UK Data Protection Reform Bill v2: Berechtigte Interessen, Cookies und "Papierkram

Das britische Gesetz über Datenschutz und digitale Informationen (Data Protection and Digital Information Bill, DPDIB) wurde am 8. März mit einigen subtilen, aber bedeutenden Änderungen erneut dem Parlament vorgelegt.

Die Regierung schlägt vor das neue Gesetz wird den britischen Unternehmen „Milliarden“ sparen. Campaigners Big Brother Watch aufrufen der Gesetzesentwurf ein „Feuerwerk an Sicherheitsvorkehrungen“. Industriegruppe TechUK sagt die Vorschläge werden dazu beitragen, „die Innovation zu fördern“.

Dieser Artikel befasst sich mit drei wichtigen Bereichen, die sich durch den jüngsten Entwurf der DBDIP ändern werden: Berechtigte Interessen, Cookies sowie Personen und „Papierkram“.

Teil 1: Berechtigte Interessen

Die DPDIB überarbeitet die Bestimmungen der Datenschutz-Grundverordnung zum „berechtigten Interesse“ in zweierlei Hinsicht:

Einige Verarbeitungszwecke gelten standardmäßig als rechtmäßig, ohne dass die für die Verarbeitung Verantwortlichen eine „Bewertung der berechtigten Interessen“ vornehmen müssen.
Andere Verarbeitungszwecke sind als Beispiele für Verarbeitungen aufgeführt, die als berechtigtes Interesse angesehen werden können“. Für diese Zwecke müssen die für die Verarbeitung Verantwortlichen weiterhin eine Bewertung der berechtigten Interessen vornehmen.

Betrachten wir nun die erste Kategorie von Verarbeitungszwecken.

Anerkannte berechtigte Interessen

Mit der DPDIB wird ein neuer Unterabsatz in Artikel 6 DSGVO eingeführt, in dem die Rechtsgrundlagen für die Verarbeitung festgelegt werden:

„Artikel 6 (1) (ea): Die Verarbeitung ist für die Zwecke eines anerkannten berechtigten Interesses erforderlich.“

Bei der Verarbeitung aufgrund eines „anerkannten berechtigten Interesses“ müssen die für die Verarbeitung Verantwortlichen keine „Bewertung der berechtigten Interessen“ durchführen. Mit anderen Worten: Es muss nicht nachgewiesen werden, dass der Nutzen der Verarbeitung die Risiken für die Rechte und Freiheiten der betroffenen Personen überwiegt.

Die DPDIB enthält in Anhang 1 eine Liste der anerkannten berechtigten Interessen. Zu den anerkannten berechtigten Interessen gehören:

Anerkanntes berechtigtes Interesse	Erläuterung
Offenlegung für die Zwecke der in Artikel 6 Absatz 1 Buchstabe e beschriebenen Verarbeitung	Dies ermöglicht es den für die Verarbeitung Verantwortlichen im Wesentlichen, personenbezogene Daten an eine andere Person weiterzugeben, die: fordert die Daten an, und angibt, dass er sie für die Verarbeitung im Rahmen der Rechtsgrundlage „öffentliche Aufgabe“ benötigt, und Unterliegt gemäß Artikel 6 Absatz 3 dem britischen Recht.
Nationale Sicherheit, öffentliche Sicherheit und Verteidigung	Verarbeitung, die notwendig ist für: Wahrung der nationalen Sicherheit. Schutz der öffentlichen Sicherheit. Verteidigung. Diese Begriffe werden in dem Gesetzentwurf nicht definiert.
Notfälle	Verarbeitung, die erforderlich ist, um auf einen Notfall zu reagieren, wie im Civil Contingencies Act 2004 definiert.
Verbrechen	Verarbeitung, die notwendig ist für: Aufdecken, Ermitteln oder Verhindern von Straftaten, oder Ergreifung oder Verfolgung von Straftätern.
Schutz von gefährdeten Personen	„Schutz“ bedeutet, eine gefährdete Person vor Vernachlässigung oder Schaden zu bewahren oder ihr Wohlergehen zu schützen. „Gefährdete Person“ bedeutet entweder: Ein Kind unter 18 Jahren, oder Eine Person über 18, die gefährdet ist. „Gefährdet“ bedeutet, dass die gefährdete Person gefährdet ist: Pflegebedürftig oder unterstützungsbedürftig, Sie sind von Schaden betroffen oder bedroht, Sie sind nicht in der Lage, sich vor Schaden zu schützen.
Demokratisches Engagement	Gewählte Vertreter können personenbezogene Daten von Personen über 14 Jahren für die Zwecke des „demokratischen Engagements“ verarbeiten.

