DSGVO: Großbritannien will sich vom EU-Datenschutz loseisen

Zwischen der EU und dem am 1. Februar aus der Gemeinschaft ausgeschiedenen Großbritannien zeichnet sich ein Streit in der Frage ab, wie die Privatsphäre der Bürger gesichert werden soll. Der britische Premierminister Boris Johnson erklärte am Montag im Parlament in London, dass seine Regierung nun beim Datenschutz eine "losgelöste und unabhängige" Linie verfolgen werde. "Hohe Standards" würden dabei aber wie bisher eingehalten.

In eigener Sache: Das neue c't DSGVO 2020

Highlights der jetzt neu erschienen, stark erweiterten und aktualisierten Neuauflage: 148 Seiten Praxis von Fachjuristen, Bußgeld-Ratgeber: So teuer können selbst simple Fehler werden, 90-Minuten-Webinar i.W.v. 79,00€: Was Ihre IT-Abteilung jetzt wissen muss, PLUS c't Datenschutz-Podcast-Folgen

• Mehr Infos im heise Shop: c't wissen DSGVO 2020

Vor der Presse betonte Johnson, dass Großbritannien nicht verpflichtet sei, sich über ein Abkommen mit der EU einzuengen. Er schloss einen "No-Deal" so nicht aus: "Wir werden die volle souveräne Kontrolle über unsere Grenzen, über Immigration, Wettbewerb, Subventionsregeln, Auftragsvergabe und Datenschutz wiederherstellen." In einem Schreiben an das Parlament nannte Johnson zudem unter anderem auch den Umweltschutz, in dem sich das Vereinigte Königreich nicht mehr direkt an Vorgaben aus Brüssel binden wolle.

Radikaler Kurswechsel

Die Ansage kommt einem radikalen Kurswechsel gleich. Unter Johnsons Vorgängerin Theresa May hatte die britische Regierung 2017 noch die Weichen dafür gestellt, im Rahmen einer Gesetzesnovelle die Datenschutz-Grundverordnung (DSGVO) sowie die zugehörige Richtlinie für den Bereich Polizei und Justiz ins nationale Recht zu implementieren. Es gehe darum, "einen ungehinderten Datenfluss zwischen dem Vereinigten Königreich und der EU nach dem Brexit" zu sichern, hatte es damals geheißen.

Das EU-Recht lässt einen freien Datenaustausch mit Drittstaaten nur zu, wenn dort ein vergleichbares Schutzniveau besteht. Dies muss die EU-Kommission in einem Angemessenheitsverfahren prüfen und offiziell bestätigen. Die Kommission wollte diesen Prozess, in dem unter anderem der Europäische Datenschutzausschuss (EDSA) mitredet, für Großbritannien gleichzeitig mit dem Brexit starten. In ihrer Empfehlung für den Start von Verhandlungen über ein Partnerschafts- und Handelsabkommen mit den Briten weist die Kommission aber ausdrücklich auf frühere Zusagen beider Seiten hin, die Datenschutzstandards einheitlich zu halten.

"Angesichts der Bedeutung der Datenströme sollen sich die Parteien mit der geplanten Partnerschaft ausdrücklich verpflichten, ein hohes Schutzniveau für personenbezogene Daten zu gewährleisten", heißt es in dem ebenfalls am Montag veröffentlichten Dokument. Die EU-Vorschriften seien dabei vollumfänglich zu respektieren. Damit verknüpfen will die Kommission die Möglichkeit, weiterhin etwa Flugpassagierinformationen und DNA-Daten auszutauschen.

Datenschutz an der Weggabel

Bürgerrechtler befürchten schon seit Längerem, dass die britische Regierung nach dem Austritt aus der EU bestehende Programme zur Massenüberwachung ausbauen und dem Datenschutz insgesamt weniger Beachtung schenken wird. Bereits im Januar hatte die britische Digitalministerin Nicky Morgan durchblicken lassen, sie wolle versuchen, die "Macht der Daten" für Menschen und Organisationen in ganz Großbritannien "vollständig und verantwortungsbewusst" zu erschließen.

Die britische Bürgerrechtsorganisation Open Rights Group sieht die Datenschutzstandards auf der Insel mit dem EU-Austritt "an eine Weggabelung" angelangt. Die Regierung sei angesichts des Drucks von Versicherungs-, Finanz- und Internetkonzernen sowie aus Washington versucht, den Datenschutz schwerer durchsetzbar zu machen und die Sanktionen abzuschwächen. Dem müsse sich das Parlament angesichts der elementaren Funktion des Rechts auf Privatheit für die Demokratie entgegenstemmen, fordern die Aktivisten in einem Brief an die Abgeordneten.

Bis zum Ende der Übergangsperiode im Dezember bleibe alles zunächst beim Alten, konstatiert die britische Datenschutzbehörde ICO. Wie die Landschaft danach aussehe, stehe in den Sternen. Angesichts der Bedenken von Unternehmen und Organisationen über den künftigen Transfer persönlicher Daten werde der ICO die Entwicklung genau im Blick behalten.

Johnsons Regierung betrachtet den ausstehenden Angemessenheitsbeschluss derweil als rein "technische" Angelegenheit an. Dabei gehe es nur darum zu bestätigen, dass Großbritannien zumindest zum Zeitpunkt des Austritts noch "nach dem exakt gleichen Regulierungsrahmenwerk" operiere wie die EU. (anw)