Datenschutz-Brexit droht
Die britische Regierung will, dass die EU ihre Datenschutzgesetze als gleichwertig anerkennt, doch die Regeln für Massenüberwachung will sie beibehalten.
(Bild: Pixelbliss/Shutterstock.com)
Bisher gilt in Großbritannien die europäische Datenschutz-Grundverordnung (DSGVO). Während die frühere Premierministerin Theresa May betonte, dass die Regelungen auch nach dem Brexit beibehalten würden, kündigte ihr Nachfolger im Amt, Boris Johnson, bereits drei Tage nach dem Brexit am 31. Januar 2020 an, die DSGVO abzuschaffen und "eigene und unabhängige Regeln" zu entwickeln, wobei "hohe Standards beibehalten" werden sollen.
Aus europäischer Perspektive wird Großbritannien mit Ablauf des Übergangszeitraums am 31. Dezember 2020 im Sinne der DSGVO als Drittland behandelt werden. Ein Datenaustausch wie bisher, also ohne weiteren Schutz, wäre dann auf der Grundlage von Abkommen nur unter zwei Bedingungen möglich: Großbritannien behält das Niveau seiner Datenschutzstandards auf EU-Ebene und die Europäische Kommission erkennt dies in einem Angemessenheitsbeschluss unter der DSGVO wie auch unter der JI-Richtlinie für den Bereich Polizei und Justiz an.
Mitte März brachte die britische Regierung denn auch schon einige Vorschläge, die den Angemessenheitsbeschluss auf europäischer Ebene in Gang bringen soll. Zwar basieren die gesetzlichen Regelungen auf europäischen Prinzipien, doch zu den Knackpunkten gehören die britischen Überwachungsgesetze, die von europäischen Gerichten bereits wiederholt als Verstoß gegen die europäischen Datenschutzgesetze bewertet wurden. Derzeit wird der britische Investigatory Powers Act (IPA), bekannt auch als "Snooper's Charter", vor dem Gerichtshof der Europäischen Union wegen seiner Massenüberwachung angefochten.
Ohne Angemessenheitsbeschluss droht erheblicher Klärungsaufwand
Der Bundesdatenschutzbeauftragte Ulrich Kelber stellte gegenüber heise online klar, was ohne einen Angemessenheitsbeschluss gesehen würde: "Verantwortliche, die personenbezogene Daten an Partner in Großbritannien übermitteln wollen, müssten dann ihre Datentransfers mit den besonderen Maßnahmen nach Kapitel V der DSGVO absichern. Die Situation entspräche dann dem vor dem Abschluss des Austrittsabkommen diskutierten No-Deal-Brexit-Szenario." Für diesen Fall haben die Datenschutzkonferenz von Bund und Ländern sowie der Europäische Datenschutzausschuss bereits Handreichungen veröffentlicht.
Demnach müssten Unternehmen und Behörden alle Datentransfers selbst rechtlich klären. Zu den Transferinstrumenten gehören beispielsweise die vom Europäischen Datenschutzausschuss und der EU-Kommission abgesegneten Standarddatenschutzklauseln beziehungsweise Ad-Hoc-Datenschutzklauseln. Daneben können Unternehmen für den unternehmensinternen Datenaustausch Datenschutzvorschriften festlegen. Überdies könnten branchenspezifische Verhaltenskodizes oder Zertifizierungsmechanismen theoretisch angemessene Garantien bieten. Ausnahmsweise könnte eine "ausdrückliche" Einwilligung des Betroffenen genügen, wenn der Datenverarbeiter ein "zwingend berechtigtes Interesse" vorweist. Damit könnten auch Einzelverträge abgeschlossen werden.
Erpressungsversuch nach dem Vorbild USA?
Angesichts dessen steht für den Datenschutzexperte Thilo Weichert fest: "Die Erwartung der britischen Regierung, das Datenschutzniveau im Land senken zu können und zugleich weiterhin ungehinderten Datenaustausch mit der EU zu praktizieren, kalkuliert mit der Erpressbarkeit der EU." Ähnlich sei es auch im Verhältnis EU und USA, für die der "Privacy Shield" entwickelt wurde. Weichert befürchtet daher: "Die Johnson-Regierung könnte mit formal guten Argumenten eine Absenkung des Datenschutzes bis auf US-Niveau durchsetzen."
Dem Datenschutz-Dumping könnte sich zwar das EU-Parlament entgegenstellen, doch wirksamen Widerstand gebe es nur durch den Europäischen Gerichtshof, der derzeit die Standardvertragsklauseln zur Auftragsdatenverarbeitung überprüft. "Es wäre daher zu hoffen, dass der britischen Regierung kurzfristig höchstrichterliche Signale zugehen, dass ein Absenken des Datenschutzes nicht im Interesse des Austauschs mit der EU und der britischen Wirtschaft wäre", meint Weichert. Datenschützer in Großbritannien würden von der EU "massiv enttäuscht, wenn im Rahmen der Brexit-Verhandlungen die EU-Kommission sich den Forderungen der britischen Regierung fügen würde".
Google schlägt erste Pfosten ein
Bereits seit einigen Jahren bauen Rechenzentrumsbetreiber Kapazitäten in der EU auf, um möglicherweise personenbezogene Daten, die noch in Rechenzentren in Großbritannien gespeichert sind, leichter migrieren zu können. Vor allem Hubs in Frankfurt am Main und Amsterdam könnten vom Brexit profitieren. Rebekka Weiß, Leiterin Vertrauen und Sicherheit beim Digitalverband Bitkom, zeigt sich gegenüber heise online vorsichtig optimistisch: "Rechenzentrumsbetreiber und Cloud-Anbieter könnten, je nach konkreter Ausgestaltung des neuen Datenschutzrechtes in Großbritannien, durch Verlagerungseffekte von steigender Nachfrage nach Cloud-Services profitieren, die aus dem EU-Raum heraus betrieben werden." Denn für die europäischen Services entfalle "zumindest der zusätzliche Aufwand, die DSGVO-Vorschriften zur Übertragung von Daten in Drittländer einzuhalten".
Google hat sich bereits mit einer klaren Ansage positioniert: Nach Informationen der Nachrichtenagentur Reuters will das Unternehmen Konten britischer Nutzer aus der irischen Gerichtsbarkeit nicht in die Zuständigkeit britischer Datenschutzbehörden verschieben. Damit würden britische Google-Nutzer aus dem Geltungsbereich der DSGVO ausgeschlossen und nach US-Regeln behandelt werden. Jim Killock von der Open Rights Group warnt davor, dass es fast keinen Datenschutz für Nicht-US-Bürger gebe: "Googles Entscheidung sollte alle beunruhigen." Wenn Großbritannien sich nicht zu DSGVO-konformen Standards verpflichte, könnten die Rechte britischer Bürger durch US-Datenschutzpraktiken rasch untergraben werden. (anw)
