Das Ministerium für Wissenschaft, Innovation und Technologie des Vereinigten Königreichs (Department for Science, Innovation and Technology) hat einen Entwurf für eine Anpassung des Datenschutzrechts durch die Data Protection and Digital Information (No.2) Bill in das britische Parlament eingebracht. Dadurch würde insbesondere der derzeit geltende Data Protection Act 2018 (DPA 2018) und die U.K. General Data Protection Regulation (U.K. GDPR) geändert werden. Unser geschäftsführender Gesellschafter Rechtsanwalt Paul C. Johannes publizierte dazu in der ZD-Aktuell 2023, 01137.
Weiterlesen: Datenschutzreform in Großbritannien 2.01. Hintergrund
Die Datenschutz-Grundverordnung (2016/679) der Europäischen Union wurde am Ende der EU-Übergangszeit (Brexit) gemäß Abschnitt 3 des European Union (Withdrawal) Act 2018 (EUWA 2018) in britisches Recht übernommen und durch die Data Protection, Privacy and Electronic Communication (EU Exit) Regulations 2019 geändert, um die U.K. GDPR zu schaffen. In Vorbereitung auf die Zeit Vollendung des Brexits wurden damit die Regelungen der EU-DSGVO mit sprachlichen Anpassungen im Wesentlichen in das britische Recht übernommen und ergänzt (Hofmann/Stach ZD 2021, 3 (4)). Diese U.K. GDPR steht neben der geänderten Fassung des DPA 2018, wobei bereits mit Verabschiedung eine Überprüfen der Regelungsinhalte (nach dem Motto „take back control“) in Aussicht gestellt wurde.
Der Datenschutzrahmen des Vereinigten Königreichs umfasst daher insbesondere vier Regelwerke:
- die allgemeine Verarbeitung personenbezogener Daten – geregelt durch die UK GDPR, ergänzt durch Teil 2 des Data Protection Act 2018;
- die Verarbeitung durch „zuständige Behörden“ (gemäß der Definition in Abschnitt 30 & Schedule 7 DPA 2018) zu Strafverfolgungszwecken – geregelt durch Teil 3 DPA 2018, der EU-Richtlinie 2016/680 (die JI-Richtlinie) in britisches Recht umsetzt;
- Verarbeitung durch die britischen Nachrichtendienste – geregelt durch Teil 4 DPA 2018;
- mit der Privacy and Electronic Communications (EC Directive) Regulation 2003wurde die Richtlinie 2022/58/EG in britisches Recht umgesetzt. Diese enthalten einige besondere Regeln für bestimmte Arten der Verarbeitung, wie z. B. personenbezogene Daten, die durch Cookies und Direktmarketing erhoben werden, die die allgemeinen Regeln für die Verarbeitung in der U.K. GDPR überlagern.
Am 8. März 2023 brachte die britische Regierung einen neuen Reformvorschlag in das Gesetzgebungsverfahren ein, die Data Protection and Digital Information (No.2) Bill (265 2022-23 (as introduced)). Der Gesetzentwurf sieht verschiedene Änderungen an den vorbenannten bestehenden Quellen des britischen Datenschutzrechts vor. Der Parlamentsvorgang zum Gesetzesentwurf kann hier eingesehen werden: https://bills.parliament.uk/bills/3430.
Wie der Titel andeutet, handelt es sich um die zweite Version einer Reihe von Vorschlägen zur Reform des britischen Datenschutzrechts. Der erste Entwurf, die Data Protection and Digital Information Bill, wurde jedoch noch unter Premier Ministerin Liz Truss im Juli 2022 veröffentlicht und wird nun im Parlament nicht weiter behandelt. Der aktuelle Vorschlag hat aber viele Gemeinsamkeiten mit dem alten Vorschlag.
Erläuterungen zum Gesetzentwurf, erstellt vom Ministerium für Wissenschaft, Innovation und Technologie Technologie, dem Innenministerium, dem Ministerium für Wirtschaft und Handel, dem Kabinettsamt und dem dem Ministerium für Gesundheit und Soziales, wurden separat als Bill 265-EN veröffentlicht (siehe https://publications.parliament.uk/pa/bills/cbill/58-03/0265/en/220265en.pdf).
Es wird erwartet, dass die zweite Lesung des Gesetzes in einigen Wochen stattfinden wird. Danach wird der Gesetzesentwurf an die gesetzgebenden Ausschüsse zur Überprüfung weitergeleitet.
