Brexit and data protection

What would BREXIT mean for the admissibility of data exchange between the EU and the UK? A brief outline in the context of the ECJ’s safe harbour decision and the draft Investigatory Powers Bill of the UK. 

If Brexit was to become a reality: Do companies need to stop data flows between the continent and the British island? The article looks at the possibilities for legitimate EU-UK data transfers on the basis of the EU General Data Protection Regulation in case the UK will leave the EU. It discusses the chances of a positive adequacy decision, which requires the Commission to confirm that UK legislation guarantees a data protection level that equals the EU level. Due to the ECJ’s ruling regarding the EU-US safe harbour framework it pays special attention to the British surveillance scheme with the draft Investigatory Powers Bill. 

Einen Monat nachdem die Datenschutzgrundverordnung (EU-DSGVO) in Kraft getreten ist, haben sich die Briten in einem Referendum mit knapper Mehrheit für einen Austritt aus der EU ausgesprochen.

Das Referendum ist zwar für die britische Regierung rechtlich nicht bindend und das Vereinigte Königreich bleibt so lange Mitglied der EU, bis das Land dem Europäischen Rat gemäß Art. 50 Abs. 2 S. 1 EUV seine Austrittsabsicht offiziell mitteilt. Anschließend läuft jedoch eine Zwei-Jahres-Frist, nach deren Ablauf (oder bei vorherigem Abschluss eines Austrittsabkommens auch früher) gemäß Art. 50 Abs. 3 EUV die Verträge und damit auch das europäische Sekundärrecht keine Anwendung mehr finden.

Erklärt das Vereinigte Königreich seine Austrittsabsicht offiziell, wird nach Ablauf dieser Frist auch die Datenschutzgrundverordnung, die ab dem 25. Mai 2018 – zwei Jahre nach ihrer Veröffentlichung–  wirksam sein wird, dort grundsätzlich nicht mehr anwendbar sein. Ausnahmen werden für britische Firmen nur nach dem Marktortprinzip des Art. 3 Abs. 2 EU-SGVO gelten. Danach gilt das EU-Datenschutzrecht auch für nicht innerhalb der Union ansässige Unternehmen hinsichtlich der personenbezogenen Daten von Personen, die sich in der Union befinden, wenn und soweit die Unternehmen ihre Waren oder Dienstleistungen diesen Personen auf dem europäischen Markt angeboten haben.

Post-Brexit: Zulässigkeit der Datenübermittlung auf Grundlage eines Angemessenheitsbeschlusses?

Nach einem Brexit wäre das Vereinigte Königreich ein sog. Drittland wie beispielsweise Australien, Israel oder die USA es bereits heute sind. Für Datentransfers würden daher die Vorschriften der Art. 44 ff. EU-DSGVO (heute noch: §§ 4b, 4c BDSG) gelten. Danach wäre ein Transfer personenbezogener Daten aus der EU in das Vereinigte Königreich grundsätzlich nur in den folgenden zwei Fällen zulässig:

Einmal könnte die Kommission nach Art. 45 EU-DSGVO feststellen, dass im Zielland UK ein angemessenes Datenschutzniveau vorliegt. Dieser Beschluss setzt eine nationale Gesetzgebung voraus, die ein mit dem europäischen Datenschutzrecht (heute noch mit der Datenschutzrichtlinie, zukünftig mit der EU-DSGVO) vergleichbaren Datenschutz vorsieht. Ohne einen solchen umfassenden Angemessenheitsbeschluss könnte der einzelne Verantwortliche oder der einzelne Auftragsdatenverarbeiter gemäß Art. 46 EU-DSGVO angemessene Garantien in Standardvertragsklauseln oder verbindlichen internem Datenschutzvorschriften vorsehen und den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stellen.

Ein Angemessenheitsbeschluss scheint auf den ersten Blick die wahrscheinliche Lösung, gelten doch im Vereinigten Königreich bis zum Austritt die europäischen Regelungen, so dass jedenfalls ein gleichwertiges Datenschutzniveau gewährleistet sein sollte.

