Großbritannien hat Ende August kommuniziert, dass die britische Regierung derzeit an einer eigenständigen Datenschutzpolitik arbeitet, die sich von den Anforderungen der DSGVO unterscheiden soll. Das Datenschutzrecht soll nach Angaben des britischen Digitalministers Oliver Dowden weniger theoretisch dafür aber wachstums-, wirtschafts- und innovationsfreundlich ausgestaltet werden.
Dabei soll der Datenschutz trotz Datenübertragungen auf internationalen Märkten (z.B. bei globalen Partnerschaften) gewahrt bleiben. Der Digitalminister sagte dazu: „Jetzt, da wir die EU verlassen haben, bin ich entschlossen, die Gelegenheit zu ergreifen und eine weltweit führende Datenpolitik zu entwickeln, die eine Brexit-Dividende für Einzelpersonen und Unternehmen in ganz Großbritannien bringt. Das bedeutet, dass wir unsere eigenen Datengesetze so reformieren müssen, dass sie auf gesundem Menschenverstand beruhen und nicht auf dem Abhaken von Kästchen.“ Als Eckpunkte der Datenschutzreform benannte der Digitalminister einen neuen Datenschutzbeauftragten, das Ende von Cookiebannern sowie die Pflege von internationalen Datenpatenschaften.
In Hinblick auf das Einsetzen eines neuen Datenschutzbeauftragten als Leiter der britischen Aufsichtsbehörde für die Durchsetzung des Datenschutzrechts ist der neuseeländische Datenschutzbeauftragte John Edwards der derzeit benannte Kandidat. Dieser möchte weg vom rein traditionellen Ansatz des Datenschutzes und diesen hingegen in einer Kombination mit Innovation und Wirtschaftswachstum vorantreiben. Hier hat die britische Regierung auch den Ausbau von „internationalen Datenpartnerschaften“ im Fokus. So möchte die UK Partnerschaften mit Ländern schließen, die über einen hohen Datenschutzstandard verfügen. Derzeit hat die UK bereits Angemessenheitsvereinbarungen mit z.B. der USA, Südkorea, Indien und Brasilien geschlossen. Insbesondere in Hinblick auf die USA sollten Datenübertragungen erleichtert werden, da es sich bei dem Land um einen der wichtigsten Handelspartner Großbritannien handelt. Hierbei setzt die UK auf Regelungen wie z.B. die Standardvertragsklauseln, Zertifizierungen oder verbindliche Unternehmensregeln. Zudem sollen weitere Aspekte wie z.B. die Nutzung von Cookiebannern verändert werden. Die UK will laut eigenen Angaben weg von unnötigen Bannern und hin zu einem sinnvollen und anwendbaren Einwilligungsmanagement, insofern es im Einzelfall relevant ist.
Ohne Angemessenheitsbeschluss wären Datenübertragung in die UK unzulässig
Klar ist jetzt schon: Die derzeitigen Planungen von Großbritannien bezüglich der Datenschutzreform gefährden den Angemessenheitsbeschluss, den die UK erst Ende Juni 2021 von der EU-Kommission erhalten hatte. Zum einen ist natürlich zu erwarten, dass der Datenschutzstandard in Großbritannien nach der Reform wahrscheinlich nicht mehr den Anforderungen der DSGVO gerecht werden wird. Zum anderen plant die UK auch „optimierte Datentransfers“ in die USA, was aus Sicht des EuGH und der EU unzulässig ist. Die EU-Kommission wies bereits im September noch einmal ausdrücklich darauf hin, dass der Angemessenheitsbeschluss für Großbritannien zwar grundsätzlich für vier Jahre gelten würde, dass dieser aber bei einer Änderung der datenschutzrelevanten Gegebenheiten in der UK auch jederzeit für ungültig erklärt werden könne. In diesem Fall wäre Großbritannien dann in einer ähnlichen Lage wie die USA nach der Ungültigkeitserklärung des Privacy Shields im Schrems II-Urteil des Europäischen Gerichtshofes. Dies hätte zur Folge, dass alle europäischen Unternehmen ihre Datentransfers an UK-Unternehmen einstellen müssten, da diese ab diesem Zeitpunkt unzulässig wären. Zwar kann in Einzelfällen durch den Abschluss der Standardvertragsklauseln und dem Ergreifen und Überprüfen(!) zusätzlicher Maßnahmen, ebenfalls ein angemessenes Datenschutzniveau sichergestellt werden. Allerdings ist dies mit einem immensen vertraglichen Aufwand verbunden, der in der Realität nur selten eine wirkliche Absicherung gewährleisten kann (vgl. Mailchimp-Fall).
Wir halten Sie auf dem Laufenden, wenn es hier Änderungen gibt.
Quellenangaben
- Artikel „Großbritannien plant eigenständiges Datenschutzrecht“, abgerufen am 28.09.2021 unter https://www.dr-datenschutz.de/grossbritannien-plant-eigenstaendiges-datenschutzrecht/