Schlagwort: UK

EU Kommission nimmt Angemessenheitsbeschluss zum Vereinigten Königreich an

5. Juli 2021

Die Europäische Kommission hat am 28. Juni 2021 den Angemessenheitsbeschluss im Rahmen der Datenschutzgrundverordnung angenommen. Das Datenschutzniveau in Großbritannien wurde damit von der Kommission als angemessen für europäische Standards anerkannt und personenbezogene Daten können nun trotz Brexit ungehindert aus der Europäischen Union in das Vereinigte Königreich übermittelt werden.

Zur Begründung führte die Kommission aus, dass das Vereinigte Königkreich weiterhin auf den selben Regeln basiert, die galten als es noch Mitglied der EU war. Auch die Grundsätze, Rechte und Pflichten der DSGVO seien vollständig in das seit dem Brexit geltende Rechtssystem übernommen worden.

Im Vorfeld war der Angemessenheitsbeschluss häufig wegen des ungehinderten und unkontrollierten Zugriffs britischer Geheimdienste auf personenbezogene Daten in Kritik geraten. Zudem hatte der Europäische Gerichtshof für Menschenrechte (EGMR) im Mai erst ein Urteil erlassen, indem es die Massenüberwachung durch britische Geheimdienste als Verstoß gegen die Menschenrechte gewertet hatte. Auch dieser Kritik begegnete der Beschluss, indem er dem Vereinigten Königreich in Bezug auf den Zugriff auf personenbezogene Daten starke Garantien zusprach. Ein wichtiges Element des Beschlusses ist daher, dass insbesondere die Geheimdienste bei Datenerhebungen der vorherigen Genehmigung durch ein unabhängiges Rechtsorgan unterliegen. Ebenso, dass alle ergriffenen Maßnahmen notwendig und verhältnismäßig sein müssen.

Neu an dem Angemessenheitsbeschluss ist auch, dass dieser erstmals eine sog. Verfallsklausel (“sunset clause”) enthält, durch den die Geltungsdauer des Beschlusses auf vier Jahre begrenzt wird. Während dieser Zeit hat die Kommission angekündigt, dass Datenschutzniveau im Vereinigten Königreich ständig im Blick zu behalten und im Falle von Abweichungen entsprechend einzugreifen. Sollte nach Ablauf der vier Jahre weiterhin ein angemessenes Datenschutzniveu vorliegen, kann der Beschluss auch verlängert werden.

Durch den Angemessenheitsbeschluss hat die Europäische Kommission eine Rechtsgrundlage für Datenübermittlungen in das Vereinigte Königreich für die nächsten vier Jahre geschaffen. Sollte der Beschluss nicht zufrieden stimmen, sind Klagen gegen diesen – ähnlich wie dies mit dem Privacy-Shield im Schrems-II-Urteil geschah – möglich.

Brexit und Datentransfers: Einigung auf Übergangsregelungen

5. Januar 2021

Zum 01.01.2021 wurde der Brexit nun “endlich” offiziell vollzogen, und noch rechtzeitig vor Ablauf der Übergangsfrist konnten sich die EU und das Vereinigte Königreich (UK) auf ein Handels- und Kooperationsabkommen einigen. Dieses ist zwar bisher lediglich provisorisch in Kraft – es fehlt noch die Bestätigung der verschiedenen Institutionen und Mitgliedsstaaten – jedoch dürfte es sich dabei nur noch um eine Formalie handeln.

Vereinigte Königreich nun ein “Drittstaat”

Mit dem Austritt aus der EU ist das Vereinigte Königreich aus datenschutzrechtlicher Sicht nun ein sog. Drittstaat. Dies bedeutet, dass Datentransfers ins Vereinigte Königreich besonders gerechtfertigt werden müssen. Zu diesem Zweck kommt ein Angemessenheitsbeschluss der Kommission in Betracht (Art. 45 DS-GVO), durch welchen bestätigt wird, dass die Datenschutzbestimmungen des Vereinigten Königreichs ein angemessenes Schutzniveau für die übermittelten Daten gewährleisten. Fehlt es an einem solchen Beschluss, kommen die in Art. 46 Abs. 2 DS-GVO genannten Möglichkeiten zur Rechtfertigung in Betracht. Hier würde wie bei Datentransfers in die USA wohl überwiegend auf die sog. Standardvertragsklauseln zurückgegriffen werden, wobei angesichts der Schrems-II-Entscheidung (wir berichteten) fraglich sein könnte, ob diese allein ausreichend sind.

Angemessenheitsbeschluss in Arbeit

Für Rechtssicherheit auf Seiten der betroffenen Unternehmen – und auch für bürokratische Entlastung – würde demnach ein Angemessenheitsbeschluss sorgen. Bereits seit März 2020 arbeitet die Kommission nach eigenen Angaben an einem solchen Beschluss, bisher wurde dieser jedoch noch nicht erlassen. Selbst wenn die Kommission den Beschluss zeitnah erlässt, würde für zusätzliche Verzögerung sorgen, dass dieser auch noch durch den Europäischen Datenschutzausschuss (EDSA) sowie durch die 27 Mitgliedsstaaten bestätigt werden muss.

Weil zwischen dem Ausstritt des Vereinigten Königreichs und dem (möglichen) Erlass des Angemessenheitsbeschlusses eine Lücke entstanden ist, wurde in das Handels- und Kooperationsabkommen eine Übergangsregelung aufgenommen. Diese ermöglicht für die kommenden vier Monate, dass personenbezogene Daten auch ohne ein in den Art. 45 ff. DS-GVO genanntes Instrument übermittelt werden können. Sofern erforderlich und falls keine der beiden Parteien widerspricht, kann sich die Übergangsfrist um weitere zwei Monate – also bis zum 01.07.2021 – verlängern. Bis zu diesem Zeitpunkt ist also für Rechtssicherheit gesorgt.

Und nach Ablauf der Übergangsregelungen?

Was aber passiert, wenn bis zu diesem Datum kein Angemessenheitsbeschluss erlassen wurde? Unmöglich erscheint dies nicht, berücksichtigt man die durch den EuGH gestellten Anforderungen an die Wirksamkeit eines solchen Beschlusses. Auch scheint fraglich, ob die Kommission ein erneutes Szenario wie beim Privacy-Shield riskieren will, also das Abkommen durch den EuGH gekippt wird und dies für erhöhte Rechtsunsicherheit sorgt. Insofern sollten sich die betroffenen Unternehmen auch auf den Worst Case vorbereiten: Dass ab dem 01.07.2021 Instrumente wie die Standardvertragsklauseln herangezogen werden müssen, um Datentransfers in das Vereinigte Königreich rechtfertigen zu können.

UK: Parlament beschließt Vorratsdatenspeicherung im Eilverfahren

24. Juli 2014

Das britische Parlament hat nun Medienberichten zufolge die geplante Einführung eines Notfallgesetzes zur Vorratsdatenspeicherung, das Telefonanbieter dazu verpflichtet, die Daten über Telefonate, Kurznachrichten und die Internetnutzung ihrer Kunden weiterhin aufzubewahren, umgesetzt. Dieses umstrittene Gesetz habe nach nur drei Tagen Beratung die letzte Hürde im Parlament genommen und sei in der vergangenen Woche bereits durch das britische Oberhaus abgesegnet worden. Man reagiere damit auf das Urteil des Europäischen Gerichtshofes, der die Richtlinie über die Vorratsdatenspeicherung von Daten rückwirkend für ungültig erklärt hat. Das Eilverfahren sei durchgeführt worden, da Unternehmen sonst Daten löschen würden, auf die Geheimdienste und Polizei zur Terrorismusbekämpfung sowie bei der Bekämpfung von Verbrechen zugreifen müssten. Nach Angaben des britischen Premierminister Cameron würden mit dem Gesetz keine neuen Möglichkeiten zur Überwachung der Bürger geschaffen – Kritiker sollen hingegen eine  “bedenkliche Ausweitung des britischen Überwachungsstaats” befürchten.

