Der Inside-Out-Sicherheits Blog - Der Inside-Out-Sicherheits Blog

Ein anderer Name für DSGVO: Das neue britische Datenschutzgesetz (Data Protection Bill)

Geschrieben von Michael Buckbee | Dec 8, 2017 11:16:00 AM

Im letzten Monat wurde im Vereinigten Königreich die endgültige Version eines Gesetzes veröffentlicht, das die derzeitigen Datensicherheits- und Datenschutzvorschriften ersetzen soll. Für diejenigen, die das Brexit-Drama, das sich derzeit in London abspielt, nicht verfolgt haben: Die Data Protection Bill (DPB) wird es britischen Unternehmen ermöglichen, auch nach der „Scheidung“ weiterhin Geschäfte mit der EU zu tätigen.

Das Vereinigte Königreich verfügt damit über Datenrichtlinien, die im Grunde mit der EU-Datenschutz-Grundverordnung (DSGVO) identisch sind, allerdings clever als „DPB“ getarnt. Verlassene Liebhaber, Trennungen, falsche Identitäten… es klingt ein wenig wie eine Shakespeare-Komödie (oder Mrs. Doubtfire).

Für Unternehmen, die diese Veränderungen tragen müssen, ist es alles andere als das.

Kurzfristig

Derzeit gilt im Vereinigten Königreich das Datenschutzgesetz (Data Protection Act, DPA), welches die EU-Datenschutzrichtlinie (95/46/EC) in ein nationales Gesetzt umsetzt. Ab Mai 2018 gilt im Vereinigten Königreich dann die DSGVO, deren Ziel es ist, alle getrennten nationalen Datensicherheitsgesetze, wie etwa das Datenschutzgesetz im Vereinigten Königreich, in einem einzigen Regelwerk zu harmonisieren und eine einheitliche Durchsetzungsstruktur zu schaffen.

Zwischen Mai 2018 und dem Datum, an dem die britische Regierung die DPB offiziell erlässt, wird die DSGVO auch das Datensicherheits- und Datenschutzgesetz für das Vereinigte Königreich sein. Voraussichtlich wird die DPB noch vor dem Brexit (der sich im März 2019 vollziehen soll) verabschiedet werden.

Da die DSGVO bald zum Datensicherheits- und Datenschutzgesetz im Vereinigten Königreich wird und das DPA ersetzt, arbeiten die Unternehmen mit Hochdruck daran, die neuen Richtlinien zu erfüllen, insbesondere das Recht auf Vergessenwerden, die 72-Stunden-Meldefrist bei Verstößen an die Behörden und die verbesserte Aufzeichnung von Verarbeitungstätigkeiten. Theoretisch sollte die DPB den britischen Unternehmen einen relativ einfachen Übergang ermöglichen.

 

Einige Unterschiede

Wie einige Kommentatoren betonen (und ich persönlich bestätigen kann), handelt es sich beim DPB nicht um eine einfache Rechtsvorschrift — auch wenn man das glauben könnte. Der Gesetzesentwurf geht davon aus, dass die DSGVO-Regeln für Großbritannien gelten, sodass er nicht einmal den eigentlichen Text kopiert.

Was steht also auf den restlichen 200 Seiten des Gesetzes?

Ein Großteil befasst sich mit Ausnahmen, Einschränkungen, Klarstellungen, die durch die DSGVO genehmigt werden und die die britische DPB im Kleingedruckten vollständig nutzt.

Der Kernpunkt des Gesetzes befindet sich im zweiten Teil, in dem verschiedene Änderungen — im Bereich personenbezogene Daten im Zusammenhang mit Gesundheit, wissenschaftliche Forschung, strafrechtliche Ermittlungen, Mitarbeitersicherheit und öffentliches Interesse — dargelegt sind. Die eigentlichen Details sind am Ende der DPB in einem langen Abschnitt über „Zeitabläufe“ vergraben.

So gelten DSGVO-Artikel zum Recht auf Löschung, zur Datenberichtigung und über Einwände gegen die Verarbeitung nicht für Ermittlungen z. B. im Bereich der finanziellen Misswirtschaft oder für Amtsmissbrauch von Beamten. Tatsächlich verlieren die Ziele einer Untersuchung die Kontrolle über ihre Daten.

Das DPB ist auch deshalb komplex, weil es einen kompletten Satz an DSGVO-ähnlichen Sicherheits- und Datenschutzrichtlinien für die Strafverfolgungs- und nationale Sicherheitsdienste enthält: Die DPB setzt hier eine weitere EU-Richtlinie um, nämlich die Richtlinie (EU) 2016/680 „zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung“. Am Ende des Dokuments gibt es außerdem noch eine lange Liste von Ausnahmen, die in noch mehr Zeitpläne und Tabellen gepackt sind.

Das Ziel des Brexit war, sich den EU-Vorschriften zu entziehen. Wie man aber hier sieht, hält die Data Protection Bill im Wesentlichen an den bisherigen europäischen Richtlinien fest.

 

Unternehmen aufgepasst: Die neuen Prüfkompetenzen des ICO

Dies bedeutet jedoch nicht, dass das neue britische Gesetz keine Überraschungen zu bieten hat.

Der DPB räumt den Aufsichtsbehörden des britischen Information Commission’s Office (ICO) neue Untersuchungsbefugnisse durch “Beurteilungsbescheide” ein. Diese Mitteilungen ermöglichen den ICO-Mitarbeitern, Unternehmen und Organisationen zu betreten, Dokumente und das Equipment zu prüfen und die Verarbeitung personenbezogener Daten zu beobachten. Die britischen Regulierungsbehörden werden also die Möglichkeit haben, die Einhaltung der Datenschutzbestimmungen eines Unternehmens zu überprüfen.

Im Rahmen des bestehenden DPA kann das ICO diese nicht freiwilligen Bewertungen nur gegen Regierungsbehörden wie den NHS (die staatliche Gesundheitsversorgung) anordnen. Die DBP weitet die obligatorische Datensicherheitsprüfung auf den privaten Sektor aus.

Wenn das ICO entscheidet, dass die Organisation nicht die DPD-Compliance erfüllt, können diese Prüfungen zu Durchsetzungsbescheiden führen, in denen die Sicherheitsmängel herausgestellt werden und ein Zeitplan festgelegt wird, bis wann sie korrigiert werden müssen.

Die eigentliche Stärke des ICO liegt in seiner Macht, Geldbußen von bis zu 4 Prozent des weltweiten Umsatzes eines Unternehmens zu verhängen. Dies ist dieselbe Größenordnung, die auch die DSGVO vorsieht

Kurzum: DPB und DSGVO sind Zwillinge.

Für britische Unternehmen (wie auch für internationale, die ihren Sitz im Vereinigten Königreich haben), die bereits Sicherheitskontrollen und -verfahren umsetzen (basierend auf anerkannten Standards wie ISO 27001), sollte es nicht so schwierig sein, die DPB-Richtlinien einzuhalten.

Für Unternehmen, die grundlegende Datenverwaltungspraktiken vernachlässigt haben, insbesondere für die enormen Datenmengen, die in Unternehmensdateisystemen zu finden sind, wird die DPD jedoch ein Schock sein.

CSOs, CIOs und CPOs in diesen Unternehmen werden sich diese Frage stellen müssen: möchten wir unsere eigenen Bewertungen durchführen und Datensicherheit verbessern oder soll das ICO dies für uns übernehmen?

Ich denke, die Antwort liegt auf der Hand!