Großbritannien will Datenschutz jenseits der DSGVO neu regeln

Nach dem vollzogenen Brexit will die britische Regierung nun auch eine eigenständigere Datenschutzpolitik betreiben und plant umfangreiche Reformen. Zwar verspricht man, hohe Schutzstandards beizubehalten, die Pläne bergen allerdings dennoch erhebliches Konfliktpotenzial mit der EU und betreffen den Datentransfer deutscher Unternehmen.

Noch im Jahr 2018 hatte die britische Regierung die Vorgaben der DSGVO und entsprechender Datenschutzrichtlinien für Justiz und Polizei in nationales Recht umgesetzt, doch nach dem Brexit will man sich nun auch von diesen Vorgaben lösen und ein eigenständigeres neues Datenschutzrecht einführen.

Wirtschafts- und innovationsfreundlicher Datenschutz

Als wesentliche Ziele der Reform nannte der britische Digitalminister bei der Vorstellung der Reformpläne, dass

  • einerseits ein hohes Datenschutzniveau angestrebt werde,
  • dies aber in einem wachstums- und innovationsfreundlichen Umfeld erreicht werden soll,

indem etwa die Möglichkeiten von Daten zur Ankurbelung von Handel und Wachstum ausgeschöpft  sowie öffentliche Dienstleistungen auf digitaler Grundlage weiter verbessert werden können. Konkrete Angaben, wie dieser Spagat zwischen dem Schutz persönlicher Daten einerseits und den zusätzlichen Nutzungsmöglichkeiten der Daten für die Wirtschaft andererseits hinbekommen werden soll, gibt es allerdings nicht.

Kritik an DSGVO-Bürokratie

Als prominentes Beispiel für die geplanten Änderungen gegenüber dem gegenwärtigen Zustand nennt der Minister die Abschaffung der bislang durch das EU-Recht vorgegebenen notwendigen Einwilligung in Cookie-Banner, die beim Surfen im Web derzeit viele Nutzer nerven. Hier soll künftig nur noch dann eine explizite Einwilligung für solche Cookies eingeholt werden, die ein hohes Risiko für die Privatsphäre mit sich bringen, eine Unmenge von Einzelabfragen zu Cookies soll es dagegen nicht mehr geben.

Auch hier wird es sich aber erst noch zeigen müssen, ob eine solche Regelung tatsächlich in der Lage ist, personenbezogene Daten ausreichend zu schützen oder ob datensammelnde Unternehmen im Web weiterhin beispielsweise umfangreiche Nutzerprofile anlegen (Datenkapitalismus) können.

Freierer Datenaustausch über nationale Grenzen hinaus

Ebenso überarbeitet und vereinfacht werden soll der internationale Datentransfer. Dazu möchte die britische Regierung künftig stärker als bisher auf weiche Instrumente und Regelungen wie etwa Zertifizierungen, Selbstregulierungskodizes, verbindliche Unternehmensregeln oder Standardvertragsklauseln setzen.

International Data Transfers Expert Council soll zwischenstaatliche Datenschutzvorgabe ausarbeiten

Zur Ausarbeitung solcher Grundsatzregelungen möchte man ein internationales Gremium aus Wirtschaft, Wissenschaft und Zivilgesellschaft einsetzen, das International Data Transfers Expert Council. Dieses Gremium soll dabei helfen, entsprechende zwischenstaatliche Vereinbarungen auszuarbeiten und dabei darauf zu achten, dass die beteiligten Staaten ein vergleichbares Datenschutzniveau aufweisen. Ziel dieser Maßnahmen ist es, kreative, globale Partnerschaften, insbesondere mit wichtigen Märkten und schnell wachsenden Volkswirtschaften aufzubauen. Dazu dürften neben den USA etwa auch Staaten wie Südkorea, Indien, Brasilien oder Australien gehören.

Abkehr von DSGVO könnte Angemessenheitsbeschluss mit EU gefährden

Nach dem Brexit konnte der Datentransfer personenbezogener Daten von der EU nach Großbritannien im Rahmen eines sogenannten Angemessenheitsbeschlusses uneingeschränkt weitergeführt werden. 

Brexit Großbritannien EU Flagge

Mit seinem solchen Beschluss wird konstatiert, dass in dem Drittland ein vergleichbares Datenschutzniveau wie innerhalb der EU gegeben ist, sodass dem Transfer der Daten keine Hindernisse im Weg stehen. Diese Angemessenheitsbeschlüsse sind zudem immer nur befristet gültig, und müssen nach 4 Jahren überprüft werden.

Bereits schon vor den Ankündigungen zur umfassenden Reform des Datenschutzes hatte der Europäische Datenschutzausschuss (EDSA) einige Bedenken im Hinblick auf diesen Beschluss geäußert. Die Bedenken betrafen dabei vor allem die in Großbritannien wesentlich laxeren Regelungen zur Massenüberwachung durch Polizeibehörden und Geheimdienste.

EU-Kommission: vorzeitiges Ende des Angemessenheitsbeschluss möglich

Nach den Reform-Ankündigungen wies ein Sprecher der EU-Kommission explizit darauf hin, dass man den Angemessenheitsbeschluss auch vor Ablauf der Vier-Jahres-Frist aussetzen oder beenden könne und dies bei Dringlichkeit auch unverzüglich geschehen könne.

Mögliche Auswirkung auf Unternehmen

Für viele Unternehmen, die routinemäßig Daten bei Dienstleistern bzw. an Standorten in Großbritannien verarbeiten lassen, könnte sich bei einem solchen Schritt eine ähnlich unbefriedigende Situation wie beim Datentransfer in die USA ergeben, wo durch den EuGH bereits zwei transatlantische Grundsatzvereinbarungen (Safe Harbor sowie Privacy Shield) gekippt worden waren und neue Regelungen gefunden werden mussten.

Weitere Beiträge zum Thema:

EU-Kommission erlässt Angemessenheitsbeschluss zu Großbritanniens Datenschutzniveau

Datenschutzbeauftragte nimmt Transfer personenbezogener Daten in die USA in den Fokus

Brexit: Folgen in der Sozialversicherung

Hintergrund: Datentransfer in die USA

Der Transfer personenbezogener Daten von EU-Bürgern in die USA ist seit dem Privacy Shield-Urteil des EuGH aus 2020 nicht mehr so einfach wie zuvor möglich. Denn die Straßburger Richter setzten das Privacy-Shield-Abkommen zwischen der EU und den USA außer Kraft und verlangten, dass derartige Datentransfers auf eine neue Rechtsgrundlage gestellt werden müssten.

Trotz des Urteils hat sich nach Auffassung von Datenschützern die Praxis bei der Übertragung personenbezogener Daten in die USA nicht wesentlich geändert, denn nach wie vor fließen viele Daten von EU-Bürgern, etwa bei der Nutzung von Sozialen Netzwerken oder auch anderer Dienste, über den Atlantik auf Server der Anbieter in den Vereinigten Staaten. Vielen Unternehmen oder auch Behörden ist dabei nicht einmal bewusst, dass die Nutzung solcher Dienste unzulässig ist und einen Datenschutzverstoß darstellt. Datenschutzbeauftragte bemängeln zunehmend den datenschutzwidrigen Datenfluss.

Schlagworte zum Thema:  Datenschutz-Grundverordnung, Datenschutz, Brexit