Data Advocacy für das Vereinigte Königreich

Nach dem Austritt des Vereinigten Königreichs aus der Europäischen Union hat die britische Regierung die Datenschutz-Grundverordnung (Verordnung (EU) 2016/679) in nationales Recht des Vereinigten Königreichs umgesetzt (und damit die "UK GDPR" geschaffen). Dabei hat das Vereinigte Königreich eine Reihe von technischen Änderungen an der DSGVO vorgenommen, um ihrem Status als nationales Recht des Vereinigten Königreichs Rechnung zu tragen (z. B. die Änderung von Verweisen auf "Mitgliedstaat" in "Vereinigtes Königreich"). Diese Änderungen wurden im Rahmen der Data Protection, Privacy, and Electronic Communications (Amendments, etc.) (EU Exit) Regulations 2019 vorgenommen. Alle wesentlichen Verpflichtungen der für die Verarbeitung Verantwortlichen und der Auftragsverarbeiter bleiben nach der britischen Datenschutz-Grundverordnung dieselben wie nach der EU-DSGVO.

Der Data Protection Act 2018 ("DPA") bleibt als nationales Datenschutzgesetz in Kraft und ergänzt die britische DSGVO-Regelung. Es befasst sich mit Angelegenheiten, für die zuvor Ausnahmen und Befreiungen von der EU-DSGVO zulässig waren (z. B. wesentliche Grundlagen des öffentlichen Interesses für die Verarbeitung besonderer Datenkategorien und kontextspezifische Ausnahmen von Teilen der DSGVO wie den Rechten der Betroffenen).

Im Vereinigten Königreich gilt für die für die Verarbeitung Verantwortlichen eine Gebührenregelung gemäß den Data Protection (Charges and Information) Regulations 2018, die als "Data Protection Fee" bekannt ist. Alle für die Verarbeitung Verantwortlichen müssen die Datenschutzgebühr jährlich an das ICO entrichten, sofern sie nicht davon befreit sind.

Nach der britischen Datenschutz-Grundverordnung ist jeder für die Verarbeitung Verantwortliche oder jeder Auftragsverarbeiter verpflichtet, einen Datenschutzbeauftragten zu benennen, wenn er einen oder mehrere der folgenden Tests erfüllt:

sie ist eine öffentliche Behörde;

seine Kerntätigkeit aus Verarbeitungen besteht, die aufgrund ihrer Art, ihres Umfangs oder ihrer Zwecke eine regelmäßige und systematische Überwachung der betroffenen Personen in großem Umfang erfordern; oder

seine Haupttätigkeit in der Verarbeitung sensibler personenbezogener Daten in großem Umfang besteht.

Die für die Verarbeitung Verantwortlichen und die Auftragsverarbeiter müssen sicherstellen, dass der DSB "ordnungsgemäß und rechtzeitig in alle Fragen einbezogen wird, die den Schutz personenbezogener Daten betreffen" (Artikel 38 Absatz 1), und der DSB muss direkt der höchsten Führungsebene unterstellt sein, darf bei der Wahrnehmung seiner Aufgaben keine Anweisungen erhalten und darf nicht entlassen oder für die Wahrnehmung dieser Aufgaben bestraft werden (Artikel 38 Absatz 3).

Die für die Verarbeitung Verantwortlichen sind für die Einhaltung einer Reihe von Grundprinzipien verantwortlich, die für die gesamte Verarbeitung personenbezogener Daten gelten. Nach diesen Grundsätzen müssen personenbezogene Daten aufbewahrt werden (Artikel 5):

  • Rechtmäßige, faire und transparente Verarbeitung (Grundsatz der Rechtmäßigkeit, Fairness und Transparenz");
  • für festgelegte, eindeutige und rechtmäßige Zwecke erhoben und nicht in einer Weise weiterverarbeitet werden, die mit diesen Zwecken unvereinbar ist (Grundsatz der Zweckbindung");
  • angemessen, sachdienlich und auf das im Hinblick auf den/die Zweck(e) erforderliche Maß beschränkt sein (Grundsatz der Datenminimierung");
  • korrekt und gegebenenfalls auf dem neuesten Stand sein (Grundsatz der Korrektheit");
  • in einer Form aufbewahrt werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die die Daten verarbeitet werden, erforderlich ist (Grundsatz der Speicherbegrenzung"), und
  • in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten durch geeignete technische und organisatorische Maßnahmen gewährleistet (Grundsatz der Integrität und Vertraulichkeit").

