Datenschutz-Brexit: out is out

Von Peter Schaar, Vorsitzender der Europäischen Akademie für Informationsfreiheit und Datenschutz

Die Frage nach den Folgen des Brexit-Volksentscheid für den Datenschutz kann derzeit nicht abschließend beantwortet werden. Zumindest bis zum Ergebnis der anstehenden Austrittsverhandlungen bleiben erhebliche Unsicherheitsfaktoren. Sofern  keine besonderen Vereinbarungen zum Datenschutz getroffen werden, wird Vereinigten Königreich ab dem Datum des Austritts zu einem Drittstaat wie jeder andere, etwa Japan oder Südafrika.

Im günstigsten Falle bekommt das Land einen Status wie Norwegen, das dem europäischen Wirtschaftsraum angehört und damit weitgehend zur Anwendung des EU-Rechts verpflichtet ist, ohne jedoch – wie die EU-Mitgliedstaaten – über effektive Mitspracherechte und Mitwirkungsmöglichkeiten im Europäischen Datenschutzausschuss zu verfügen.

Dass sich die britische Regierung und das Parlament darauf einlassen werden, die in der ab Mai 2018 anwendbaren Datenschutzgrundverordnung 1:1 anzuerkennen, erscheint äußerst unwahrscheinlich, zumal Großbritannien sich schon mit deren Verabschiedung schwergetan hat. Hinzuweisen ist etwa  auf die Erklärung der britischen Regierung, Art. 48 der Grundverordnung, die so genannte „NSA-Klausel“ nicht anzuerkennen, die die europäischen Bürgerinnen und Bürger vor drittstaatlichen Überwachungsmaßnahmen  schützen soll. Unabhängig davon, dass die Wirksamkeit dieser Erklärung („Opt Ourt“) europarechtlich zweifelhaft ist, würde Art. 48 nach dem EU-Austritt wohl auch auf das Vereinigte Königreich anwendbar sein, sofern die britische Regierung die Anerkennung dieser Vorschrift weiterhin verweigert. Damit würde die Datenübermittlung  bzw. die Datenhherausgabe an britische Behörden oder Gerichte nur noch im Rahmen von Rechtshilfeabkommen erfolgen können. Dies ist insbesondere deshalb von Bedeutung, weil das britische Parlament kürzlich die ohnehin schon starken Überwachungsbefugnisse  der Sicherheitsbehörden und die damit korrespondierenden Verpflichtungen von Unternehmen  mit dem „Investigatory Powers Bill“  drastisch ausgeweitet hat.

Wahrscheinlicher ist, dass auf Großbritannien zukünftig die Vorgaben  der Datenschutzgrundverordnung zur Übermittlung personenbezogener Daten an Drittstaaten (Art. 44 ff)  Anwendung finden. Danach ist jedwede Übermittlung personenbezogener Daten nur zulässig, wenn der Verantwortliche und der Auftragsverarbeiter die in der Grundverordnung festgelegten Bedingungen einhält; dies gilt auch für die etwaige Weiterübermittlung personenbezogener Daten an ein anderes Drittland oder an eine internationale Organisation. Die Datenschutzgrundverordnung erlaubt die Übermittlung auf der Basis eines „Angemessenheitsbeschlusses“ der Europäischen Union oder sonstiger geeigneter Garantien, insbesondere auf der Grundlage von Standardvertragsklauseln oder im Rahmen eines Systems verbindlicher Unternehmensregeln (Binding Corporate Rules).

Der britische Information Commissioner (ICO) hat bereits  darauf hingewiesen, dass das Vereinigte Königreich  weiterhin klare und effektive Datenschutzgesetze benötige, unabhängig von der Frage der EU-Zugehörigkeit (https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2016/04/statement-on-the-implications-of-brexit-for-data-protection/).  Sollte der britische Gesetzgeber diesem Ratschlag folgen, könnte die europäische Kommission gemäß Art. 45 der Datenschutzgrundverordnung das Bestehen eines „angemessenen Datenschutzniveaus“  feststellen. Eine solche Feststellung ist jedoch kein Selbstgänger und bedürfte gründlicher Prüfungen und Vorbereitungen, die innerhalb der zur Verfügung stehenden Zweijahresfrist für die Umsetzung des EU-Austritts kaum bewältigt werden könnten.

Vor diesem Hintergrund müssen  die Unternehmen aber auch staatliche Stellen der EU-Staaten und EU-Institutionen Vorsorge dafür treffen, dass die Datenübermittlung in das Vereinigte Königreich zukünftig erheblich erschwert wird. Dies trifft insbesondere solche Unternehmen hart, bei denen im Rahmen  eingespielter Geschäftsprozesse europaweit erhobene Daten in Großbritannien zusammengeführt und verarbeitet werden.

Peter Schaar

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert