den anderen lernen. Aber: Nicht weniger – sondern kluger und praxisnaher Datenschutz ist notwendig.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
  • „Die Unternehmen ächzen unter der vermeintlichen Last der DSGVO“ … wenn das nach fast 5 Jahren DSGVO immer noch so sein sollte, dann machen diese Unternehmen etwas falsch und sollten sich Hilfe holen. Der Satz könnte von einer Lobby-Organisation aus USA stammen. Also Bitte Dr. Datenschutz!

    • Das Wort „ächzen“ ist im Sinne von „stöhnen“ oder „seufzen“ zu verstehen. Und in unserer täglichen Praxis nehmen wir das durchaus wahr. Außerdem geht es ja nur um die „vermeintliche“ Last der DSGVO. Bei unserer täglichen Arbeit versuchen wir bei der intersoft consulting services AG dazu beizutragen, dass der Datenschutz von unseren Kunden nicht als Last, sondern als eine wichtige und zweifellos zu bewältigende Aufgabe verstanden wird.

  • Danke für den interessanten Artikel! Was bedeutet den die Gesetzesänderung, wenn sie denn kommt, formal für den Angemessenheitsbeschluss der EU-KOM?

    Angemessenheitsbeschluss: UK ist sicheres Drittland

    • Die Angemessenheitsbeschlüsse enthalten erstmals eine Verfallsklausel, durch die ihre Geltungsdauer strikt begrenzt wird: Beide Beschlüsse laufen vier Jahre nach ihrem Inkrafttreten aus. Danach könnten sie erneuert werden, falls das Vereinigte Königreich weiterhin ein angemessenes Datenschutzniveau sicherstellt. Während dieser vier Jahre wird die Kommission die Rechtslage im Vereinigten Königreich weiterhin im Blick behalten und jederzeit eingreifen können, falls das Vereinigte Königreich von dem derzeit bestehenden Datenschutzniveau abweicht. Sollte die Kommission beschließen, die Angemessenheitsbeschlüsse zu erneuern, würde der Annahmeprozess erneut eingeleitet.
      https://ec.europa.eu/commission/presscorner/detail/de/ip_21_3183

      • Würden die vier Jahre Gültigkeit denn auch dann immer noch strikt eingehalten werden müssen, wenn durch Neuregelungen wie diese das Datenschutzniveau klar abgesenkt wird? Kann ja unmöglich im Sinne der Betroffenen sein …

        • Während dieser vier Jahre wird die Kommission die Rechtslage im Vereinigten Königreich weiterhin im Blick behalten und jederzeit eingreifen können, falls das Vereinigte Königreich von dem derzeit bestehenden Datenschutzniveau abweicht.

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.