"Personenbezogene Daten" werden definiert als "alle Informationen über eine bestimmte oder bestimmbare natürliche Person" (Artikel 4). Die Schwelle für "bestimmbar" ist niedrig angesetzt - wenn die natürliche Person mit "allen Mitteln, die nach vernünftigem Ermessen verwendet werden können" (Erwägungsgrund 26), identifiziert werden kann, handelt es sich um personenbezogene Daten. Auch ein Name ist nicht erforderlich - jede Kennung reicht aus, z. B. eine Identifikationsnummer, eine Telefonnummer, Standortdaten oder andere Faktoren, die zur Identifizierung dieser natürlichen Person beitragen können.

Rechte der betroffenen Person
Betroffene Personen haben eine Reihe von Rechten zur Kontrolle der Verarbeitung ihrer personenbezogenen Daten, die denen der EU-DSGVO entsprechen. Die für die Verarbeitung Verantwortlichen müssen standardmäßig innerhalb eines Kalendermonats Auskunft über die auf Anfragen ergriffenen Maßnahmen erteilen, wobei der für die Verarbeitung Verantwortliche das begrenzte Recht hat, diese Frist zu verlängern, und zwar um weitere zwei Monate, wenn die Anfrage belastend ist.

Recht auf Auskunft (Artikel 15)
Eine betroffene Person hat das Recht, Auskunft über ihre personenbezogenen Daten zu verlangen und eine Kopie dieser Daten sowie vorgeschriebene Informationen darüber zu erhalten, wie die Daten von dem für die Verarbeitung Verantwortlichen verwendet wurden.

Recht auf Berichtigung (Artikel 16)
Die betroffenen Personen können verlangen, dass unrichtige oder unvollständige personenbezogene Daten unverzüglich berichtigt oder ergänzt werden.

Recht auf Löschung ("Recht auf Vergessenwerden") (Artikel 17)
Betroffene Personen können die Löschung ihrer personenbezogenen Daten verlangen. Dieses Recht ist nicht absolut; es besteht nur unter ganz bestimmten Umständen, insbesondere wenn der für die Verarbeitung Verantwortliche die Daten nicht mehr für die Zwecke benötigt, für die sie erhoben oder auf andere Weise rechtmäßig verarbeitet wurden, oder als Folge der erfolgreichen Ausübung des Widerspruchsrechts oder des Widerrufs der Einwilligung.

Recht auf Einschränkung der Verarbeitung (Artikel 18)
Betroffene Personen haben das Recht, die Verarbeitung ihrer personenbezogenen Daten unter bestimmten Umständen einzuschränken. Dazu gehören Fälle, in denen die Richtigkeit der Daten bestritten wird, in denen die Verarbeitung unrechtmäßig ist, in denen die Daten nicht mehr benötigt werden, um Rechtsansprüche der betroffenen Person zu wahren, oder in denen die berechtigten Gründe für die Verarbeitung durch den für die Verarbeitung Verantwortlichen bestritten werden.

Recht auf Datenübertragbarkeit (Artikel 20)
Ist die Verarbeitung personenbezogener Daten gerechtfertigt, weil die betroffene Person in die Verarbeitung eingewilligt hat, oder ist die Verarbeitung für die Erfüllung eines Vertrags erforderlich, so hat die betroffene Person das Recht, alle sie betreffenden personenbezogenen Daten, die sie betreffen, in einem strukturierten, gängigen und maschinenlesbaren Format (z. B. in gängigen Dateiformaten, die von gängigen Softwareanwendungen erkannt werden, wie .xsl) zu erhalten oder einem anderen für die Verarbeitung Verantwortlichen zu übermitteln.

Recht auf Widerspruch (Artikel 21)
Betroffene Personen haben das Recht, der Verarbeitung auf der Rechtsgrundlage der berechtigten Interessen des für die Verarbeitung Verantwortlichen zu widersprechen oder wenn die Verarbeitung im öffentlichen Interesse liegt. Die für die Verarbeitung Verantwortlichen müssen dann die Verarbeitung der Daten so lange aussetzen, bis sie "zwingende schutzwürdige Gründe" für die Verarbeitung nachweisen können, die gegenüber den Rechten der betroffenen Person überwiegen.

Darüber hinaus haben die betroffenen Personen das uneingeschränkte Recht, der Verarbeitung personenbezogener Daten für Zwecke der Direktwerbung jederzeit zu widersprechen.