Bemerkenswert ist, dass der Staatssekretär die Liste der anerkannten berechtigten Interessen durch Verordnung ergänzen oder streichen kann.

„Mögliche“ berechtigte Interessen

Ein neues Merkmal des jüngsten Entwurfs der DPDIB ist eine Liste von Zwecken, die im legitimen Interesse der für die Verarbeitung Verantwortlichen liegen „können“.

Die erläuternden Anmerkungen darauf hinweisen, dass diese Beispiele „nur zur Veranschaulichung dienen und nicht erschöpfend sind“. Die für die Verarbeitung Verantwortlichen müssen nach wie vor eine Bewertung der berechtigten Interessen durchführen, bevor sie sich in Bezug auf diese Zwecke auf „berechtigte Interessen“ berufen.

Zu den „möglichen“ berechtigten Interessen gehört die Verarbeitung, die notwendig ist für:

Direktmarketing.
„Gruppeninterne Übermittlung“ personenbezogener Daten zu verwaltungsinternen Zwecken (Datenaustausch zwischen einer Gruppe von Unternehmen oder zwischen Mitgliedern einer Gruppe von Einrichtungen, die einer zentralen Stelle angeschlossen sind).
Gewährleistung der Sicherheit von Netz- und Informationssystemen (gemäß der Definition in den britischenNIS-Verordnungen).

Teil 2: Kekse

Die britische Regierung behauptet, dass die DPDIB die Anzahl der „lästigen“ Cookie-Pop-ups reduzieren wird.

Um dieses Ziel zu erreichen, ändert die DPDIB die britische Umsetzung der Datenschutzrichtlinie für elektronische Kommunikation, die Privacy and Electronic Communications Regulations 2003 (PECR).

Die PECR verbietet es „einer Person“, Informationen auf dem „Endgerät“ eines Teilnehmers oder Nutzers zu speichern oder darauf zuzugreifen, sofern nicht bestimmte Bedingungen erfüllt sind,

Als Abkürzung werden wir dies im Sinne von „Organisationen, die Cookies auf den Geräten der Nutzer setzen“ diskutieren. Bedenken Sie jedoch, dass die Bestimmung weiter gefasst ist und alle Arten von Personen und alle Arten von Technologien abdeckt, die Informationen speichern oder darauf zugreifen.

Standard-Regel: Cookies bedürfen der Mitteilung und Zustimmung

Standardmäßig können Organisationen kein Cookie auf dem Gerät einer Person setzen, es sei denn, die Person hat dies getan:

Sie erhalten „klare und umfassende Informationen“ über den Zweck des Cookies.
Erteilte Zustimmung.

Die DPDIB hebt die Vorschriften der Datenschutzrichtlinie für elektronische Kommunikation über „wesentliche Cookies“, die in der gesamten EU gelten, nicht auf. Diese Cookies können auch ohne Zustimmung gesetzt werden.

In dem Gesetzentwurf wird jedoch klargestellt, welche Zwecke unter die bestehenden Ausnahmen für die Zustimmung zu „wesentlichen Cookies“ fallen. Zu diesen Zwecken gehören die Verhinderung von Betrug, technischen Fehlern und Sicherheitsverletzungen im Zusammenhang mit einem angeforderten Dienst,

Wichtig ist, dass die DPDIB vier zusätzliche Ausnahmen von der Cookie-Zustimmungsregel vorsieht.

