Was das Gesetz zum Datenschutz und zu digitalen Informationen für Unternehmen bedeutet
Inhaltsverzeichnis:
Nach Angaben der Regierung war die digitale Wirtschaft des Vereinigten Königreichs im Jahr 259 schätzungsweise 2021 Milliarden Pfund wert. Und es machte 85 % der gesamten Dienstleistungsexporte aus. Aus diesem Grund warten Unternehmen sehnsüchtig auf eines der bedeutendsten Gesetzesvorhaben der Post-Brexit-Ära: das Gesetz zum Datenschutz und zu digitalen Informationen (DPDI). Die Gesetzgebung wurde erstmals im Sommer 2022 eingeführt und kurz darauf zur Konsultation mit Branchenexperten und Wirtschaftsführern ausgesetzt wird jetzt angepriesen als eine Möglichkeit für britische Unternehmen, den Papierkram zu reduzieren und Handelshemmnisse abzubauen, ohne die Privatsphäre und den Datenschutz zu gefährden.
Aber könnten seine Bestimmungen tatsächlich den bürokratischen Aufwand für Organisationen erhöhen, zu einer Zeit, in der sie in den USA bereits mit neuen Compliance-Auflagen überlastet sind?
Was steht im Gesetzentwurf?
Es gibt viel zu entdecken aus dem Versuch des Vereinigten Königreichs, eine eigene Version der DSGVO zu erstellen. Es handelt sich um eine Mischung aus Klarstellungen und Ausnahmen, die darauf abzielen, das Gesetz unternehmensfreundlicher zu gestalten, ohne den Angemessenheitsstatus des Vereinigten Königreichs zu beeinträchtigen, was den Datenfluss in die und aus der EU gefährden würde.
Eine der wichtigsten Änderungen besteht darin, sicherzustellen, dass nur Organisationen, die sich mit der Datenverarbeitung mit „hohem Risiko“ befassen, beispielsweise solche, die große Mengen an Gesundheitsdaten verarbeiten, Aufzeichnungen führen müssen. Dadurch soll der Papierkram für viele Unternehmen reduziert werden. Mit den neuen Regeln soll auch klargestellt werden, wann Organisationen Daten verarbeiten dürfen, ohne dass eine Einwilligung erforderlich ist, etwa wenn es im öffentlichen Interesse liegt, personenbezogene Daten weiterzugeben, um Straftaten zu verhindern.
Es wurden weitere Klarstellungen vorgenommen, um das Vertrauen in KI zu stärken, indem festgelegt wurde, wann Schutzmaßnahmen für die automatisierte Entscheidungsfindung oder Profilerstellung gelten müssen, die für viele Geschäftsmodelle von entscheidender Bedeutung sind. Und es gibt neue Regeln, die darauf ausgelegt sind, dass kommerzielle Organisationen bei der Durchführung von Forschungsarbeiten von den gleichen Schutzmaßnahmen profitieren können wie Akademiker. Damit ist jede Forschung gemeint, die „vernünftigerweise als wissenschaftlich bezeichnet werden kann“. Das Ziel besteht erneut darin, den bürokratischen Aufwand und die Rechtskosten für Forscher zu reduzieren und gleichzeitig mehr wissenschaftliche Forschung im privaten Sektor voranzutreiben.
Weitere Abweichungen von der DSGVO umfassen einen neuen Rahmen für die optionale digitale Überprüfung, erhöhte Bußgelder für belästigende Anrufe und Textnachrichten auf bis zu 4 % des weltweiten Umsatzes oder 17.5 Mio. £ sowie die Schaffung eines neuen gesetzlichen Gremiums für die Regulierungsbehörde, das Information Commissioner's Office (ICO). ). Es gibt auch Vorschläge, die Anzahl der Einwilligungs-Popups zu reduzieren, die Internetnutzer online sehen, was im Endeffekt bedeutet, dass Unternehmen Tracking-Technologien auf Websites und Apps ohne vorherige Zustimmung des Endnutzers für Analysen verwenden können.
Was die Regierung verspricht
Es überrascht nicht, dass die Regierung von allen Dächern schreit, welche potenziellen Vorteile ihre neue Version der DSGVO mit sich bringen wird. Sie behauptete, die Reformen würden im kommenden Jahrzehnt Einsparungen in Höhe von 4.7 Milliarden Pfund für britische Organisationen freisetzen, ohne den internationalen Datenfluss zu behindern. Tatsächlich behauptet die Regierung, dass die Änderungen das weltweite Vertrauen in ihr Regulierungssystem stärken und so den internationalen Handel noch weiter ankurbeln werden. Die Gesetzgebung wird dazu beitragen, die Belastung kleiner Unternehmen zu verringern, insbesondere durch das, was die Regierung als unflexibles, von oben nach unten gerichtetes europäisches Gesetz bezeichnet.
Ein weiteres Thema ist die Stärkung des Vertrauens von Unternehmen – sowohl hinsichtlich der Frage, wann sie personenbezogene Daten ohne Einwilligung verarbeiten dürfen, als auch hinsichtlich der Klärung, wann beim Einsatz von KI-Technologien Schutzmaßnahmen gelten müssen.
Die Ministerin für Wissenschaft, Innovation und Technologie, Michelle Donelan, betonte gern, dass der Gesetzentwurf von Anfang an gemeinsam mit Unternehmen „entworfen“ worden sei.
„Unser System wird leichter zu verstehen und leichter einzuhalten sein und wir werden die vielen Möglichkeiten Großbritanniens nach dem Brexit nutzen können. Unsere Unternehmen und Bürger müssen sich nicht länger mit der barrierebasierten europäischen DSGVO herumschlagen“, sagte sie bei der Einführung.