Das Recht, keiner automatisierten Entscheidungsfindung, einschließlich Profiling, unterworfen zu werden (Artikel 22)

Eine automatisierte Entscheidungsfindung (einschließlich Profiling), "die für [die betroffene Person] ... rechtliche Folgen hat oder sie in ähnlicher Weise erheblich beeinträchtigt", ist nur zulässig, wenn:

für den Abschluss oder die Erfüllung eines Vertrags erforderlich sind;
nach britischem Recht zulässig; oder
die betroffene Person ihre ausdrückliche (d.h. Opt-in) Zustimmung gegeben hat.

Die Übermittlung personenbezogener Daten durch einen für die Verarbeitung Verantwortlichen oder einen Auftragsverarbeiter in Drittländer außerhalb des Vereinigten Königreichs ist nur zulässig, wenn die in der britischen Datenschutz-Grundverordnung festgelegten Bedingungen erfüllt sind (Artikel 44).

Übermittlungen in Drittländer sind ebenfalls zulässig, wenn der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter geeignete Garantien bietet und unter der Bedingung, dass durchsetzbare Rechte der betroffenen Person und wirksame Rechtsbehelfe für die betroffene Person verfügbar sind (Artikel 46). Die Liste der geeigneten Garantien umfasst unter anderem verbindliche unternehmensinterne Vorschriften und Standardvertragsklauseln mit zusätzlichen Garantien, die den betroffenen Personen und ihren personenbezogenen Daten ein im Wesentlichen gleichwertiges Schutzniveau garantieren1.

Überweisungen aus der EU in das Vereinigte Königreich

Das Vereinigte Königreich ist nun ein Drittland im Sinne von Kapitel V der EU-DSGVO. Das zwischen der EU und dem Vereinigten Königreich geschlossene Handelsabkommen schafft hier Abhilfe, indem es die Übermittlung personenbezogener Daten aus der EU in das Vereinigte Königreich für einen Zeitraum von bis zu sechs Monaten ab dem 1. Januar 2021 rechtmäßig macht. Dieser "Überbrückungszeitraum" soll der EU die nötige Zeit verschaffen, um einen förmlichen Angemessenheitsbeschluss zu verabschieden, der den weiteren Fluss personenbezogener Daten in das Vereinigte Königreich zumindest für eine Übergangszeit ermöglicht (unter der Voraussetzung, dass das Vereinigte Königreich keine eigenen Angemessenheitsbeschlüsse verabschiedet oder neue SCCs genehmigt, die über die bereits von der EU genehmigten hinausgehen, ohne vorherige Zustimmung der EU). Die Gemeinsame Erklärung der EU und des Vereinigten Königreichs, die zusammen mit dem Handelsabkommen veröffentlicht wurde, enthält eine klare Verpflichtung der EU, in naher Zukunft eine positive Angemessenheitsentscheidung für das Vereinigte Königreich zu erreichen.

Die britische Datenschutz-Grundverordnung enthält die allgemeine Vorschrift, dass der für die Verarbeitung Verantwortliche eine Verletzung des Schutzes personenbezogener Daten dem ICO melden muss, und dass schwerwiegendere Verletzungen auch den betroffenen Personen mitgeteilt werden müssen. Eine "Verletzung des Schutzes personenbezogener Daten" ist ein weit gefasster Begriff, der definiert ist als jede "Verletzung der Sicherheit, die zur zufälligen oder unrechtmäßigen Zerstörung, zum Verlust, zur Veränderung, zur unbefugten Weitergabe oder zum unbefugten Zugang zu übermittelten, gespeicherten oder anderweitig verarbeiteten personenbezogenen Daten führt" (Artikel 4).

Der für die Verarbeitung Verantwortliche muss dem ICO eine Verletzung unverzüglich und nach Möglichkeit spätestens 72 Stunden, nachdem er davon Kenntnis erlangt hat, melden, es sei denn, der für die Verarbeitung Verantwortliche stellt fest, dass die Verletzung wahrscheinlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Wenn die Verletzung des Schutzes personenbezogener Daten wahrscheinlich zu einem hohen Risiko für natürliche Personen führt, muss der für die Verarbeitung Verantwortliche auch die betroffenen Personen unverzüglich benachrichtigen (Artikel 34).

Tritt der Verstoß auf der Ebene des Auftragsverarbeiters auf, so ist dieser verpflichtet, den für die Verarbeitung Verantwortlichen unverzüglich nach Bekanntwerden des Verstoßes zu benachrichtigen (Artikel 33 Absatz 2).

