In einer Pressemitteilung vom 26.8.2021 hat die britische Regierung ein Maßnahmenpaket zur Änderung des Datenschutzrechts angekündigt. Dies könnte dazu führen, dass Großbritannien bald kein sicheres Drittland mehr ist. Mit den geplanten Maßnahmen möchte sich die Regierung um Premier Minister Boris Johnson endgültig von der Datenschutz-Grundverordnung (DSGVO) lösen und stattdessen eine freiere Datenpolitik einführen. Diese soll sich insbesondere dadurch kennzeichnen, dass internationale Datenflüsse leichter durchführbar sind und Unternehmen weniger datenschutzrechtliche Vorgaben beachten müssen. Hierdurch sollen Wachstum und Handel angekurbelt und öffentliche Dienstleistungen verbessert werden. Durch das Absenken der datenschutzrechtlichen Standards erhofft sich die britische Regierung einen Wettbewerbsvorteil auf dem internationalen Datenmarkt. Priorisiert werden sollen vor allem Datentransfers in Länder wie Indien, Brasilien oder Kenia, in denen geringere rechtliche Anforderungen an derartige Transfers gestellt werden.
1. Was ist konkret geplant?
In Hinblick auf die Cookie-RL (RL 2009/136/EG), nach der Nutzer über die Verwendung von Cookies unterrichtet werden und der Verwendung widersprechen können müssen, sollen „unnötige“ Cookie-Banner abgeschafft werden und ein Hinweis auf das Tracking von personenbezogenen Daten nur noch in den Fällen für die Betreiber von Internetseiten verpflichtend sein, in denen ein hohes Risiko für die Privatsphäre des Betroffenen besteht. Überdies soll durch Angemessenheitsbeschlüsse (Art. 45 DSGVO) für Datentransfers zwischen UK und der EU und die Verwendung von EU-Standardvertragsklausen (Art. 46 Abs. 2 Buchst. c) DSGVO), verbindliche Unternehmensregeln und Zertifizierungsmechanismen (Art. 47 DSGVO) ein freierer Datenfluss erreicht werden.
2. Rechtlicher Hintergrund:
Angemessenheitsbeschlüsse werden nach Art. 44 ff. DSGVO durch die EU-Kommission erlassen, wenn davon auszugehen ist, dass ein Datentransfer in ein Drittland insofern als datenschutzrechtlich unbedenklich zu werten ist, als das Drittland datenschutzrechtliche Standards vorsieht, die in ihrem Schutzgehalt denen der DSGVO entsprechen. Der Vorteil derartiger Angemessenheitsbeschlüsse liegt darin, dass bei einem Datentransfer in ein solches Drittland keine zusätzlichen datenschutzrechtlichen Pflichten zu erfüllen haben. Das aktuelle Datenschutzurecht Großbritanniens beruht derzeit noch auf den europäischen Vorgaben, die bis zum Brexit in das britische Recht umgesetzt worden sind oder unmittelbar Geltung erlangten.
3. Folgen
Das Abschwächen datenschutzrechtlicher Anforderungen in Großbritannien könnte zur Folge haben, dass ein mit der EU vergleichbares Datenschutzniveau nicht mehr gewährleistet sein wird. Sollte das Schutzniveau für personenbezogene Daten in Großbritannien tatsächlich abfallen, führt dies mit hoher Wahrscheinlichkeit dazu, dass der erst im Juni 2021 verabschiedete Angemessenheitsbeschluss von der EU-Kommission wieder aufgehoben werden wird. Dieser hat zwar grundsätzlich eine Laufzeit von vier Jahren (wir berichteten), allerdings kann die EU-Kommission diesen jederzeit widerrufen, wenn das Datenschutzniveau in Großbritannien vom europäischen Datenschutzlevel in negativer Weise abweichen sollte. Dies hätte zur Folge, dass Großbritannien bald kein sicheres Drittland mehr darstellen würde. Datentransfers zwischen UK und der EU wären dann nur noch unter den strengen Voraussetzungen des Art. 46 DSGVO möglich. Ähnlich der aktuellen Situation bei Datenübertragungen in die USA müsste dann insbesondere auf den Abschluss von EU-Standardvertragsklauseln sowie evtl. erforderliche zusätzliche Schutzmaßnahmen zurückgegriffen werden.
Stand: 22.09.2021