Einleitung
Der Austritt des Vereinigten Königreichs („UK“) aus der Europäischen Union („EU“), der sogenannte „Brexit“, ist zweifellos einer der größten Einschnitte in der Geschichte der EU. Noch immer ist man veranlasst, sich die Augen zu reiben, wie es dazu kommen konnte, dass der Staat, der bereits im Jahr 1973 der Europäischen Wirtschaftsgemeinschaft, einer Vorgängerorganisation der EU, beigetreten war, diesen Schritt ging.
Der Anfang vom Ende des seitens vieler Briten allenfalls als Zweckgemeinschaft begriffenen Zusammenschlusses begann am 23. Juni 2016 mit einem Referendum, in dem die Bürger des Inselstaates über die EU-Mitgliedschaft abstimmen konnten. Bei einer Wahlbeteiligung von immerhin fast 72 % stimmte die Mehrheit von 52 % für den Austritt. Daran anknüpfend zogen sich bis Ende 2018 die Verhandlungen zwischen der EU und dem UK über den sogenannten „Brexit Deal“ hin, der die Rahmenbedingungen des Austritts festlegen sollte. Aufgrund innenpolitischer Widerstände kam es jedoch zu zahlreichen Nachverhandlungen, so dass der endgültige Austritt erst mit Ende des 31. Januar 2021 erfolgte.
Status quo: Angemessenes Datenschutzniveau
Der Austritt aus der EU brachte auch Veränderungen im Datenschutzrecht mit sich. Denn bis dahin galt für Datenverarbeitungen im UK – wie in jedem der 27 Mitgliedsstaaten – die Datenschutz-Grundverordnung („DSGVO“), die das Datenschutzrecht in der EU harmonisierte und für ein angemessenes Datenschutzniveau sorgte. Durch den Austritt ist das UK nun jedoch kein Mitglied der EU oder des Europäischen Wirtschaftsraums („EWR“) mehr, sondern ein sogenanntes „Drittland“, mit der Folge, dass hinsichtlich Datentransfers nun die Art. 44 ff. DSGVO für die Sicherstellung eines angemessenen Datenschutzniveaus zu beachten sind.
Als angemessen gilt das Datenschutzniveau, wenn ein Angemessenheitsbeschluss der Europäischen Kommission („EU-Kommission“) gemäß Art. 45 Abs. 3 DSGVO vorliegt. Hat die EU-Kommission einen solchen Beschluss gefasst, ist das Datenschutzniveau im Drittstaat als ausreichend hoch für einen Datentransfer anzusehen. Die datenverarbeitenden Stellen müssen in diesem Fall nicht selbst aktiv werden, um ein angemessenes Datenschutzniveau sicherzustellen. Dabei ist das Kriterium zur Bestimmung des angemessenen Schutzniveaus ausweislich der Entscheidung des Europäischen Gerichtshofs in Sachen „Schrems I“ (C-362/14) nicht, ob die Datenschutzvorschriften der DSGVO inhaltlich identisch umgesetzt wurden. Sie müssen vielmehr der Sache nach gleichwertig sein.
Für das UK liegt ein solcher Angemessenheitsbeschluss seit dem 28. Juni 2021 vor. Die Begründung, die sich durch den gesamten Angemessenheitsbeschluss zieht, stellt im Wesentlichen darauf ab, dass das UK seit dem Austreten aus der EU das Datenschutzrecht kaum verändert und die Regelungen der DSGVO in Form der „UK General Data Protection Regulation“ („UK-GDPR“) und dem „Data Protection Act 2018“ in nahezu identischer Form in nationales Recht umgesetzt hat. Der Angemessenheitsbeschluss hat eine Verfallsklausel, durch die seine Geltungsdauer auf vier Jahre beschränkt ist, in denen die EU-Kommission die Rechtslage und mögliche Abweichungen hinsichtlich des Datenschutzniveaus beobachten will.
Geplante Änderungen im UK-Datenschutzrecht
Nach nicht einmal drei Monaten besteht hierfür auch bereits Bedarf: In einem am 10. September veröffentlichten Diskussionspapier mit dem innerhalb der EU für Aufsehen sorgenden Titel: „Data: A new direction“ hat das Ministerium für Digitales, Kultur, Medien und Sport auf fast 150 Seiten den Versuch unternommen, eine neue Marschrichtung in Sachen Datenschutz einzuschlagen. Als Ziele der Neuausrichtung wurden unter anderem die Stärkung des UK als „wissenschaftliche Supermacht“, als „globale Drehscheibe für den freien und verantwortungsvollen Fluss personenbezogener Daten“ und die „Befähigung von Unternehmen zu Wachstum und Innovation“ genannt. Auch wenn die Wichtigkeit des Datenschutzes betont wird, lässt das Papier keine Zweifel daran, dass die innerhalb des UK oft als bremsend empfundenen Datenschutzvorschriften nach dem Vorbild der DSGVO in Zukunft verschlankt werden sollen. Ausgewählte Änderungsvorschläge sollen im Folgenden vorgestellt und bewertet werden.