Die für die Verarbeitung Verantwortlichen sind außerdem verpflichtet, Aufzeichnungen über alle Datenschutzverletzungen (Artikel 33 Absatz 5) zu führen (unabhängig davon, ob sie der Aufsichtsbehörde gemeldet wurden oder nicht) und Prüfungen dieser Aufzeichnungen durch die ICO zuzulassen.

Die britische Datenschutz-Grundverordnung wird für die meisten elektronischen Marketingaktivitäten gelten, da diese in gewissem Umfang die Verwendung personenbezogener Daten beinhalten (z. B. eine E-Mail-Adresse, die den Namen des Empfängers enthält). Die plausibelsten Rechtsgrundlagen für elektronisches Marketing sind die Einwilligung oder die berechtigten Interessen des für die Verarbeitung Verantwortlichen (auf die in Erwägungsgrund 47 ausdrücklich als geeignete Grundlage verwiesen wird). Wenn man sich auf die Einwilligung beruft, sind die strengen Standards für die Einwilligung gemäß der britischen Datenschutz-Grundverordnung zu beachten, und die Einwilligungsformulare für das Marketing müssen immer klar formulierte Opt-in-Mechanismen enthalten (wie z. B. das Ankreuzen eines nicht angekreuzten Einwilligungskästchens oder die Unterzeichnung einer Erklärung und nicht nur die Annahme von Geschäftsbedingungen oder eine durch das Verhalten, wie z. B. den Besuch einer Website, implizierte Einwilligung).

Jede Direktmarketingmitteilung darf die Identität des Absenders nicht verschleiern oder verbergen und muss die oben erwähnte Funktion zur Abmeldung enthalten.

Die Beschränkungen für das Marketing per E-Mail/SMS gelten nur für Einzelpersonen, nicht aber für Unternehmen, die sich als Abonnenten bewerben.

Die PEC-Verordnungen (in ihrer geänderten Fassung) befassen sich mit der Erhebung von Standort- und Verkehrsdaten durch Anbieter öffentlicher elektronischer Kommunikationsdienste ("CSPs") und der Verwendung von Cookies (und ähnlichen Technologien).

Die Verwendung und Speicherung von Cookies und ähnlichen Technologien erfordern:

  • klare und umfassende Informationen, und
  • die Zustimmung des Nutzers der Website.

Das ICO hat 2019 einen umfassenden Leitfaden zur Verwendung von Cookies und ähnlichen Technologien veröffentlicht. Im Einklang mit dem Standard für "GDPR-ähnliche" Einwilligungen im Rahmen der PEC-Verordnungen legt dieser Leitfaden die Messlatte für die Erwartungen des ICO an die Einholung von Einwilligungen für Cookies deutlich höher. Es ist nun klar, dass das ICO erwartet, dass die Zustimmung auf einer klaren Opt-in-Basis eingeholt wird - eine stillschweigende Zustimmung (wie das weitere Browsen auf einer Website, nachdem ein Cookie-Banner angezeigt wurde) ist nicht mehr ausreichend. Stattdessen werden Einwilligungsmodule für Cookies, die den Nutzern eine detaillierte Auswahl an Cookies (in der Regel nach Zweck) ermöglichen, immer mehr zur Norm, um den Leitlinien zu entsprechen.

Die Zustimmung ist nicht erforderlich für Cookies, die es sind:

  • ausschließlich zum Zweck der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz verwendet werden, oder
  • die für die Erbringung einer vom Nutzer angeforderten Dienstleistung unbedingt erforderlich sind.

Die britische Datenschutz-Grundverordnung ermächtigt die Aufsichtsbehörden, Geldbußen von bis zu 4 % des weltweiten Jahresumsatzes oder 17,5 Mio. GBP (je nachdem, welcher Betrag höher ist) zu verhängen.

Das ICO ist nicht verpflichtet, Geldbußen zu verhängen, muss aber in jedem Fall sicherstellen, dass die verhängten Sanktionen wirksam, verhältnismäßig und abschreckend sind (Artikel 83 Absatz 1).

Geldbußen können in Kombination mit anderen Sanktionen verhängt werden. Bislang hat das ICO im Rahmen der DSGVO mehrere Geldbußen verhängt, die zwischen 275 000 GBP und 20 Millionen GBP liegen.

Die Kontaktdaten der ICO lauten:

Wycliffe Haus
Water Lane, Wilmslow
Cheshire SK9 5AF

www.ico.org.uk