In unserem Experteninterview geht Ben Daley-Gage auf die Komplexität der UK Data Protection Bill ein und hebt Aspeke hevor, die Ihr Unternehmen betreffen, darunter Datenübertragungen, ePrivacy und Änderungen bei der Rechenschaftspflicht. Ben Daley-Gage prognostiziert nicht nur die Chancen der Umsetzung, sondern entschärft auch die Bedenken von Unternehmen aus dem Vereinigten Königreich und der EU 25.
Das neue britische “Data Protection and Digital Information (no.2) Bill” – kurz: DPDI No.2 - ist der Schlüssel zu einem empfindlichen Balanceakt zwischen der Förderung von Innovationen auf der einen Seite, und dem Schutz der Privatsphäre des Einzelnen auf der anderen Seite, in einer zunehmend datengesteuerten Welt.
Soma Ashty, Product Marketing Manager bei DataGuard, sprach mit Ben Daley-Gage – Datenschutzberater bei DataGuard und Advisory Board Member der „International Association of Privacy Professionals (IAPP)“ über die möglichen Änderungen des Gesetzes, die Unternehmen im Vereinigten Königreich im Auge behalten sollten.
Warum ist die UK Protection Bill relevant und welche Auswirkungen hat sie auf die Datenschutzstandards?
Soma: Ben, vielen Dank, dass Du heute bei uns bist. Lass uns mit der Bedeutung des „DPDI No. 2“ beginnen. Kannst Du uns ein paar Hintergrundinformationen geben und erläutern, warum dieser Gesetzentwurf so wichtig ist?
Ben Daley-Gage: Gerne! Derzeit wird der Datenschutz im Vereinigten Königreich nach dem Brexit durch die britische Datenschutz-Grundverordnung (die immer noch eine enge Anlehnung an die EU DSGVO ist) und den „Data Protection Act 2018“ bestimmt.
Der neue DPDI-Gesetzentwurf schlägt eine Reihe von Änderungen vor, die das Vereinigte Königreich in Bezug auf einige Schlüsseldefinitionen in eine andere Position bringen würden, z. B. was als personenbezogene Daten definiert wird und wie wir sie verarbeiten und verwalten, auch im Hinblick auf Betroffenenrechte und Kontrolle und Übernahme der direkten Gesamtverantwortung.
Vereinfacht gesagt, geht es darum, eine Lösung zu finden, die ein ebenso hohes Maß an Datenschutz aufrechterhält und fördert, aber gleichzeitig die Verwaltung dieser Daten zugänglicher und erreichbarer macht, im Einklang mit den aktuellen Geschäftspraktiken und -ansätzen - Modernisierung, wenn man so will.
Soma: Könntest Du die Auswirkungen dieses Gesetzentwurfs erläutern? Welche Bereiche der Privatsphäre werden wahrscheinlich von den vorgeschlagenen Änderungen betroffen sein?
Ben Daley-Gage: Der Gesetzentwurf hat gleich mehrere wichtige Auswirkungen. Ein Schlüsselbereich ist die internationale Datenübermittlung. Der Gesetzentwurf zielt darauf ab, diesen Prozess zu optimieren, indem er Anpassungen bei der Ausführung von Datenübertragungen einführt. Es gibt den Organisationen mehr Möglichkeiten, selbst zu beurteilen, ob die Datenschutzstandards im Zielland mit denen des Vereinigten Königreichs übereinstimmen; dies ist derzeit Gegenstand von Diskussionen und von besonderem Interesse.
Der Gesetzentwurf führt auch Änderungen an der ePrivacy-Verordnung ein, die sich auf die Anforderungen an die Einwilligung in Cookies und die Regeln für das E-Mail-Marketing auswirken. Außerdem gibt es Änderungen bei der Rechenschaftspflicht und den Folgenabschätzungen. Dies schließt Änderungen bei den Verzeichnissen von Verarbeitungstätigkeiten (VVTs) und eine Umbenennung der Datenschutz-Folgenabschätzungen (DSFAs) für risikoreiche Verarbeitungen ein.
Was bedeutet ePrivacy? ePrivacy ist eine Richtlinie, die sich auf elektronische Kommunikation, Cookies und Tracker konzentriert. Sie ergänzt die britische Datenschutz-Grundverordnung (UK-GDPR), indem sie die Vertraulichkeit der Kommunikation sicherstellt, das Tracking einschränkt und Spam reduziert.
