Die britische Regierung will die Datenschutzgesetze reformieren, den Verwaltungsaufwand beseitigen und Innovationen fördern. Die Herausforderung besteht darin, dies zu erreichen, ohne Störungen zu verursachen oder Handelsbeziehungen zu riskieren. Wie weit ist das Gesetz über Datenschutz und digitale Informationen (Data Protection and Digital Information Bill, DPDI) auf dem Weg zur Verabschiedung, und welche Änderungen wird es für Ihr Unternehmen mit sich bringen?
Datenschutz- und Digitalinformationsgesetz
Was ist es?
Das Gesetz über Datenschutz und digitale Informationen (Data Protection and Digital Information Bill, DPDI) stellt Reformen der Datenschutzgesetze des Vereinigten Königreichs nach dem Brexit vor.
Die Regierung behauptet, dass die neue Gesetzgebung:
- Behalten Sie die besten Elemente der EU-Datenschutz-Grundverordnung (DSGVO) bei
- Bieten Sie mehr Flexibilität
- Kostensenkung um 4,7 Mrd. £ über einen Zeitraum von 10 Jahren
- Erleichterung des globalen Handels
- Seien Sie einfach, klar und geschäftsfreundlich
Die Herausforderung für die Rechtsvorschriften besteht darin, Innovationen zu fördern und den Verwaltungsaufwand zu verringern, ohne Änderungen vorzunehmen, die: - Eingriff in individuelle Datenrechte
- Verlangen Sie von Unternehmen, neue Datensysteme zu erstellen
- Schaffung von Handelshemmnissen mit der EU und anderen internationalen Gerichtsbarkeiten
Wann wurde es eingeführt?
DPDI wurde dem britischen Parlament erstmals am 18. Juli 2022 vorgestellt. Eine zweite Lesung des Gesetzentwurfs, die für September 2022 erwartet wurde, wurde nach dem Rücktritt von Boris Johnson als Premierminister auf Eis gelegt.
Am 8. März 2023 wurde von Staatssekretärin Michelle Donelan eine überarbeitete Fassung des Gesetzes vorgelegt, die als DPDI (No 2) Bill bekannt ist. Es ist davon auszugehen, dass es im Herbst 2023 zu einer zweiten Lesung im Unterhaus kommen wird.
Wen betrifft es?
DPDI wird Organisationen aller Größen und Sektoren betreffen, von der kleinsten Wohltätigkeitsorganisation bis hin zu großen Unternehmen. Es wird sich auch auf internationale Organisationen auswirken, die innerhalb des Vereinigten Königreichs Handel treiben oder Daten von britischen Bürgern verwalten.
Die wichtigsten Highlights des DPDI
Die DPDI könnte Folgendes einführen:
- Eine neue Definition von personenbezogenen Daten, die dabei hilft, den Grad der Anonymität zu beschreiben, der erforderlich ist, um eine Person mit „angemessenen Mitteln“ nicht mehr identifizierbar zu machen
- Eine Kategorie von Daten von berechtigtem Interesse (z. B. Straftaten, Schutzmaßnahmen), die die Notwendigkeit einer Bewertung des berechtigten Interesses überflüssig macht
- Faktoren, die bei der Wiederverwendung personenbezogener Daten für einen neuen Zweck zu berücksichtigen sind, und spezifische Situationen, in denen die Wiederverwendung rechtmäßig ist
- Erleichterung für Organisationen, Anträge auf Zugang zu personenbezogenen Personen abzulehnen, wenn sie schikanös oder übertrieben sind, unter Berücksichtigung der gesamten Bandbreite der Umstände
- Klärung von Umständen, unter denen KI für die automatisierte Entscheidungsfindung ohne nennenswerte menschliche Beteiligung eingesetzt werden kann
- Ersetzung von Datenschutzbeauftragten (DSB) durch leitende verantwortliche Personen (SRI), die leitende Angestellte sein müssen
- Folgenabschätzungen für die Datenverarbeitung werden durch Bewertungen der Verarbeitung mit hohem Risiko ersetzt, die durchzuführen sind, wenn Datenverarbeitungstätigkeiten als risikoreich eingestuft werden
- Aufhebung der Pflicht zur Führung von Verzeichnissen über Verarbeitungstätigkeiten, ersetzt durch die Verpflichtung, angemessene Aufzeichnungen zu führen
- Ein neuer Datenschutztest, der für Vereinbarungen über Mechanismen zur Übermittlung personenbezogener Daten außerhalb des Vereinigten Königreichs gelten soll
- Der Information Commissioner wird in eine Information Commission umstrukturiert, mit neuen Durchsetzungsbefugnissen und einem Zuständigkeitsbereich, der unter anderem die Notwendigkeit der Förderung von Innovation und Wettbewerb anerkennt
- Beschwerdeverfahren, die darauf abzielen, die Zahl der Beschwerden zu erhöhen, die ohne Beteiligung der Informationskommission gelöst werden
- Eine Änderung der DSGVO-Konformität , um Pop-ups zu reduzieren und sie zuzulassen, wenn eine Person zugestimmt hat oder Daten für bestimmte Zwecke wie die Verbesserung der Website verwendet werden
DSGVO vs. DPDI
DPDI ist kein umfassender Ersatz für die DSGVO-Datenschutzgesetze. Stattdessen werden die bestehenden Rechtsvorschriften (Data Protection Act 2018 und UK GDPR) geändert, so dass es viel Arbeit für Anwälte geben wird, die auf verschiedene Rechtsvorschriften verweisen.