„Unsere neuen Gesetze befreien britische Unternehmen von unnötigem bürokratischen Aufwand, um neue Entdeckungen zu erschließen, Technologien der nächsten Generation voranzutreiben, Arbeitsplätze zu schaffen und unsere Wirtschaft anzukurbeln.“
Könnte der Gesetzentwurf die Bürokratie erhöhen?
Es bestehen jedoch Bedenken, dass die Gesetzgebung die Bürokratie für einige Organisationen nicht nur beseitigen, sondern sogar erhöhen könnte. Antonis Patrikios, Partner und globaler Co-Leiter der Datenschutz- und Cybersicherheitspraxis bei Dentons, erklärt, dass Unternehmen, die ihr bestehendes DSGVO-Compliance-Framework nicht ändern möchten, dies mit der neuen Gesetzgebung nicht tun müssen.
„Der Gesetzentwurf sieht vor, dass Organisationen weiterhin die EU-DSGVO einhalten können, wenn sie dies wünschen, und dies wird als Erfüllung der Anforderungen des neuen britischen Datenschutzgesetzes angesehen. Organisationen, die nicht von den durch den Gesetzentwurf eingeführten Änderungen betroffen sein möchten, müssen dies also nicht tun“, sagt er gegenüber ISMS.online.
Allerdings würde dies zwar die potenzielle Compliance-Belastung verringern, insbesondere für diejenigen mit europäischen Niederlassungen, aber auch bedeuten, dass diese Organisationen nicht von den vielgepriesenen Vorteilen der neuen Gesetzgebung profitieren könnten. Wer dies möchte, muss effektiv zwei separate Compliance-Rahmenwerke beibehalten, eines für seine EU-Aktivitäten (DSGVO) und eines für das Vereinigte Königreich (DPDI).
Patrikios gibt das zu.
„Von den Organisationen, die gerne von den gestrafften (und wahrscheinlich einfacher einzuhaltenden) überarbeiteten Anforderungen des britischen Rechts Gebrauch machen möchten, müssen diejenigen, die sowohl personenbezogene Daten des Vereinigten Königreichs als auch personenbezogener Daten der EU verarbeiten, etwas mehr darüber nachdenken, inwieweit dies der Fall ist.“ worauf sie sich auf das überarbeitete britische Recht verlassen wollen und wie sie in der Praxis das Zusammenspiel zwischen der Anwendung eines Standards (d. h. der EU-DSGVO) für ihre EU-Daten und eines anderen Standards (d. h. des überarbeiteten britischen Datenschutzgesetzes) für ihre britischen Daten bewältigen werden, " er sagt.
Es besteht auch die Frage, ob eine Vereinfachung der Compliance überhaupt im besten Interesse von Organisationen ist, insbesondere wenn dies unbeabsichtigte Folgen hat. Laut Edward Machin, einem leitenden Anwalt in der Daten-, Datenschutz- und Cybersicherheitspraxis von Ropes & Gray, ist die Abschaffung der Aufzeichnungspflicht für die meisten Datenverarbeiter mit geringem Risiko ein solcher Fall.
„Obwohl sich niemand über die Reduzierung des Papierkrams beschweren wird, bedeutet die Abschaffung der Verpflichtung für die meisten Unternehmen, persönliche Datenbestände zu führen, dass sie möglicherweise Schwierigkeiten haben zu verstehen, wie und wo sie Daten speichern, was niemandem nützt“, argumentiert er.
Wie Unternehmen die zusätzliche Arbeitsbelastung bewältigen können
Jede Zunahme der Compliance-Arbeit für britische Organisationen wird zu einem arbeitsreichen Zeitpunkt erfolgen. Es wird erwartet, dass in diesem Jahr sieben Bundesstaaten, darunter Colorado, Connecticut, Utah und Virginia, mit der Durchsetzung neuer, von der DSGVO inspirierter Gesetze beginnen werden. Die zusätzliche Arbeitsbelastung droht, überlastete Compliance-Teams zu überfordern.
„Zusätzlich zur Reform des britischen Datenschutzrechts und den Reformprozessen zum Datenschutzrecht der US-Bundesstaaten gibt es neue Datenschutzgesetze und/oder sich entwickelnde Leitlinien und Praktiken in wichtigen Märkten wie China, Indien und Kanada. Wir sollten auch die Reihe von Cybersicherheitsgesetzen (z. B. NIS 2 und DORA) oder Technologieregulierungsgesetzen (wie dem AI Act und DSA) nicht vergessen, die ihren Weg durch den EU-Gesetzgebungsprozess finden“, erklärt Patrikios.
„Organisationen sollten überlegen, welche dieser neuen Gesetze für sie gelten, und dann überlegen, welche Auswirkungen sie voraussichtlich haben werden und wie sie sich darauf vorbereiten können. Dabei ist es unbedingt erforderlich, mit externen Fachberatern zu sprechen, da es sich um neue Regelungen handelt, die zum Teil noch keinen Präzedenzfall haben und daher in der Praxis möglicherweise nur schwer umsetzbar sind. Wenn mehr als ein neues Gesetz gilt, ist die Straffung der Compliance-Bemühungen möglicherweise nicht einfach, und es kann in der Praxis sehr hilfreich sein, einen Überblick darüber zu erhalten, was andere auf dem Markt tun.“
Hier können vertrauenswürdige Partner wie ISMS.online helfen, indem sie ein zentrales Portal bereitstellen, über das Kunden alle ihre Compliance-Bemühungen an einem Ort verwalten können. Noch besser: Wenn einige Aufgaben und Spezifikationen in verschiedenen regulatorischen Rahmenwerken gleich aussehen, kann ISMS.online sicherstellen, dass Teams keine Zeit damit verschwenden, ihre Bemühungen zu duplizieren.