Was fällt unter risikoreiche Verarbeitungen? Der Einsatz innovativer Technologien (künstliche Intelligenz, maschinelles Lernen, Gesichtserkennung, Biometrie) sowie Profiling und Tracking (Vorhersagen, Verhaltensanalyse, Online-Überwachung)
Welche Maßnahmen Unternehmen ergreifen sollten
Soma: Auf welche Maßnahmen sollten sich die Unternehmen angesichts dieser Veränderungen einstellen?
Ben Daley-Gage: Unternehmen müssen proaktiv sein, um diese Änderungen zu verstehen und sich darauf einzustellen.
- Bei internationalen Datenübermittlungen ist es von entscheidender Bedeutung, sich mit dem neuen Datenschutz-Test und den für die Bewertung herangezogenen Faktoren vertraut zu machen, um für etwaige Änderungen der Anforderungen gerüstet zu sein.
- Was die ePrivacy betrifft, so sollten Unternehmen sicherstellen, dass sie die Ausnahmen und Änderungen der Vorschriften für das E-Mail-Marketing verstehen.
- Hinsichtlich der Rechenschaftspflicht und der Folgenabschätzungen sollten Unternehmen, die Daten in großem Umfang oder mit hohem Risiko verarbeiten, einschließlich der Verarbeitung besonderer Kategorien personenbezogener Daten, sicherstellen, dass sie ihre Prozesse bewerten oder neu bewerten, um zu gewährleisten, dass sie mit den neuen Anforderungen übereinstimmen - obwohl dies natürlich eine regelmäßige Bewertung sein sollte, die jedes Unternehmen bereits durchführt.
Soma: Vielen Dank für all die Insights! Könntest Du noch eine Expertenanalyse des Gesetzentwurfs liefern? Wie passt er zu früheren Vorschlägen und auf welche wichtigen Punkte sollten Interessengruppen achten?
Ben Daley-Gage: Der Gesetzentwurf ähnelt stark den verworfenen Vorschlägen von 2022 und betont Änderungen bei den Definitionen für personenbezogene Daten, Verarbeitungsregeln, Datenrechten, Governance und Verantwortlichkeit.
Er betont Forschungszwecke, modifiziert Aufbewahrungspflichten von Unterlagen und unterstützt möglicherweise eine Verschiebung einiger Verantwortlichkeiten von Datenschutzbeauftragten (DSBs) auf Senior Responsible Individuals (SRI) für kleinere Unternehmen. Das Ziel der Regierung ist es, Innovation und Datenschutz in Einklang zu bringen.
Webinar ansehen: The evolving DPO-role in the UK
(Only available in English)
Ausblick und wie man auf dem Laufenden bleibt
Soma: Es ist interessant zu sehen, welche Gewichtung die Regierung anstrebt. Könntest Du uns auch einige Kritikpunkte oder Bedenken mitteilen, die an dem Gesetzentwurf geäußert wurden?
Ben Daley-Gage: Während der Gesetzentwurf Innovation und Vereinfachung anstrebt, gibt es Bedenken hinsichtlich der Rolle des Secretary of State bei der Genehmigung von Verhaltenskodexen. Einige befürchten, dass dies zu einer institutionellen Voreingenommenheit zugunsten der für die Datenverarbeitung Verantwortlichen führen könnte, wodurch die Interessen der betroffenen Personen untergraben werden könnten. Dieser Aspekt sollte bei der Verabschiedung des Gesetzes im Parlament sorgfältig geprüft werden.
Soma: Vielen Dank, Ben, für Deine wertvollen Einblicke. Kannst Du auch einen Ausblick geben und sagen, wie die nächsten Schritte für Unternehmen aussehen könnten?
Ben Daley-Gage: Der Gesetzesentwurf durchläuft derzeit das Gesetzgebungsverfahren und wird voraussichtlich 2024 veröffentlicht werden. In der Zwischenzeit empfehle ich allen, sich zu informieren und an den Diskussionen über den Datenschutz zu beteiligen. Es ist noch ein weiter Weg, bis das Gesetz in Kraft tritt.
Wenn Sie sich nicht sicher sind, welche Auswirkungen dies auf Ihr Unternehmen hat, unabhängig davon, ob Sie im Vereinigten Königreich oder in der EU tätig sind, sollten Sie sich an Ihren Datenschutzbeauftragten wenden.