Die britische Regierung hat eine Datenschutzreform vorgeschlagen, die bisherige Standards deutlich schwächt. Trotz des EU-Austritts des Vereinigten Königreichs gilt bislang noch ein Gesetz, das auf der Datenschutzgrundverordnung (DSGVO) der EU aufbaut. Das soll sich mit der „Data Protection and Digital Information Bill“ ändern, die diese Woche im britischen Unterhaus eingebracht wurde. Die Gesetzesänderung könnte große Konsequenzen für Datenflüsse zwischen Großbritannien und der EU haben.
Im Kern soll das neue Gesetz die Datenschutzauflagen für Firmen erleichtern und ihnen damit eine Milliarde Pfund im Jahr an Kosten einsparen. Firmen brauchen demnach keinen Datenschutzbeauftragten mehr, sondern lediglich eine verantwortliche Person. Sie können Anfragen von Personen nach ihren eigenen Daten künftig ablehnen, wenn diese Anfragen „missbräuchlich oder exzessiv“ sind. Das Gesetz schafft außerdem die Möglichkeit, persönliche Daten nach Gutdünken für „Forschungszwecke“ zu verwenden. Die Definition von Forschung sei aber derart breit, „dass private Unternehmen, die jede Art von Produkt entwickeln, sich darauf berufen können“, kritisiert der Datenschutzforscher Michael Veale auf Twitter.
Seit dem britischen EU-Austritt Anfang 2020 haben Stimmen aus der regierenden Konservativen Partei immer wieder angekündigt, die eigenen Datenschutzgesetze zu schwächen, um die Wirtschaft zu „entfesseln“. Zuletzt erklärte Ex-Finanzminister Rishi Sunak, der als Favorit für die Nachfolge von Boris Johnson als Premierminister gehandelt wird, er wolle den überkomplizierten Rechtsrahmen der DSGVO abschaffen, der „britische Technologieunternehmen an Innovationen und die öffentliche Hand am Austausch von Daten zur Verbrechensbekämpfung hindert“.
Cookie-Reform ein gefundenes Fressen für Datenhändler
Bereits vor einigen Wochen kündigte die britische Regierung an, mit der geplanten Reform nervige Cookie-Banner abschaffen zu wollen. Die Reform soll es erleichtern, im Browser ein „Do not track“-Signal zu hinterlegen, aber auch das Datensammeln zu „statistischen Zwecken“ über Websitegrenzen hinaus erlauben – ein gefundenes Fressen für Datenhändler, wie Datenschutzexperte Veale betont. Besonders praktisch sei dies für politische Parteien, denn der Entwurf bezeichne „demokratisches Engagement“ als legitimen Verarbeitungsgrund für persönliche Daten an.
Einfacher machen soll es der Gesetzesentwurf auch für die Strafverfolgungsbehörden. Die Polizei muss nicht mehr spezifisch begründen, warum sie auf bestimmte Datensätze zugreift. Das gebe der Polizei Spielraum, ihre Begründung nach Belieben anzupassen, so Veale. Auch weitere Anpassungen seien demnach möglich, denn der Entwurf gebe der britischen Regierung die Möglichkeit, das Datenschutzgesetz ohne parlamentarische Beteiligung direkt durch Verordnungen anzupassen. „Dies sollte in einer parlamentarischen Demokratie nicht passieren, ist ein Missbrauch von Befugnissen und darf nicht passieren“, betont Veale.
Wie rasch der Änderungsvorschlag tatsächlich Gesetz wird ist noch unklar, da das Vereinigte Königreich derzeit in einer tiefen Regierungskrise steckt. Mit einer Behandlung des Gesetzes im Parlament ist erst im Herbst zu rechnen, wenn die regierenden Konservativen einen Nachfolger oder eine Nachfolgerin für Boris Johnson gefunden haben. Auch dann dürfte es erheblichen Widerstand aus der Zivilgesellschaft geben – die Open Rights Group hat bereits angekündigt, den Vorschlag „mit Zähnen und Klauen zu bekämpfen“.
Datenflüsse in die EU wohl auf dem Prüfstand
Auch welche Auswirkungen die geplanten Änderungen auf die Datenflüsse in die EU haben, ist noch unklar. Seit gut einem Jahr bescheinigt die EU-Kommission dem Vereinigten Königreich in zwei Angemessenheitsbeschlüssen einen vergleichbaren Datenschutzstandard – ähnliche Beschlüsse gibt es auch für Japan, Australien und weitere Staaten. Ob ein Senken des Datenschutzstandards Folgen für den Beschluss haben könnte, ließ die EU-Kommission vorerst offen – sie antwortete zunächst nicht auf eine kurzfristige Anfrage von netzpolitik.org. Der Beschluss sieht allerdings eine Evaluierung vor, wenn es zu wesentlichen Änderungen der gesetzlichen Standards im Vereinigten Königreich kommt. „Aus diesem Grund haben wir umfangreiche Garantien vorgesehen, und falls sich auf Seiten des Vereinigten Königreichs die Gegebenheiten ändern, werden wir sofort eingreifen“, sagte EU-Kommissarin Věra Jourová im Juni 2021.
Wie politisch heikel solche Beschlüsse sein können, zeigt auch die „Privacy-Shield“-Entscheidung der Kommission, die bislang dem freien Datenfluss in die USA eine rechtliche Basis gab. Der Europäische Gerichtshof hat das „Privacy Shield“ auf eine Klage von Max Schrems gekippt. Grund dafür war die Massenüberwachung der US-Geheimdienste, gegen die es bislang keine ausreichenden Schutzmaßnahmen gibt. Trotz erheblicher Zweifel arbeitet die EU-Kommission an einer Nachfolgeregelung. Auch die britische Regierung und ihre Geheimdienste sind für umfangreiche Überwachungsprogramme verantwortlich. Die Datenflüsse nach Großbritannien sind auch wegen diesen nicht vor rechtlichen Zweifeln gefeit.
@netzpolitik: Zur Bildunterschrift. Ich bin mir fast(!) sicher, dass das rechts im Bild nicht Rishi Sunak ist.
Upsi, wir haben das mal unauffällig korrigiert. :}
Dass Großbritannien keinen Wert auf Datenschutz legt, sieht man, wenn man öffentliches WLAN verwenden möchte. Nur, wer eine Registrierung mit Sky abschließt, Telefonnummer, Adresse und Klarnamen angibt, und zustimmt von Sky belästigt zu werden, darf aufs öffentliche WLAN zugreifen. Einer Technologie, der mal früher nachgesagt wurde, kosten- und barrierefrei zu sein.
Aber freie Informationen für Menschen sind leider weniger Wert, als monetarisierte Datensätze ohne unsere Zustimmung. Und der achso böse Terrorist lauert überall.