Ausnahme 1: Analytik

Organisationen benötigen keine Zustimmung zum Setzen eines Cookies, wenn die folgenden Bedingungen erfüllt sind:

Die Organisation bietet einen „Dienst der Informationsgesellschaft“ (Online-Dienst) an.
Der „einzige Zweck“ des Cookies besteht darin, den Dienst zu verbessern.
Das Cookie sammelt „zu statistischen Zwecken“ Informationen darüber, wie der Dienst (oder eine Website, die zur Bereitstellung des Dienstes verwendet wird) genutzt wird.
Die durch den Cookie gesammelten Informationen werden nicht an andere Personen weitergegeben, es sei denn, diese Person hilft bei der Verbesserung der Website mit.
Der Nutzer erhält klare und umfassende Informationen über den Zweck des Cookies.
Der Nutzer hat eine einfache und kostenlose Möglichkeit, sich abzumelden.

Dies bedeutet im Wesentlichen, dass Analyse-Cookies keine Zustimmung erfordern, sofern bestimmte Bedingungen erfüllt sind.

Ausnahme 2: Responsive Design

Organisationen benötigen keine Zustimmung zum Setzen eines Cookies, wenn die folgenden Bedingungen erfüllt sind:

Die Organisation bietet einen „Dienst der Informationsgesellschaft“ (Online-Dienst) über eine Website an.
Der „einzige Zweck“ des Cookies besteht darin, entweder:
- Anpassung der Funktionen oder des Aussehens der Website an die Präferenzen des Nutzers oder
- Verbesserung der Funktionalität oder des Aussehens der Website.
Der Nutzer erhält klare und umfassende Informationen über den Zweck des Cookies.
Der Nutzer hat eine einfache und kostenlose Möglichkeit, sich abzumelden.

Diese Bestimmung scheint eine bestehende Ausnahmeregelung für Cookies zu erweitern, die für die Bereitstellung eines vom Nutzer angeforderten Dienstes erforderlich sind. In den Erläuterungen wird angedeutet, dass die Bestimmung auch für das „responsive Design“ gelten könnte, bei dem sich eine Website an den Bildschirm oder das Gerät des Nutzers anpasst.

Ausnahme 3: Software-Updates

Organisationen benötigen keine Zustimmung, um bereits auf einem Gerät installierte Software zu aktualisieren wenn die folgenden Bedingungen erfüllt sind:

Die Aktualisierung der Software ist der einzige Zweck des Zugriffs auf oder der Speicherung von Informationen auf dem Gerät.
Die Aktualisierung ist aus Sicherheitsgründen erforderlich.
Die Datenschutzeinstellungen des Nutzers werden durch das Update nicht verändert.
Der Nutzer erhält klare und umfassende Informationen über den Zweck der Aktualisierung.
Der Nutzer hat eine einfache und kostenlose Möglichkeit, sich abzumelden.
Der Benutzer kann die Aktualisierung deaktivieren oder aufschieben, bevor sie wirksam wird.
Der Benutzer kann das Update problemlos deinstallieren oder deaktivieren.

Ausnahme 4: Notfälle

Organisationen benötigen keine Zustimmung für den Zugriff auf oder die Speicherung von Informationen auf einem Gerät, wenn:

Die Organisation erhält eine „Mitteilung“ vom Gerät des Nutzers.
Bei der Mitteilung handelt es sich um ein Ersuchen des Benutzers um Notfallhilfe.
Der einzige Zweck des Zugriffs oder der Speicherung besteht darin, den Standort des Nutzers zu ermitteln, um in Notfällen Hilfe leisten zu können.

Dies bedeutet im Wesentlichen, dass Notdienste (oder andere Organisationen) können aus der Ferne auf den Standort des Geräts einer Person zugreifen, wenn diese im Notfall Hilfe benötigt.

