Philipp Rosenauer
Partner Legal, PwC Switzerland
Nachdem die britische Regierung im Dezember 2020 ihre Nationale Datenstrategie vorstellte, reagierte die EU zunächst mit Beunruhigung und Sorge. Es wurde befürchtet, der neue britische Weg könne sich zu sehr von der europäischen Datenschutzgrundverordnung entfernen.
Im Juli 2021 nahm die Europäische Kommission ihren Beschluss über die Angemessenheit des Datenschutzes an und bescheinigte, dass der britische Rechtsrahmen ausreichende Garantien im Vergleich zu den EU-Datenschutzstandards bieten würde. Dieser Entscheid kam nicht überraschend, da die Datenschutzvorschriften nach dem Brexit noch nicht geändert worden waren. Aufgrund der offensichtlichen Absicht der britischen Regierung, das Rechtssystem grundlegend zu ändern, liess die EU-Exekutive den Angemessenheitsbeschluss allerdings automatisch nach vier Jahren auslaufen, wobei die Verlängerung davon abhängen wird, ob das Vereinigte Königreich vergleichbare Datenschutzstandards beibehält.
Gesetzgeberische Entwicklung
Mit der nationalen Datenstrategie nahm das Ziel der Steigerung der Attraktivität des Vereinigten Königreichs für Technologie und Innovation Gestalt an. Es handelt sich dabei um einen Plan zur Neuausrichtung der nationalen Gesetzgebung auf Daten als Chance und Motor für das Wirtschaftswachstum.
Die Strategie wurde ergänzt durch einen globalen Datenplan für die Zeit nach dem Brexit, in dem die Absicht zum Aufbau globaler Datenpartnerschaften mit wichtigen internationalen Partnern und eine Konsultation über die neue Datenregelung dargelegt wurden.
Seitdem sind mehrere Initiativen gefolgt. Im November 2022 endete eine öffentliche Konsultation zur Änderung der britischen Datenschutzverordnung und der Verordnung über den Schutz der Privatsphäre und die elektronische Kommunikation, mit der das Land die Datenschutzrichtlinie für elektronische Kommunikation umsetzt.
Internationale Datenübermittlung
Am 21. März 2022 trat der Rahmen für die internationale Datenübermittlung nach dem Brexit in Kraft. Danach wird zukünftig das Information Commissioner's Office für den Erlass von «Angemessenheitsverordnungen» zuständig sein, die den Angemessenheitsentscheidungen der EU entsprechen. Länder, welche von der EU-Datenschutzgrundverordnung abgedeckt sind, wurden automatisch als angemessen anerkannt.
London macht deutlich, dass das Ziel verfolgt wird, weitere Partnerschaften für den grenzüberschreitenden Datenverkehr zu schließen. Auf der Liste der angestrebten Partner stehen u. a. die USA, Brasilien, Singapur, Australien, Indonesien und noch weitere Länder. Dies führte zu Unbehagen in Brüssel, da viele der Länder auf dieser Liste noch weit von einem Datenschutzrecht nach Massgabe der DSGVO entfernt sind. Es bestand die Befürchtung, dass das Vereinigte Königreich zu einem Schlupfloch für die Übermittlung personenbezogener Daten von EU-Personen in Länder werden könnte, in denen keine angemessenen Schutzmassnahmen bestehen.
Neues Datengesetz
Das kommende Datengesetz wird voraussichtlich am 10. Mai 2022 behandelt werden. Der Gesamtansatz ist ergebnisorientiert und zielt darauf ab, bestimmte Rechtsbegriffe zu klären, Spannungen zwischen den Datenschutzvorschriften und Technologien wie der künstlichen Intelligenz zu beseitigen und den Verwaltungsaufwand für Unternehmen zu verringern.
Die Klärung der Rechtsgrundlage für die Verarbeitung und Weiterverwendung personenbezogener Daten zu Forschungszwecken und die Einführung einer erschöpfenden Liste berechtigter Interessen, die keine Abwägungsprüfung erfordern, werden als besonders vorteilhaft angesehen.
Rechenschaftspflicht und Transparenz
Es wird jedoch nicht jede der angestrebten Änderungen mit Wohlwollen beobachtet. Umstritten sind die Bestimmungen über die automatisierte Entscheidungsfindung auf der Grundlage von Profilerstellung, die Einführung von Gebühren für Auskunftsersuchen von Betroffenen, die Anforderungen an bestimmte Organisationen, einen Datenschutzbeauftragten zu benennen und ein Verzeichnis der Verarbeitungstätigkeiten zu führen, sowie das Mandat des Information Commissioner's Office.
Ebenfalls stark diskutiert wird die mögliche Abschaffung von Datenschutzbeauftragten und Datenschutzbehörde. Es wird kritisiert, dass ein solcher Schritt einen potenziellen Eingriff in die Transparenz und Verantwortlichkeit darstelle und dadurch keine Möglichkeit mehr bestehen würde. Die Kritik wird von Seiten der Regierung jedoch abgelehnt, da diese die Auffassung vertritt, dass Datenschutzbeauftragter und Datenschutzbehörde nicht abgeschafft, sondern lediglich die Anforderungen gesenkt werden würden, um das System und die Prozesse flexibler zu gestalten.
Ein Hauptanliegen bleibt jedoch die Rolle des ICO (Information Commissioner's Office), da die geplante Reform allgemein als Möglichkeit gesehen wird, die Datenschutzbehörde einer strengeren Kontrolle durch die Regierung zu unterstellen. Die Notwendigkeit, die Unabhängigkeit der Behörde zu gewährleisten, wird auch in der Antwort des ICO auf die öffentliche Konsultation hervorgehoben.
Politischer Kontext
Es ist möglich, dass diese weitreichenden Vorschläge Teil einer Verhandlungsstrategie sind, die mit einem überhöhten Angebot beginnt und sich dann mit einer moderateren Politik begnügt. Ebenfalls wird die Ansicht vertreten, dass der Impuls zur Änderung der britischen Technologiepolitik an Schwung verloren habe.
Divergenz zwischen Großbritannien und der EU
Die Entscheidung der EU über die Angemessenheit der Daten wird in drei Jahren überprüft werden. Wenn London in der Zwischenzeit erhebliche Änderungen an seinen Datenschutzvorschriften vornimmt, könnte dies dazu führen, dass die Datenschutzvorschriften vor dem EuGH angefochten werden, ähnlich wie bei den «Schrems»-Urteilen.
Auch das Tempo, in welchem die Änderungen erfolgen, wird einen Beitrag zu der Reaktion von Seiten der EU leisten. Erfolgen diese zu schnell und zu «aggressiv», muss damit gerechnet werden, dass die EU entsprechend reagiert.
Der Verlust der Angemessenheit der Datenschutzstandards könnte für britische Unternehmen zu Gesamtkosten von bis zu 1,6 Milliarden Pfund führen, vor allem aufgrund der Verwaltungs- und Rechtskosten im Zusammenhang mit alternativen Übertragungsmechanismen wie Standardvertragsklauseln. Auch könnte der Verlust des Angemessenheitsstatus mit der EU das Land für Tech-Unternehmer weniger attraktiv machen. Da 75 % des grenzüberschreitenden Datenverkehrs des Vereinigten Königreichs mit EU-Ländern erfolgt, sollte dieses Risiko auf jeden Fall berücksichtigt werden.
#social#