2. Ziele und Grenzen des Reformgesetzes
Die Vorschläge sehen gezielte Änderungen des geltenden Rechts vor. An der überkommen Struktur wird festgehalten. Die Änderungen umfassen inhaltliche Klarstellungen, zurückhaltende Erweiterungen spezifischer Ausnahmen und die Ermächtigung zur Herausgabe künftiger Leitlinien oder zur Festlegung von Regeln in DPA 2018 und U.K. GDPR.
Viele der gezielten Änderungen spiegeln das Feedback von Stakeholdern wider. Ziel des Regierungsvorschlags dürfte sein, die Kosten für die Einhaltung der Vorschriften durch die Unternehmen zu senken.
Die Grundprinzipien der aktuellen U.K. GDPR, die verfügbaren Rechte der betroffenen Personen, die wichtigsten Pflichten der für die Verarbeitung Verantwortlichen und der Auftragsverarbeiter sowie das allgemeine verfassungsrechtliche und regulatorische Umfeld für den Datenschutz bleiben von dem Vorschlag unberührt.
Organisationen, die bereits die aktuelle britische Datenschutz-Grundverordnung einhalten, sollen keine Änderungen vornehmen müssen, um die vorgeschlagene britische Datenschutz-Grundverordnung einhalten zu können. Die vorgeschlagenen Reformen sollen Unternehmen jedoch die Möglichkeit bieten, neue Effizienzsteigerungen bei der Einhaltung der Vorschriften zu nutzen.
3. Einzelne Änderungsvorschläge
Im Folgenden werden einige der Anpassungsvorschläge im Einzelnen vorgestellt.
3.1 Klarstellung zum Begriff des Personenbezugs
Durch eine Erweiterung der Begriffsbestimmungen (Section 3A des Entwurfs) soll die Relativität des Personenbezugs in Bezug auf anonyme Daten verdeutlicht werden. Daten werden von einer anderen Organisation als dem für die Verarbeitung Verantwortlichen oder dem Auftragsverarbeiter nur dann als persönlich identifizierbar angesehen, wenn diese andere Organisation die Informationen als Ergebnis ihrer Datenverarbeitung erhält oder erhalten könnte. Verfügt die andere Organisation nicht über solche Informationen oder ist es unwahrscheinlich, dass sie diese erhält, werden die Daten als anonym betrachtet und fallen nicht in den Anwendungsbereich des Gesetzes.
3.2 Vereinfachung der Möglichkeit sich auf berechtigte Interessen zu berufen
Der Entwurf enthält in Anhang 1 eine Liste von Tätigkeiten, bei denen davon ausgegangen werden kann, dass die Verarbeitung von Daten im berechtigten Interesse des für die Verarbeitung Verantwortlichen liegt. Dadurch soll die Notwendigkeit für Verantwortliche, ihre legitimen Interessen mit den Rechten und Interessen der betroffenen Person abzuwägen, wenn der Zweck der Verarbeitung der Daten der betroffenen Person in der Liste der anerkannten legitimen Interessen aufgeführt ist (vgl. Section 5 des Entwurfs).
Die vorgeschlagene Liste der anerkannten legitimen Interessen konzentriert sich auf öffentliche Interessen wie nationale Sicherheit, Verteidigung, Notfälle, Verbrechensverhütung, Schutz und demokratisches Engagement. Es ist ein Verfahren vorgesehen, nach dem die Regierung durch das Innenministerium (Secretary of State) diese Liste in Zukunft ergänzen kann.
Die Tätigkeiten der Liste im Anhang sind illustrativ und nicht erschöpfend. Bei den Tätigkeiten handelt es sich um Direktmarketing, die unternehmensinterne Übermittlung von Daten und die Sicherheit von Netzen und Informationssystemen. Die für die Verarbeitung Verantwortlichen müssen nach wie vor sicherstellen, dass ihre Interessen nicht durch die Rechte und Interessen der betroffenen Person aufgewogen werden.