UK: Vorratsdatenspeicherung soll bleiben

10. Juli 2014

Obwohl der Europäische Gerichtshof (EuGH) die EU-Richtlinie zur Vorratsdatenspeicherung für ungültig erklärt hat, plant das britische Parlament Medienberichten zufolge die Einführung von Notfallgesetzen, um Telefonanbieter dazu zu verpflichten, die Daten über Telefonate, Kurznachrichten und die Internetnutzung ihrer Kunden weiterhin aufzubewahren. Die britische Regierung wolle die Speicherbefugnisse trotz des EuGH-Urteils beibehalten, nicht jedoch ausweiten. Eine Rückkehr zur Draft Communications Data Bill (Snooper’s Charter), wo eine Speicherfrist von 12 Monaten für alle Metadaten vorgesehen war, sei nicht beabsichtigt. Anlässe für die Einführung der Notfallgesetze seien u.a. die Gefahr, die von radikalisierten, aus Syrien zurückkehrenden Muslimen ausgehe sowie die anhaltende Debatte über die NSA.

Kategorien: Allgemein
Schlagwörter: ,

UK: Regierung will extremistische Websites blockieren

6. Dezember 2013

Die britische Regierung will Medienberichten zufolge Internet Service Provider zwingen, extremistische Websites zu blockieren. Eine Spezialeinheit werde dafür Inhalte identifizieren, die als untauglich für eine Veröffentlichung einzuordnen sind, dies an Firmen, wie BT, BSkyB und Virgin Media weitergeben und die Blockierung anweisen. Man wähle damit ein ähnliches Procedere wie bei der Blockierung kinderpornographischen Materials.

GB: Planung einer Genkartierung

17. Dezember 2012
Medienberichten zufolge plant die britische Gesundheitsbehörde NHS (National Health Service), die DNS von 100.000 Bürgern des Vereinigten Königreiches zu kartieren. Unter anderem sei geplant, das Erbgut von Krebspatienten und Menschen mit seltenen Erkrankungen sequenziert und “anonymisiert” zu speichern. Dieses Projekt werde mit rund 124 Millionen Euro durch die Regierung gefördert.
Nach Angaben des britischen Regierungschefs Cameron sollen die Daten dabei helfen, “komplexe Krankheiten besser zu verstehen, diagnostizieren und behandeln”. Mittels dieser umfangreichen genetischen Informationen sei die Chance eröffnet, effektivere Medikamente zu entwickeln. Zudem sei es möglich, bereits existierende Therapieformen besser auf jeden einzelnen Patienten abzustimmen. Am Erbgut ließe sich etwa erkennen, ob ein Mensch – zusätzlich zu seiner Krankheit – unter einer Stoffwechselstörung leidet. In diesem Fall könnte der Körper Chemotherapeutika schlechter verarbeiten und diese müssten geringer dosiert werden. Das Erbgut eines Menschen könne Hinweise darauf geben, welche Therapieform besonders gut zu ihm passt.
Kategorien: Allgemein
Schlagwörter: , ,

UK: Big Brother Watch Report über Videoüberwachung an Schulen

1. Oktober 2012
Nach dem Big Brother Watch Report für September 2012 der britischen Organisation Big Brother Watch werden rund 2000 Schulen in England, Wales und Schottland mit insgesamt 47.806 Kameras videoüberwacht. Knapp die Hälfte der Kameras seien auf die Schulgebäude gerichtet. Allerdings hätten auch mehr als 200 Schulen Umkleide- oder Sanitärräume mit Kameras ausgestattet. Durchschnittlich komme eine Kamera auf 38 Schüler, es gebe hingegen auch Schulen bei denen eine Kamera auf 5 Schüler komme.

