Der BREXIT und das Datenschutzrecht

Was würde ein Brexit für die Zulässigkeit des Datenaustausches zwischen der EU und dem Vereinigten Königreich bedeuten? Ein Abriss vor dem Hintergrund der Safe-Harbor Entscheidung des EuGHs und des britischen Entwurfs der Investigatory Powers Bill.

Müssen Firmen den Datenfluss zwischen dem Kontinent und der Britischen Insel einstellen, falls der Brexit Wirklichkeit wird? Der Artikel gibt einen Überblick über die Möglichkeiten, zwischen der EU und dem Vereinigten Königreich auch nach einem Brexit noch einen zulässigen Datenaustausch auf Grundlage der EU-Datenschutzgrundverordnung zu gewährleisten. Es werden die Chancen auf eine schnelle und einfache Angemessenheitsentscheidung diskutiert. Dafür müsste die Kommission feststellen können, dass die Gesetze des Vereinigten Königreichs ein dem EU-Niveau gleichkommendes, angemessenes Datenschutzniveau gewährleisten. Aufgrund der Safe-Harbour Entscheidung des EUGH blickt der Beitrag dabei besonders auf das britische Überwachungsregime, insbesondere auf den aktuellen Entwurf einer Investigatory Powers Bill.

Einen Monat nachdem die Datenschutzgrundverordnung (EU-DSGVO) in Kraft getreten ist, haben sich die Briten in einem Referendum mit knapper Mehrheit für einen Austritt aus der EU ausgesprochen.

Das Referendum ist zwar für die britische Regierung rechtlich nicht bindend und das Vereinigte Königreich bleibt so lange Mitglied der EU, bis das Land dem Europäischen Rat gemäß Art. 50 Abs. 2 S. 1 EUV seine Austrittsabsicht offiziell mitteilt. Anschließend läuft jedoch eine Zwei-Jahres-Frist, nach deren Ablauf (oder bei vorherigem Abschluss eines Austrittsabkommens auch früher) gemäß Art. 50 Abs. 3 EUV die Verträge und damit auch das europäische Sekundärrecht keine Anwendung mehr finden.

Erklärt das Vereinigte Königreich seine Austrittsabsicht offiziell, wird nach Ablauf dieser Frist auch die Datenschutzgrundverordnung, die ab dem 25. Mai 2018 – zwei Jahre nach ihrer Veröffentlichung–  wirksam sein wird, dort grundsätzlich nicht mehr anwendbar sein. Ausnahmen werden für britische Firmen nur nach dem Marktortprinzip des Art. 3 Abs. 2 EU-SGVO gelten. Danach gilt das EU-Datenschutzrecht auch für nicht innerhalb der Union ansässige Unternehmen hinsichtlich der personenbezogenen Daten von Personen, die sich in der Union befinden, wenn und soweit die Unternehmen ihre Waren oder Dienstleistungen diesen Personen auf dem europäischen Markt angeboten haben.

Post-Brexit: Zulässigkeit der Datenübermittlung auf Grundlage eines Angemessenheitsbeschlusses?

Nach einem Brexit wäre das Vereinigte Königreich ein sog. Drittland wie beispielsweise Australien, Israel oder die USA es bereits heute sind. Für Datentransfers würden daher die Vorschriften der Art. 44 ff. EU-DSGVO (heute noch: §§ 4b, 4c BDSG) gelten. Danach wäre ein Transfer personenbezogener Daten aus der EU in das Vereinigte Königreich grundsätzlich nur in den folgenden zwei Fällen zulässig:

Einmal könnte die Kommission nach Art. 45 EU-DSGVO feststellen, dass im Zielland UK ein angemessenes Datenschutzniveau vorliegt. Dieser Beschluss setzt eine nationale Gesetzgebung voraus, die ein mit dem europäischen Datenschutzrecht (heute noch mit der Datenschutzrichtlinie, zukünftig mit der EU-DSGVO) vergleichbaren Datenschutz vorsieht. Ohne einen solchen umfassenden Angemessenheitsbeschluss könnte der einzelne Verantwortliche oder der einzelne Auftragsdatenverarbeiter gemäß Art. 46 EU-DSGVO angemessene Garantien in Standardvertragsklauseln oder verbindlichen internem Datenschutzvorschriften vorsehen und den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stellen.