Änderungen im Bereich der Rechtsgrundlagen für die Verarbeitung
Eine wesentliche Änderung strebt das Diskussionspapier im Bereich der Rechtsgrundlagen an. Wie im Abschnitt „Abbau von Hindernissen für verantwortungsvolle Innovation“ zu lesen, soll die Verarbeitung aufgrund berechtigter Interessen (Art. 6 Abs. 1 lit. f UK-GDPR) dahingehend reformiert werden, dass eine Interessenabwägung im engeren Sinne für bestimmte Tätigkeiten nicht mehr vorzunehmen sein soll. Diese sollen in einer Liste aufgeführt werden, welche regelmäßig angepasst werden soll.
Als Beispiele nennt das Papier unter anderem die Meldung von Straftaten (vgl. Diskussionspapier Zif. 61 lit. a) und Angaben der öffentlichen Gesundheit (vgl. Diskussionspapier Zif. 61 lit. b), die Verarbeitung im Rahmen der Pseudonymisierung und Anonymisierung (vgl. Diskussionspapier Zif. 61 lit. g), aber auch die Verwendung personenbezogener Daten zur „Verbesserung der Dienstleistungen für Kunden“ (vgl. Diskussionspapier Zif. 61 lit. h) oder die „Verwendung von Cookies zur Zielgruppenmessung oder Verbesserung von Webseiten“ (vgl. Diskussionspapier Zif. 61 lit. d). Hierdurch sollen die Notwendigkeit des Einholens von Einwilligungserklärungen reduziert und damit das Datenschutzrecht in der Praxis vereinfacht werden.
Eine weitere interessante Änderung sieht die Erweiterung von Art. 6 UK-GDPR durch die Schaffung einer neuen Rechtsgrundlage für Forschung vor, um die Arbeit von Organisationen, die Daten zu Forschungszwecken verarbeiten, zu erleichtern.
Änderungen im Bereich Compliance
Unter dem Abschnitt mit dem Titel „Reduzierung von Belastungen für Unternehmen“ finden sich einige Anpassungsvorschläge im Bereich Compliance. So soll etwa die bestehende Anforderung zur Ernennung eines Datenschutzbeauftragten gestrichen werden, da insbesondere kleinere Organisationen oft Schwierigkeiten hätten, einen solchen zu finden (vgl. Diskussionspapier Zif. 162 ff.). Stattdessen sollen „geeignete Personen“ die Einhaltung des Datenschutzes überwachen.
Auch die Verpflichtung zur Datenschutzfolgeabschätzung gemäß Art. 35 UK-GDPR soll zu Gunsten des Spielraums von Unternehmen, andere Ansätze zur Ermittlung und Minimierung von Datenschutzrisiken wählen zu können, die ihren spezifischen Umständen besser entsprechen, abgeschafft werden (vgl. Diskussionspapier Zif. 165 ff.). Zudem sollen das Erfordernis der Konsultation der Aufsichtsbehörde („Information Commissioner's Office“, „ICO“) gestrichen, Dokumentationspflichten aufgeweicht und der Einsatz von Analysecookies auch ohne Einwilligung der Betroffenen ermöglicht werden.
Für den Fall, dass diese Vorschläge nicht umgesetzt würden, finden sich im Diskussionspapier jedoch auch deutlich moderatere Alternativen (vgl. Diskussionspapier Zif. 184 ff.). So wird etwa aus der angesprochenen Abschaffung des Datenschutzbeauftragten lediglich die Aufhebung der Verpflichtung für alle öffentlichen Behörden, einen Datenschutzbeauftragten zu benennen.
Gefahr des Verlusts des Status als sicheres Drittland
Dass diese potentiellen Änderungen Auswirkungen auf den mühsam erlangten Angemessenheitsbeschluss der EU-Kommission haben würden, ist offensichtlich und war dem Ministerium durchaus bewusst: So hat es in der neben dem Diskussionspapier veröffentlichten „Analyse der erwarteten Auswirkungen“ bereits die Möglichkeit des Verlusts des Status als sicheres Drittland miteinbezogen.
