Brexit: EU-Kommission macht Weg frei für Datenfluss nach Großbritannien
In Großbritannien ist trotz Massenüberwachung ein angemessenes Datenschutzniveau gewährleistet, meint die EU-Kommission. Transfers sollen möglich bleiben.
(Bild: dpa, Friso Gentsch/dpa)
Die EU-Kommission hat am Freitag das Verfahren zur weiteren Möglichkeit für Firmen und Behörden eingeleitet, personenbezogene Daten aus der EU nach Großbritannien zu übermitteln. Nach "gründlicher Überprüfung" sei man zu dem Schluss gelangt, "dass im Vereinigten Königreich ein angemessenes Datenschutzniveau gewährleistet wird", teilte die Brüsseler Regierungsinstitution mit. Eine Neubewertung der Rechtsbasis für Datentransfers war mit dem Brexit nötig geworden.
Großbritannien gilt seit dem Jahreswechsel grundsätzlich als Drittland im Sinne der Datenschutz-Grundverordnung (DSGVO). Ohne eine Übereinkunft würden so deutlich strengere Bestimmungen greifen. Mit dem Ende 2020 vereinbarten Handels- und Kooperationsabkommen ist zunächst Anfang Januar eine sechsmonatige Übergangsfrist für Datenübertragungen in Kraft getreten. Beide Parteien machten sich parallel daran, eine längerfristige Lösung zu vereinbaren.
Drittland UK
Auf EU-Seite erfordert ein solcher Ansatz eine offizielle Bestätigung, dass die britischen Standards im Wesentlichen denen der Gemeinschaft entsprechen, die in der DSGVO und der parallelen Richtlinie für den Datenschutz bei Polizei und Justiz festgelegt sind. Großbritannien muss laut der Kommission in diesem Bereich prinzipiell auch "spezifische zusätzliche" Vorgaben einhalten, die sich aus Stellungnahmen des Europäischen Gerichtshofs (EuGH) ergeben.
Mit ihrer Entscheidung hat die EU-Kommission nun zwei Entwürfe für entsprechende "Angemessenheitsbeschlüsse" für die DSGVO und die Richtlinie veröffentlicht. Dabei seien auch die Vorschriften über den Datenzugriff durch britische Behörden genau untersucht worden, beteuert die Kommission. Auch hier sei das Datenschutzniveau aber "im Wesentlichen gleichwertig" zu dem in der EU.
In diesem Bereich dürften aber die größten Hürden für eine Freigabe des Datenflusses liegen. In Großbritannien haben Sicherheitsbehörden breite Befugnisse zur Massenüberwachung. Laut dem "Investigatory Powers Act" von 2016 etwa darf der eng mit der NSA kooperierende GCHQ massive Eingriffe in technische Gerätschaften vornehmen. Die Bürgerrechtsorganisation Privacy International konnte erst in langjährigen Gerichtsverfahren jüngst erreichen, dass der Geheimdienst nicht mehr im Ausland beliebig auf Basis allgemeiner Gerichtsanordnungen per Staatstrojaner Smartphones, Computer und ganze Netzwerke hacken darf.
Was sagt der EuGH?
Bei den USA hatte der EuGH in seinem Urteil gegen den "Privacy Shield" voriges Jahr zum wiederholten Mal festgestellt, dass dortige Gesetze eine Massenüberwachung durch Sicherheitsbehörden wie die NSA oder das FBI ermöglichten und der Datenschutzstandard daher nicht dem in der EU entspreche. Eine ähnliche Ansage der Luxemburger Richter könnte auch bei den Beschlüssen zum Datentransfer nach Großbritannien drohen. Der österreichische Aktivist Max Schrems, der den Stein beim Privacy Shield ins Rollen gebracht hatte, kündigte an, die Entwürfe für die Angemessenheitsbeschlüsse genau unter die Lupe zu nehmen.
Die Kommission glaubt sich trotzdem auf der sicheren Seite. Sie verweist auf den Jahresbericht 2019 des britischen Geheimdienstkontrolleurs beim Investigatory Powers Commissioner's Office (IPCO) wonach der GCHQ "die entscheidende Rolle von Massenkommunikationsdaten" für das Spektrum der durchgeführten Aktivitäten "in den von uns inspizierten Fällen" gut dargelegt habe. Die Prüfer hätten die Art der angeforderten Informationen und die operativen Anforderungen analysiert und seien zu der Überzeugung gelangt, dass der Ansatz "notwendig und angemessen war". Gleiches gelte für den Inlandsgeheimdienst MI5.
"Europäische Datenschutzfamilie"
Der britische Premierminister Boris Johnson betonte wiederholt, dass seine Regierung mit dem Brexit beim Datenschutz eine von der EU "losgelöste und unabhängige" Linie verfolgen werde. Von einem vergleichbaren Stand dürfte in diesem Fall kaum mehr die Rede sein können. Dem will die Kommission vorbauen, indem die Beschlüsse vorerst für zunächst vier Jahre gültig sein sollen. "Das Vereinigte Königreich ist zwar aus der EU ausgetreten, nicht jedoch aus der europäischen Datenschutzfamilie", erklärte Věra Jourová, Kommissionsvizepräsidentin für Werte und Transparenz.
Der Europäische Datenschutzausschuss (EDSA) und die Mitgliedstaaten müssen noch ihr Plazet für die Initiative geben. Großbritannien hat bereits entschieden, dass die EU ein gleichwertiges Schutzniveau gewährleistet und Daten daher frei übermittelt werden dürften. Der IT-Verband Bitkom begrüßte den Schritt der Kommission. Diese habe so den Grundstein dafür gelegt, "dass der Datentransfer zwischen der EU und dem Vereinigten Königreich nahtlos erhalten bleibt". Es gelte nun rasch, "den noch immer anhaltenden Schwebezustand und die Unsicherheiten für die Digitalwirtschaft zu beenden". Gerade bei Cloud-Diensten sowie im Wartungs- und Kundenservice setzten viele Unternehmen aus der EU auf britische Dienstleister.
(vbr)
