Data Reform Bill 2022 – Die Reform des Datenschutzrechts im UK

In der Queen's Speech vom 10.5.2022 wurden seitens der Britischen Regierung Pläne zur Reform des Datenschutzrechtes (Data Reform Bill) bekanntgegeben Hierzu veröffentlichte das Departement for Digital, Culture, Media and Sports ergänzend am 17. Juni 2022 eine Pressemitteilung mit konkreten Umsetzungsvorschlägen. Die für Unternehmen und Praxis relevantesten sollen hier kurz aufgeführt werden:  

Keine Cookie-Banner

Durch die Data Reform Bill sollen die durch die Privacy and Electronic Communication Regulations (PECR) eingeführten Cookie-Banner durch eine Browser-basierte Opt-out-Möglichkeit ersetzt werden. Konkret soll der Nutzer in seinem Browser die Einwilligung zur Setzung von Cookies automatisch erteilen, ohne dass dieser individuell darauf hingewiesen wird.  

Kein Datenschutzbeauftragter

Die Notwendigkeit der Bestellung eines Datenschutzbeauftragten nach Art. 37 der UK GDPR soll für den Großteil der UK-Unternehmen wegfallen. Stattdessen soll ein „senior responsible individual“ innerhalb des Unternehmens auf die Einhaltung des Datenschutzes achten.  

Keine Datenschutzfolgenabschätzung

Art. 35 der UK GDPR sieht die Durchführung eines „data protection impact assessments (DPIA)“ (Datenschutzfolgeabschätzung) vor, wenn im Falle eines Datenschutzvorfalls die Gefahr der Verletzung der Rechte und Freiheiten des Betroffenen hoch ist. Dieses Erfordernis soll nach dem Willen der Regierung entfallen. Stattdessen sollen generellere Analysen innerhalb der Corporate Compliance-Strukturen erfolgen. 

Keine Verfahrensverzeichnisse

Art. 30 der UK GDPR gibt den Verantwortlichen vor eine spezifische Dokumentation der Verarbeitungsverfahren zu führen. Diese Verarbeitungsverzeichnisse sollen nunmehr durch eine allgemein gehaltene Übersicht über die Art und Weise der Verarbeitung personenbezogener Daten ersetzt werden.      

Fazit:

Auch wenn die vorgeschlagenen Änderungen auf dem ersten Blick recht umfangreich wirken, werden die tatsächliche Auswirkungen auf die britische Wirtschaft wohl eher gering ausfallen. Solche Firmen, die sich an ihre Kundschaft innerhalb der EU wenden, müssen nach dem Marktortprinzip die Regelungen der DS-GVO nach wie vor einhalten. Das UK riskiert bei einer zu starken Aufweichung des Datenschutzes eine ähnliche Situation, wie sie nach der „Schrems II“-Entscheidung des EuGH (Rs. C-311/18) derzeit mit den USA herrscht. Der Angemessenheitsbeschluss UK läuft vier Jahre nach seinem Inkrafttreten aus und sieht eine Erneuerung nur dann vor, wenn das UK auch weiterhin ein angemessenes Datenschutzniveau bietet.  

Inwieweit die britische Regierung das bisherige Datenschutzniveau („goldstandard“) seiner Bürger aufrechterhalten und gleichzeitig deren Daten vermehrt für Administrativ- und Forschungszwecke einzusetzen vermag, bleibt abzuwarten.