3.3 Klarstellungen zum Forschungsbegriff
Der Entwurf sieht eine Klarstellung dahingehend vor, die in den Bereich der wissenschaftlichen Forschung fallenden Verarbeitungen, alle Tätigkeiten umfassen sollen, die vernünftigerweise als wissenschaftlich bezeichnet werden können, unabhängig davon, ob sie öffentlich oder privat finanziert werden und ob sie als kommerzielle oder nichtkommerzielle Tätigkeit durchgeführt werden (siehe Section 2 des Entwurfs). Der Entwurf enthält eine Liste illustrativer und nicht erschöpfender Arten wissenschaftlicher Forschung, die zuvor in den Erwägungsgründen enthalten waren und nun in die operativen Teile der U.K. GDPR, wie z. B. angewandte Forschung, Grundlagenforschung oder innovative Forschung zur technologischen Entwicklung. Außerdem wird klargestellt, dass Forschung im Bereich der öffentlichen Gesundheit nur dann wissenschaftliche Forschung ist, wenn sie im öffentlichen Interesse liegt. Die Vorschläge befreien die für die Verarbeitung Verantwortlichen von der Mitteilungspflicht, wenn personenbezogene Daten direkt bei der betroffenen Person zu Forschungs-, Archivierungs- oder statistischen Zwecken erhoben wurden und wenn die Bereitstellung solcher Informationen unmöglich wäre oder einen unverhältnismäßigen Aufwand erfordern würde.
3.4 Wegfall der Pflicht zur Benennung eines Vertreters in der U.K
Der Entwurf sieht vor, dass die für die Verarbeitung Verantwortlichen und Auftragsverarbeiter, die nicht im Vereinigten Königreich ansässig sind, keinen Vertreter im Vereinigten Königreich benennen müssen. Die Vorschläge ersetzen die Anforderungen in Bezug auf die Benennung und die Aufgaben des Datenschutzbeauftragten durch Bestimmungen über die leitende verantwortliche Person.
3.5 Klarstellung hinsichtlich unbeachtlicher Geltendmachung von Betroffenenrechten
Der Entwurf sieht vor die Schwelle „offensichtlich unbegründet oder exzessiven“ für die Ablehnung von Anträgen auf Wahrung der Rechte der betroffenen Person (entsprechend Art. 12 Abs. 5 DS-GVO) durch die Schwelle „lästig oder exzessiv“ zu ersetzen. Bei der Entscheidung, ob und wie auf Anfragen zu den Rechten der betroffenen Person zu reagieren ist, können die für die Verarbeitung Verantwortlichen sowohl ihre Ressourcen berücksichtigen, als auch, ob die Anfrage absichtlich in böser Absicht gestellt wurde oder einen Missbrauch des Verfahrens darstellt.
3.6 Cookies
Der Entwurf sieht vor die Liste der Ausnahmen, in denen eine Zustimmung für die Platzierung von Cookies oder ähnlichen Tracking-Technologien auf den Endgeräten der Nutzer erforderlich ist zu erweitern. Zu den vorgeschlagenen Ausnahmen gehören das Sammeln statistischer Informationen über einen Dienst der Informationsgesellschaft, um Verbesserungen vorzunehmen, das Erscheinungsbild oder die Funktion einer Website an die Präferenzen der Nutzer anzupassen, notwendige Sicherheitsaktualisierungen der Software auf einem Gerät zu installieren und den Standort einer Person in einem Notfall zu ermitteln. Mit Ausnahme der Identifizierung von Nutzern in Notfällen sollen den Nutzern klare und umfassende Informationen zur Verfügung gestellt werden müssen und sie sollen eine einfache Möglichkeit bekommen, sich dagegen zu entscheiden.
3.7 Direktmarketing
Der Entwurf sieht die Möglichkeit, sich auf die Zustimmung zum Opt-out zu verlassen, auf nicht-kommerzielle Organisationen zu erweitern. Nicht-kommerzielle Organisationen sollen ohne vorherige Zustimmung elektronische Marketingmitteilungen zur Förderung karitativer, politischer oder anderer nichtkommerzieller Ziele versenden dürfen, wenn die Kontaktdaten der Person im Zuge der Interessenbekundung oder Unterstützung des Ziels erlangt wurden.
3.8 automatische Entscheidungsfindung
Der Entwurf definiert automatisierte Entscheidungsfindung als „ohne sinnvolle menschliche Beteiligung“ (vgl. Section 11 des Entwurfs) und bestimmt, dass Organisationen, die solche Entscheidungen treffen, dies dem Einzelnen gegenüber offenlegen. Auch sollen Einzelne die Möglichkeit erhalten, Entscheidungen anzufechten, indem er eine menschliche Beteiligung beantragt. Der Entwurf sieht eine Verordnungsermächtigung für das Innenministerium vor, zu konkretisieren, ob die Folge einer automatisierten Entscheidungsfindung als „ähnlich bedeutende Auswirkung“ für die betroffene Person zu betrachten ist oder nicht, ob weitere Bestimmungen über die für automatisierte Entscheidungen erforderlichen Garantien zu machen sind und ob es eine sinnvolle menschliche Beteiligung an der Entscheidungsfindung gibt oder nicht.