Die Briten wollen ein eigenes Datenschutzgesetz auf die Beine stellen. Was haben Unternehmen zu erwarten?

Der Brexit ist vollzogen und viele im Vorfeld prognostizierten Schreckensszenarien sind ausgeblieben. Nun wollen die Briten konsequenterweise auch ein eigenes Datenschutz-Reglement auf den Weg bringen. Ist das ein reiner ein Affront gegen die EU? Oder vielleicht sogar die Chance für sinnvolle Anpassungen des EU-Datenschutz-Mammutwerks, das EU-typisch sehr bürokratisch ausgefallen ist?

Trotz aller Vorbehalte, die von vielen Seiten hinsichtlich der DSGVO geäußert werden, ist die europäische Datenschutz-Grundverordnung weltweit führend, was die Ernsthaftigkeit und Tiefe angeht, mit der die Verordnung den Schutz personenbezogener Daten regelt. Ohne Zweifel führt eine allzu buchstabengetreue Auslegung der DSGVO zu teilweise skurrilen Szenarien, man denke an die Diskussion über die Corona-App der Bundesregierung. Dennoch ist mit der DSGVO ein Schutzbollwerk entstanden, an dem langfristig auch die Internetgiganten nicht ignorant vorbei wirtschaften können, die jüngsten Bußgeldbescheide an US-Konzerne verdeutlichen dies.

Die Briten wiederum sind nicht mehr Teil der EU und denken völlig zu Recht über eine eigene Datenschutz-Verordnung nach. Vermutlich reichen ihnen zwei Jahre Erfahrungen mit der DSGVO schon vollkommen aus, um in einer neuen Verordnung Fehler zu vermeiden oder Regelungen klarer zu definieren.

Cookie-Banner und „unkomplizierterer“ internationaler Datenaustausch

Der britische Digitalminister ließ unlängst bereits durchblicken, in welchen wesentlichen Aspekten die britische Datenschutz-Regelung sich von der europäischen DSGVO unterscheiden wird. Da wären zunächst die Einwilligungen zur Verwendung von Cookie-Bannern, die laut britischer Ansicht die meisten Surfer bei ihren täglichen Streifzügen durchs Netz nerven. Die soll im britischen Modell auf Unternehmen reduziert werden, deren Datensammelei „ein hohes Risiko für die Privatsphäre“ mit sich bringen. Ansonsten gilt in Großbritannien nach der Reform eine Cookie-Banner-freie Fahrt auf der Datenautobahn.

Ein zweiter Hauptkritikpunkt der des britischen Digital-Ministeriums sind die DSGVO-Scharmützel beim Datentransfer nach Übersee. Um hier einfachere Bedingungen zu schaffen, ist die Einberufung eines „Data Transfer Expert Councils“ vorgesehen. Dieses Experten-Gremium, das sich aus Vertreten von Wirtschaft, Wissenschaft und der Zivilgesellschaft zusammensetzt, soll dafür verantwortlich zeichnen, kreative, globale Partnerschaften mit den bedeutendsten Märkten und Wirtschaftsregionen auszuhandeln – bei einem möglichst hohen Schutzniveau der Daten britischer Bürger.

Konsequenzen für Unternehmen, die in oder mit Großbritannien aktiv sind

Noch 2018 hatten die Briten die DSGVO in nationales Recht umgesetzt, wie die anderen EU-Staaten auch. Als der Brexit vollzogen war, wurde das Thema Datenschutz zwischen den ausgeschiedenen Briten und der EU durch den sogenannten Angemessenheitsbeschluss geregelt. Ein solcher Beschluss kommt dann in Betracht, wenn die obersten EU-Datenschützer davon ausgehen, dass in einem Drittland ein Datenschutzniveau praktiziert wird, das adäquat zu europäischen DSGVO ist. Ist dies der Fall, können zwischen der EU und dem Drittland Daten beinahe ohne Einschränkungen ausgetauscht werden.

Schon nach den ersten Einsichten in den Reformumfang, den die Briten in ersten Ankündigungen prognostizieren, sieht die EU-Kommission den Angemessenheitsbeschluss auf wackligen Füßen stehen. Auch wenn ein solcher Beschluss erst vier Jahre nach seinem Inkrafttreten turnusmäßig überprüft werden muss, kann er in dringlichen Fällen auch ohne Frist zurückgenommen werden. Ganz wie beim Datentransfer mit den USA könnte dies auch für den digitalen Austausch mit Großbritannien bedeuten, dass die EU auf völlig neue Regelungen drängt. Das würde, wie am Beispiel USA deutlich wird, bedeuten, dass quasi über Nacht der durch den Angemessenheitsbeschluss ungehinderte Datenfluss zwischen einem EU-Land und etwa einem britischen Unternehmen zum Datenschutzverstoß wird, der empfindliche Bußgelder zur Folge haben könnte.

Fazit

Unternehmen, die regen Datenaustausch mit Großbritannien pflegen, sollten die weiteren Ankündigungen des britischen Digitalministeriums genau im Auge behalten und vor einer britischen Datenschutz-Reform nötige Konsequenzen einplanen.