Wie wir bereits berichteten, plant das Vereinigte Königreich schon seit dem Vollzug des Brexits eine Reform der geltenden Datenschutzbestimmungen zu Gunsten der Wirtschaft und Innovation. Die Pläne für den neuen, flexibleren und risikobasierten Rechtsrahmen werden nun konkreter. Auserkorenes Ziel ist dabei die Beibehaltung des hohen Schutzniveaus bei gleichzeitiger Begrenzung des administrativen Aufwands und Erhöhung der Anwendungsklarheit. Dazu hat die UK-Regierung Ende 2021 Vorschläge und Anregungen von Vertretern aus Industrie, Wissenschaft und Konsumenten gesammelt, begutachtet und Ende Juni 2022 als "Data: a new direction" veröffentlicht. Darauf basierend wurde nun die "Data Protection and Digital Information Bill" als erster Entwurf einer Gesetzesänderung eingebracht. Die DORDA Datenschutzexperten haben die spannendsten Abweichungen vom bestehenden DSGVO Regime für Sie zusammengefasst:
- Änderung der Definition des Personenbezugs
Der Begriff soll auf solche Daten eingeschränkt werden, die eine Identifizierung einer natürlichen Person zur Zeit der Verarbeitung durch einen Verantwortlichen oder Auftragsverarbeiter ermöglichen. Damit wird für die in der Praxis zunehmend schwierige Abgrenzung zwischen personenbezogenen, pseudonymisierten und anonymen Daten eine pragmatischere und anwendungssicherere Lösung versucht.
- Wechsel vom Datenschutzbeauftragten zum Senior Responsible Individual
Statt einer bloß beratenden Funktion soll mehr Verantwortung als Teil des Managements etabliert und eine Auslagerung auf Externe verhindert werden.
- Erleichterungen für den Datentransfer in Drittländer
Der Entwurf gibt einen "Data Protection Test" zur Überprüfung des Datenschutzniveaus des Drittlandes vor, der darauf abstellt, dass die Datenschutzbestimmungen des Drittlandes nicht wesentlich geringer sind als der in UK vorgesehene Standard. Dafür ist zudem keine "Punkt-für-Punkt" Kontrolle erforderlich, sondern ein Überblick über eine vergleichbare Gesamtschutzwirkung ausreichend.
- Öffnung für Web Analytics und Direktmarketing
Statt einer Einwilligung, sieht der Gesetzesentwurf Ausnahmen für Cookies zum Zwecke von "Web Analytics" sowie automatischer Softwareupdates vor. Weiters gestattet der Entwurf politischen Parteien und anderen NGOs das Direktmarketing auf elektronischem Wege ohne ausdrückliche Einwilligung.
Zum Ausgleich dieser Lösungsansätze für aus der Praxis heiß diskutierte Themen wurden auch Verbesserungen der Individualrechte implementiert: So sieht der Entwurf die Möglichkeit vor, durch weiterführende Verordnungen ("Secondary Legislation"), den Konsumenten ein Recht auf Geschäftsdaten einzuräumen. Daraus würde der Anspruch eines Käufers einer Ware oder Dienstleistung folgen, über eben jenen Kaufgegenstand verschiedene Informationen (Herkunft, Preis, Leistung) zu erhalten.
Zusammengefasst ist die "Data Protection and Digital Information Bill" keine völlig neue Form des Datenschutzrechts. Vielmehr ist sie ein Versuch der Umsetzung von Lösungsansätzen und lessons learnt aus vier Jahren Anwendbarkeit der DSGVO. Ob damit der Abstand zur DSGVO bei Gesamtbetrachtung zu groß wird, wird sich bei Re-Evaluierung des noch bestehenden Angemessenheitsbeschlusses zeigen. Wir behalten die Entwicklung und nächsten Schritte weiterhin im Auge und halten Sie, wie gewohnt, am Laufenden.
Wie wir bereits berichteten, plant das Vereinigte Königreich schon seit dem Vollzug des Brexits eine Reform der geltenden Datenschutzbestimmungen zu Gunsten der Wirtschaft und Innovation. Die Pläne für den neuen, flexibleren und risikobasierten Rechtsrahmen werden nun konkreter. Auserkorenes Ziel ist dabei die Beibehaltung des hohen Schutzniveaus bei gleichzeitiger Begrenzung des administrativen Aufwands und Erhöhung der Anwendungsklarheit. Dazu hat die UK-Regierung Ende 2021 Vorschläge und Anregungen von Vertretern aus Industrie, Wissenschaft und Konsumenten gesammelt, begutachtet und Ende Juni 2022 als "Data: a new direction" veröffentlicht. Darauf basierend wurde nun die "Data Protection and Digital Information Bill" als erster Entwurf einer Gesetzesänderung eingebracht. Die DORDA Datenschutzexperten haben die spannendsten Abweichungen vom bestehenden DSGVO Regime für Sie zusammengefasst:
- Änderung der Definition des Personenbezugs
Der Begriff soll auf solche Daten eingeschränkt werden, die eine Identifizierung einer natürlichen Person zur Zeit der Verarbeitung durch einen Verantwortlichen oder Auftragsverarbeiter ermöglichen. Damit wird für die in der Praxis zunehmend schwierige Abgrenzung zwischen personenbezogenen, pseudonymisierten und anonymen Daten eine pragmatischere und anwendungssicherere Lösung versucht.
- Wechsel vom Datenschutzbeauftragten zum Senior Responsible Individual
Statt einer bloß beratenden Funktion soll mehr Verantwortung als Teil des Managements etabliert und eine Auslagerung auf Externe verhindert werden.
- Erleichterungen für den Datentransfer in Drittländer
Der Entwurf gibt einen "Data Protection Test" zur Überprüfung des Datenschutzniveaus des Drittlandes vor, der darauf abstellt, dass die Datenschutzbestimmungen des Drittlandes nicht wesentlich geringer sind als der in UK vorgesehene Standard. Dafür ist zudem keine "Punkt-für-Punkt" Kontrolle erforderlich, sondern ein Überblick über eine vergleichbare Gesamtschutzwirkung ausreichend.
- Öffnung für Web Analytics und Direktmarketing
Statt einer Einwilligung, sieht der Gesetzesentwurf Ausnahmen für Cookies zum Zwecke von "Web Analytics" sowie automatischer Softwareupdates vor. Weiters gestattet der Entwurf politischen Parteien und anderen NGOs das Direktmarketing auf elektronischem Wege ohne ausdrückliche Einwilligung.
Zum Ausgleich dieser Lösungsansätze für aus der Praxis heiß diskutierte Themen wurden auch Verbesserungen der Individualrechte implementiert: So sieht der Entwurf die Möglichkeit vor, durch weiterführende Verordnungen ("Secondary Legislation"), den Konsumenten ein Recht auf Geschäftsdaten einzuräumen. Daraus würde der Anspruch eines Käufers einer Ware oder Dienstleistung folgen, über eben jenen Kaufgegenstand verschiedene Informationen (Herkunft, Preis, Leistung) zu erhalten.
Zusammengefasst ist die "Data Protection and Digital Information Bill" keine völlig neue Form des Datenschutzrechts. Vielmehr ist sie ein Versuch der Umsetzung von Lösungsansätzen und lessons learnt aus vier Jahren Anwendbarkeit der DSGVO. Ob damit der Abstand zur DSGVO bei Gesamtbetrachtung zu groß wird, wird sich bei Re-Evaluierung des noch bestehenden Angemessenheitsbeschlusses zeigen. Wir behalten die Entwicklung und nächsten Schritte weiterhin im Auge und halten Sie, wie gewohnt, am Laufenden.