Ein Angemessenheitsbeschluss scheint auf den ersten Blick die wahrscheinliche Lösung, gelten doch im Vereinigten Königreich bis zum Austritt die europäischen Regelungen, so dass jedenfalls ein gleichwertiges Datenschutzniveau gewährleistet sein sollte.

Zweifel aufgrund der UK-Überwachungsbefugnisse

Andererseits kommen mit Blick auf die Safe Harbour-Entscheidung des EuGH (dazu schon hier und hier) erhebliche Zweifel auf: darin hatte der EuGH massiv Befugnisse der Geheimdienste in den USA kritisiert. Dabei ist bekannt, dass auch die britischen Nachrichtendienste, vor allem der GCHQ, in ähnlichem Umfang Daten sammeln. Erst Anfang Juni hat das britische Parlament der Investigatory Power Bill (IPB) zugestimmt, die die ohnehin weitgehenden Überwachungsbefugnisse britischer Sicherheitsbehörden und die damit einhergehenden Verpflichtungen privater Unternehmen nochmals drastisch erweitert. Nachdem der EuGH die Vorratsdatenspeicherung gekippt und der ‚English High Court‘ das entsprechende nationale Gesetz (‚Data Retention and Investigatory Powers Act‘) für unvereinbar mit EU-Recht erklärt hatte, liegt jetzt die IPB vor. Darin sollen unter anderem Internet Service Provider verpflichtet werden, die Metadaten jeglicher Internetkommunikation, also wer sich wann von wo und wie mit welchem Internetdienst verbunden hat, für ein Jahr zu speichern. Diese Daten können dann ohne richterlichen Beschluss von Geheimdiensten und der Polizei, aber auch von anderen öffentlichen Stellen durchsucht werden. Das Überwachungsgesetz legalisiert zudem Abhörpraktiken des Nachrichtendienstes GCHQ an Internetknotenpunkten und Unterseekabeln. Dieser Entwurf, der im Vereinigten Königreich auch „Snoopers’ Charter“ genannt wird, wird stark kritisiert – auch vom Menschenrechtskommissar des Europarats.

Ausblick: schwierige Verhandlungen

Vor diesem Hintergrund ist es – wie Jan Philipp Albrecht bereits twitterte – durchaus denkbar, dass es doch nicht einfach und schnell zu einer Angemessenheitsentscheidung kommt. Unter Umständen müssen Unternehmen ihren Datenfluss also zwischenzeitlich auf andere Mittel wie Standardvertragsklauseln stützen, obwohl auch dabei zweifelhaft ist, ob diese Mittel angesichts der nationalen Überwachungsbefugnisse überhaupt eine angemessene Garantie darstellen könnten. Dadurch erscheinen auch die Verhandlungen zum EU-US-Privacy-Shield noch gewichtiger, weil die dort erarbeiteten Standards zum Datenaustausch ggf. später auf das Vereinigte Königreich auch für eine Vereinbarung zwischen EU und UK übernommen werden könnten.

Ein Glaubwürdigkeitsproblem?

Es mutet paradox an, dass durch einen Brexit der Einfluss der EU auf die Überwachungsmechanismen im Vereinigten Königreich größer würde als er es vor dem Austritt war (dazu aus Anlass der Safe Harbour-Entscheidung bereits näher hier). Aus deutscher Sicht ist die Entwicklung nicht nur im Hinblick auf die Wirtschaft und den Schutz der Bürger „vor den britischen Diensten“, sondern auch vor dem Hintergrund der diskutierten Reformen der Befugnisse und der Aufsicht über die deutschen Nachrichtendienste äußerst interessant. Wie bereits zur Safe Harbour-Entscheidung angemerkt, sollten auch die EU-Mitgliedsstaaten die vom EuGH dargelegten Standards der Europäischen Grundrechtecharta bei ihrer nachrichtendienstlichen Überwachung einhalten – gerade im Hinblick ihr politisches Gewicht in Verhandlungen mit Drittländern. Alles andere untergräbt ihre Glaubwürdigkeit!

Dieser Beitrag ist Teil der regelmäßig erscheinenden Blogartikel der Doktoranden des Alexander von Humboldt Institut für Internet und Gesellschaft. Er spiegelt weder notwendigerweise noch ausschließlich die Meinung des Institutes wieder. Für mehr Informationen zu den Inhalten dieser Beiträge und den assoziierten Forschungsprojekten kontaktieren Sie bitte info@hiig.de.