Ein Knackpunkt könnten die angedachten Reformen im Rahmen der Interessensabwägung sein. Man sollte sich indes nicht verleiten lassen, alle Vorschläge aus der DSGVO-Brille heraus pauschal abzulehnen und so die Chance auf Verbesserungen des bestehenden Datenschutzrechts zu verpassen. Denn in der Tat gestaltet sich die Nutzung der formal gleichwertigen Rechtsgrundlagen der Verarbeitung aus Art. 6 Abs. 1 UK-GDPR (vgl. Art. 6 Abs. 1 S. 1 DSGVO) in der Praxis sehr einwilligungslastig, was sowohl aus Sicht von Unternehmen als auch von Betroffenen nicht zwangsläufig Jubelstürme hervorruft. Eine Verschiebung Richtung Interessenabwägung kann daher durchaus Sinn ergeben und wäre nicht zwangsläufig mit einer Reduktion des Datenschutzniveaus verbunden. Ob hierfür allerdings die vorgeschlagene Liste an Ausnahmen bei der Interessenabwägung im engeren Sinne das richtige Instrument ist, darf bezweifelt werden: Gerade die Verwendung personenbezogener Daten zur „Verbesserung der Dienstleistungen für Kunden“ oder die „Verwendung von Cookies zur Zielgruppenmessung“ sind Bereiche, in denen durchaus Missbrauchspotential besteht.
Die Reformbemühungen im Bereich Compliance nach dem Vorbild Kanadas, Singapurs und Australiens dürften bei der EU-Kommission ebenfalls Skepsis auslösen – nicht zuletzt besteht hinsichtlich der zwei letztgenannten kein Angemessenheitsbeschluss der EU-Kommission. Insbesondere die Abschaffung der Pflicht zur Ernennung eines Datenschutzbeauftragten würde nicht nur im Großen und Ganzen die interne Kontrolle der Einhaltung des Datenschutzes schwächen, auch kleineren Unternehmen dürfte damit wohl kaum ein Gefallen getan sein. Denn diese müssten natürlich weiterhin Datenschutzvorschriften einhalten und diesbezüglich Rechenschaft ablegen können. Es bliebe ihnen also nichts anderes übrig, als entweder weiterhin gut qualifizierte Personen hierfür zu suchen oder das Risiko eines Verstoßes zu tragen. Ein Mehrwert der Regelung lässt sich somit nicht erkennen. Unproblematischer – und wohl auch in der Umsetzung realistischer – wären dagegen die abgeschwächten Alternativvorschläge des Papiers. Jedoch auch dort wäre bei einer zu großflächigen Umgestaltung des Datenschutzrechts die Gefahr gegeben, dass der Standard der DSGVO zumindest in den Augen der EU-Kommission nicht gehalten werden kann.
Fazit
Anders, als man vermuten könnte, ist das Diskussionspapier keineswegs als reine Provokation gegenüber der EU zu verstehen. Es stellt vielmehr, auch wenn es an manchen Stellen über das Ziel hinausschießt, einen glaubhaften Versuch dar, das Datenschutzrecht im Vergleich zur DSGVO verschlanken zu wollen.
Ob das UK allerdings den schmalen Grat zwischen der wünschenswerten Reduzierung von Regulierungen und dem Aushöhlen eines Datenschutzniveaus, welches sich mittlerweile weltweit als „Gold Standard“ etabliert hat, meistert, ist fraglich. Darüber hinaus darf bezweifelt werden, ob die EU-Kommission, die bereits im Rahmen des Angemessenheitsbeschlusses darauf hingewiesen hat, dass sie ein wachsames Auge auf die Entwicklungen des Datenschutzes auf der Insel haben werde, das Experiment lange mitgehen wird.
Genauso wenig hilfreich wie der erkennbare Trend in der Rhetorik aus London, Distanz zwischen sich und EU-Regelungen zu bekommen, dürfte in diesem Zusammenhang die Ankündigung einer potentiellen Anerkennung zahlreicher Staaten, die aus Sicht der EU-Kommission nicht das Datenschutzniveau der DSGVO erreichen, als sichere Drittstaaten sein. Darunter fallen neben Australien, Dubai, Kolumbien, Singapur und Südkorea bemerkenswerterweise auch die Vereinigten Staaten von Amerika.
Bei dem Gesagten sollte jedoch nicht vergessen werden, dass es sich lediglich um ein Diskussionspapier handelt. Die Frist für die Einreichung von Stellungnahmen ist am 19. November 2021 abgelaufen. Eine erste ausführliche Stellungnahme des ICO liegt bereits vor, weitere dürfen mit Spannung erwartet werden. Klar ist: Das Thema Brexit kommt auch in der Adventszeit nicht zur Ruhe.