Teil 3: Menschen und „Papierkram

Die Regierung behauptet, dass die DPDIB den Unternehmen im Vereinigten Königreich „Milliarden“ einsparen wird, was größtenteils auf eine Verringerung des „Papierkrams“ zurückzuführen ist. Hier ein Blick darauf, wie der Gesetzentwurf die Vorschriften der britischen Datenschutz-Grundverordnung zu Personal und Verwaltung ändert.

Datenschutzbeauftragter und UK-Vertreter

Mit dem Gesetzentwurf wird die für einige Organisationen geltende Pflicht zur Ernennung eines Datenschutzbeauftragten (DSB) abgeschafft. Organisationen, die bisher verpflichtet waren, einen behördlichen Datenschutzbeauftragten zu bestellen, müssen nun eine „hochrangige verantwortliche Person“ aus der Geschäftsleitung der Organisation benennen.

Die Aufgaben und die Position des leitenden Verantwortlichen ähneln weitgehend denen eines DSB. Das Amt der „leitenden verantwortlichen Person“ kann von zwei oder mehreren Personen gemeinsam ausgeübt werden. Die leitende verantwortliche Person kann Aufgaben an andere Personen innerhalb der Organisation delegieren.

Organisationen, die nicht im Vereinigten Königreich ansässig sind, müssen gemäß Artikel 27 der britischen Datenschutz-Grundverordnung keinen britischen Vertreter mehr benennen.

Aufzeichnungen über die Verarbeitung

Durch die DPDIB werden die Pflichten der für die Verarbeitung Verantwortlichen zur Führung eines „Verzeichnisses der Verarbeitungstätigkeiten“ (ROPA) erheblich eingeschränkt.

Die neuen Vorschläge sehen vor, müssen ROPAs nur noch Verarbeitungen abdecken, die ein „hohes Risiko für die Rechte und Freiheiten der betroffenen Personen“ darstellen.

Die neue Fassung des Gesetzentwurfs erweitert die Ausnahmeregelung des ROPA, die bisher nur für Organisationen mit 250 oder weniger Beschäftigten galt, die keine risikoreichen Verarbeitungen vornehmen.

Es gibt noch weitere Änderungen an den Informationen, die aufgezeichnet werden müssen. Der jüngste Entwurf des Gesetzes sieht vor, dass Organisationen nur die „Kategorien“ der Empfänger personenbezogener Daten aufzeichnen müssen, nicht aber die tatsächlichen Identitäten der Empfänger.

Datenschutz-Folgenabschätzungen

Der Gesetzentwurf sieht die Abschaffung der Datenschutz-Folgenabschätzungen (DPIA) vor und ersetzt sie durch die „Bewertung von Verarbeitungen mit hohem Risiko“.

Die DPDIB streicht die Verweise auf die „Verhältnismäßigkeit“ in diesem Abschnitt der britischen Datenschutzgrundverordnung. Eine „systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung“ wird zu einer „Zusammenfassung der Zwecke der Verarbeitung“.

Vorherige Konsultation

Organisationen müssen nicht mehr das Information Commissioner’s Office (ICO) konsultieren, bevor sie eine risikoreiche Verarbeitung vornehmen.

Mit den Vorschlägen würde Artikel 36 der britischen Datenschutz-Grundverordnung dahingehend geändert, dass „der für die Verarbeitung Verantwortliche vor der Verarbeitung den Datenschutzbeauftragten konsultieren muss“ in „der für die Verarbeitung Verantwortliche kann den für die Verarbeitung Verantwortlichen vor der Verarbeitung konsultieren“.

Wir hoffen, dass dieser Leitfaden hilfreich war. Wir danken Ihnen für die Lektüre und wünschen Ihnen viel Erfolg bei der Verbesserung der Datenschutzpraktiken in Ihrem Unternehmen! Bleiben Sie dran und lesen Sie weitere hilfreiche Artikel und Tipps, wie Sie Ihr Geschäft ausbauen und durch die Einhaltung von Datenschutzbestimmungen Vertrauen gewinnen können. Testen Sie die Datenschutzpraktiken Ihres Unternehmens,HIER KLICKEN und erhalten Sie jetzt Ihre sofortige Datenschutzbewertung!