Die Schulen müssen Rechenschaft darüber ablegen, warum sie diese Kameras benutzen und was mit dem Filmmaterial geschieht, kommentiert der Direktor der OrganisationPickles. Außerdem sei zwingend die Kenntnis und die Einwilligung von Eltern und Schülern über installierte Videokameras erforderlich. Zusätzlich müsse behördlich geprüft und damit sichergestellt werden, dass die Privatssphäre von Schülern hinreichend geschützt wird.

Neues zur Cookie-Richtlinie

30. Mai 2012

Deutschland:

Auch wenn zwischenzeitlich sowohl vom Bundesrat, als auch von der SPD-Fraktion, ein Entwurf zur Änderung des Telemediengesetzes in den Bundestag eingebracht wurde, ist die E-Privacy Richtlinie (= Cookie-Richtlinie) in Deutschland bisher nicht umgesetzt worden, da die Vorschläge bei der schwarz-gelben Regierungsmehrheit nicht auf Zustimmung stießen. Obwohl Deutschland ein Vertragsverletzungsverfahren droht, da die Richtlinie bereits bis Mai letzten Jahres hätte umgesetzt sein müssen, zeichnet sich eine zeitnahe Änderung des TMG somit weiterhin nicht ab. Nichtsdestotrotz hält der Bundesbeauftragte für den Datenschutz, Peter Schaar, die E-Privacy Richtlinie nach Medienberichten für unmittelbar in Deutschland anwendbar. Eine unmittelbare Anwendung von EU-Richtlinien in Mitgliedsländern, ohne die im Normalfall notwendige Umsetzung in nationales Recht, ist möglich, wenn die Umsetzungsfrist abgelaufen ist, die Richtlinie unbedingt und hinreichend bestimmt ist. Diese Vorraussetzungen sieht Schaar als gegeben an, und folgert daraus, dass die deutschen Datenschutzbehörden ihre Aufsichtsmaßnahmen direkt auf die E-Privacy Richtlinie stützen könnten.

EU:

Basierend auf den bereits skizzierten Einschätzungen ihres Vorsitzenden Jakob Kohnstamm hat auch die Artikel-29-Gruppe eigene Best Practice Empfehlungen für den datenschutzkonformen Einsatz von Cookies im Rahmen des Behavorial Targetings veröffentlicht.

UK:

Ende Mai 2012 ist eine einjährige Übergangsfrist abgelaufen, innerhalb derer das ICO (Information Commissioner’s Office) keine formalen Maßnahmen wegen Verstößen gegen die in den Data Protection Act aufgenommenen Bestimmungen der Cookie-Richtlinie ergreifen wollte. Von nun an drohen bei schweren Verstößen Strafen bis zu 500.000 £. Um solch drastische Sanktionen zu vermeiden, beantwortet das ICO die am häufigsten gestellten Fragen rund um die datenschutzkonforme Implementierung von Cookies in einem Video und stellt ausführliche Leitlinien zum Cookieeinstatz zur Verfügung. Auch die ICC (International Commerce Chamber) hält eigene Informationsmaterialien zu dem Thema bereit. Wie eine solche Umsetzung aussehen kann, zeigt beispielsweise die Website der BBC, welche sich für eine Leiste am oberen Bildrand entscheidet. Aboutcookies.org  wählt hingegen eine dauerhaft präsente Box am unteren Bildschirmrand.

Irland:

In Irland wurde die Cookie-Richtlinie durch S.I. No. 336 of 2011 umgesetzt. Der irische Data Protection Commissioner hat gegenüber der Website the Sociable in Bezug auf diese Umsetzung ausgeführt, dass keine gesonderte Einwilligung für den Einsatz von seitenfremden Analysewerkzeugen, wie z.B. Google Analytics, notwendig ist, solange der Website-Betreiber die Information bereitstellt, dass auch Cookies von Drittanbietern gesetzt werden.