Wenn die Rechtsvorschriften fertiggestellt sind, wird die EU eine Angemessenheitsprüfung durchführen, um festzustellen, ob das neue Datenschutzsystem des Vereinigten Königreichs einen angemessenen Datenschutz bietet, so dass der Datenverkehr zwischen der EU und dem Vereinigten Königreich fortgesetzt werden kann.
DPDI: Gesetzentwurf Nr. 1 gegen Gesetzentwurf Nr. 2
Was sind die Änderungen, die an DPDI vorgenommen wurden (Nein 1) veröffentlicht im Juli 2022 und DPDI (Nr. 2) im März 2023?
DPDI (Nr. 1)
Forschungszwecke
Klärung, wie personenbezogene Daten für Forschungs-, statistische und historische Zwecke verwendet werden können, um Wissenschaftler bei der Verwendung personenbezogener Daten für das Gemeinwohl zu unterstützen
Berechtigtes Interesse
Änderungen des Umfangs des berechtigten Interesses (wenn personenbezogene Daten von einem für die Verarbeitung Verantwortlichen oder einem Dritten verwendet werden können, solange die Rechte und Freiheiten des Einzelnen nicht verletzt werden)
Einführung von „anerkannten berechtigten Interessen“, die keine Prüfung des berechtigten Interesses erfordern
Aufzeichnungen über die Verarbeitung
Reduzierte Verpflichtungen und Ausnahmen für Organisationen mit weniger als 250 Mitarbeitern, bei denen die Verarbeitung kein hohes Risiko darstellt. Das Risikoniveau ist unter Berücksichtigung der Art, des Umfangs, des Kontexts und des Zwecks der Datenverarbeitung zu bestimmen
Internationale Datenübermittlung
Datenschutztest zur Beurteilung des Schutzes durch Vorschriften im Empfängerland bei der Datenübermittlung
Cookies
Die Verwendung von Cookies ist ohne Einholung einer Einwilligung für bestimmte Zwecke zulässig, z. B. um die Nutzung einer Website zu bewerten.
Automatisierte Entscheidungsfindung
Klarstellung, dass eine sinnvolle menschliche Beteiligung unter Berücksichtigung des Ausmaßes der Verwendung von Profiling bei der Entscheidungsfindung beurteilt werden muss
DPDI (Nr. 2)
Forschungszwecke
Hinzufügung des Begriffs „wissenschaftliche Forschungszwecke“, der die kommerzielle und nichtkommerzielle Nutzung umfasst, und Erweiterung der Definition des Begriffs „wissenschaftliche Forschung“
Berechtigtes Interesse
Hinzufügung von Beispielen für Daten von berechtigtem Interesse, wie z. B. Direktmarketing und IT-Sicherheit
Aufzeichnungen über die Verarbeitung
Streichung des Verweises auf die Anzahl der Beschäftigten, nun muss geprüft werden, ob die Verarbeitung wahrscheinlich zu einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen führt
Internationale Datenübermittlung
Klarstellung, dass Mechanismen zur Übermittlung personenbezogener Daten, die vor Inkrafttreten des Gesetzes eingerichtet wurden, gültig sind
Cookies
Keine weiteren Änderungen
Automatisierte Entscheidungsfindung
Eine Definition der automatisierten Entscheidungsfindung liegt vor, wenn es keine sinnvolle menschliche Beteiligung an einer Entscheidung gibt
Bist du bereit für DPDI?
In den nächsten Jahren wird sich die britische Datenschutzgesetzgebung ändern. Dazu gehört auch die Reform der Regeln, die Cookies auf Ihrer Website regeln. Stellen Sie sicher, dass Ihre Cookie-Richtlinie gesetzeskonform ist, und verschaffen Sie sich einen Überblick über Ihre Datenerhebung, indem Sie unser Cookie-Scanner-Tool auf Ihrer Website verwenden.
Wenn Sie Hilfe benötigen, um sicherzustellen, dass Sie konform sind und das Beste aus den neuen Regeln machen, kann CookieHub Ihnen helfen.
Melden Sie sich noch heute für eine kostenlose Testversion an.