Zweifel aufgrund der UK-Überwachungsbefugnisse

Andererseits kommen mit Blick auf die Safe Harbour-Entscheidung des EuGH (dazu schon hier und hier) erhebliche Zweifel auf: darin hatte der EuGH massiv Befugnisse der Geheimdienste in den USA kritisiert. Dabei ist bekannt, dass auch die britischen Nachrichtendienste, vor allem der GCHQ, in ähnlichem Umfang Daten sammeln. Erst Anfang Juni hat das britische Parlament der Investigatory Power Bill (IPB) zugestimmt, die die ohnehin weitgehenden Überwachungsbefugnisse britischer Sicherheitsbehörden und die damit einhergehenden Verpflichtungen privater Unternehmen nochmals drastisch erweitert. Nachdem der EuGH die Vorratsdatenspeicherung gekippt und der ‚English High Court‘ das entsprechende nationale Gesetz (‚Data Retention and Investigatory Powers Act‘) für unvereinbar mit EU-Recht erklärt hatte, liegt jetzt die IPB vor. Darin sollen unter anderem Internet Service Provider verpflichtet werden, die Metadaten jeglicher Internetkommunikation, also wer sich wann von wo und wie mit welchem Internetdienst verbunden hat, für ein Jahr zu speichern. Diese Daten können dann ohne richterlichen Beschluss von Geheimdiensten und der Polizei, aber auch von anderen öffentlichen Stellen durchsucht werden. Das Überwachungsgesetz legalisiert zudem Abhörpraktiken des Nachrichtendienstes GCHQ an Internetknotenpunkten und Unterseekabeln. Dieser Entwurf, der im Vereinigten Königreich auch „Snoopers’ Charter“ genannt wird, wird stark kritisiert – auch vom Menschenrechtskommissar des Europarats.

Ausblick: schwierige Verhandlungen

Vor diesem Hintergrund ist es – wie Jan Philipp Albrecht bereits twitterte – durchaus denkbar, dass es doch nicht einfach und schnell zu einer Angemessenheitsentscheidung kommt. Unter Umständen müssen Unternehmen ihren Datenfluss also zwischenzeitlich auf andere Mittel wie Standardvertragsklauseln stützen, obwohl auch dabei zweifelhaft ist, ob diese Mittel angesichts der nationalen Überwachungsbefugnisse überhaupt eine angemessene Garantie darstellen könnten. Dadurch erscheinen auch die Verhandlungen zum EU-US-Privacy-Shield noch gewichtiger, weil die dort erarbeiteten Standards zum Datenaustausch ggf. später auf das Vereinigte Königreich auch für eine Vereinbarung zwischen EU und UK übernommen werden könnten.

Ein Glaubwürdigkeitsproblem?

Es mutet paradox an, dass durch einen Brexit der Einfluss der EU auf die Überwachungsmechanismen im Vereinigten Königreich größer würde als er es vor dem Austritt war (dazu aus Anlass der Safe Harbour-Entscheidung bereits näher hier). Aus deutscher Sicht ist die Entwicklung nicht nur im Hinblick auf die Wirtschaft und den Schutz der Bürger „vor den britischen Diensten“, sondern auch vor dem Hintergrund der diskutierten Reformen der Befugnisse und der Aufsicht über die deutschen Nachrichtendienste äußerst interessant. Wie bereits zur Safe Harbour-Entscheidung angemerkt, sollten auch die EU-Mitgliedsstaaten die vom EuGH dargelegten Standards der Europäischen Grundrechtecharta bei ihrer nachrichtendienstlichen Überwachung einhalten – gerade im Hinblick ihr politisches Gewicht in Verhandlungen mit Drittländern. Alles andere untergräbt ihre Glaubwürdigkeit!

This post is part of a weekly series of articles by doctoral canditates of the Alexander von Humboldt Institute for Internet and Society. It does not necessarily represent the view of the Institute itself. For more information about the topics of these articles and asssociated research projects, please contact info@hiig.de.