Tag Archives: Großbritannien

Alarmstufe rot: Harter Brexit und Datenschutz

Nachdem das Unterhaus den zwischen der europäischen Kommission und der britischen Regierung ausgehandelten Vertragstext zum Austritt Großbritanniens aus der Europäischen Union (https://ec.europa.eu/commission/sites/beta-political/files/draft_withdrawal_agreement_0.pdf) abgelehnt hat, ist ein „harter Brexit“ – die Auflösung der Beziehung ohne Scheidungsvertrag -wahrscheinlicher geworden. Das hat auch gravierende Wirkungen für den Datenschutz und die ihm unterworfenen Unternehmen.

Zwar hatte die Europäische Kommission bereits in ihrem vor mehr als einem Jahr abgegebenen Statement (http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=611943) auf die gravierenden Konsequenzen für den Datenschutz hingewiesen, die sich aus dem Ausscheiden Großbritanniens ergeben. Zu Recht wies Sie darauf hin, dass Großbritannien nach dem Brexit zu einem „Drittstaat“ wird, auf den die entsprechenden Regeln der DSGVO zur Datenübermittlung in Staaten außerhalb der EU anzuwenden sind (Art. 44 ff DSGVO). 

Während zwischen den Mitgliedstaaten der Europäischen Union die Übermittlung personenbezogener Daten ohne datenschutzrechtlichen Restriktionen zulässig ist, muss beim Transfer in Drittstaaten ein angemessenes Datenschutzniveau beim Empfänger nachgewiesen werden. Dafür sieht die Datenschutz-Grundverordnung verschiedene Instrumente vor.

Der „Königsweg“ wäre eine so genannte „Angemessenheitsentscheidung“ der Kommission (Art. 45 DSGVO). Es ist unrealistisch, dass eine entsprechende Entscheidung kurzfristig zu realisieren ist, denn es gilt nicht nur, das im letzten Jahr neu gefasst der britische Datenschutzgesetz zu bewerten, sondern die gesamte Rechtsordnung, darunter auch den höchst umstrittenen „Investigations Powers Act“ (IPA), welcher den britischen Sicherheitsbehörden umfassende zu Befugnisse auf personenbezogene Daten einräumt.

Garantien, mit denen die Angemessenheit des Datenschutzes beim Empfänger demonstriert werden kann (Art. 46 DSGVO), sind „Standarddatenschutzklauseln“, verbindliche Unternehmensregeln (Binding Corporate Rules – BCR), genehmigte Verhaltensregeln (Codes of Conduct – CoC) und Zertifizierungsmechanismen.

Allerdings sah es bis vor kurzem so aus, als könnten sich die Unternehmen mit der Suche nach Alternativen noch etwas Zeit lassen. Der zwischen der Kommission und der britischen Regierung ausgehandelte Vertragstext sieht in Art. 70 ff vor, dass die DSGVO (mit Ausnahme der Bestimmungen des siebenten Abschnittes, welcher die Zusammenarbeit der Aufsichtsbehörden regelt) für die vorgesehene Übergangszeit von zwei Jahren in Großbritannien weiterhin Geltung behalten sollten. Zudem war man übereingekommen, dass innerhalb der Übergangsfrist eine Angemessenheitsentscheidung vorbereitet werden sollte.

Nachdem nun der Vertragstext Makulatur ist, besteht für die Unternehmen dringlichster Handlungsbedarf, die personenbezogene Daten mit Geschäftspartnern in Großbritannien austauschen. Sie müssen bis Ende März 2019 durch eines der oben genannten Instrumente oder durch einzelvertraglichen Gestaltung und ggf. entsprechende Genehmigungen der Aufsichtsbehörden die Vorgaben der DSGVO zum Drittlandstransfer gewährleisten. Andernfalls würden die entsprechenden Übermittlungsvorgänge illegal. 

Es ist zu hoffen, dass die europäischen Datenschutzaufsichtsbehörden den Unternehmen dabei beratend zur Seite stehen.

Ihr 

Peter Schaar

Neues EuGH-Urteil zur Vorratsdatenspeicherung: Bürgerrechte auch in schwierigen Zeiten bewahren!

English version see here

Der Europäische Gerichtshof hat den mehr als 500 Millionen EU-Bürgerinnen und -Bürgern ein Weihnachtsgeschenk gemacht. Mit seinem neuen Urteil zur Vorratsdatenspeicherung (
C-203/15 v. 21. Dezember 2016) – unterstreicht das höchste Gericht der Europäischen Union die Bedeutung der Grund- und Bürgerrechte. Alle Mitgliedstaaten sind gehalten, die in der Europäischen Grundrechtecharta verbrieften Rechte auch in ihrer nationalen Gesetzgebung zu berücksichtigen. Damit setzt der EuGH ein wichtiges Signal, das angesichts der aktuellen politischen Diskussion über innere und äußere Bedrohungen und dem Erstarken von autoritären politischen Strömungen kaum zu überschätzen ist.

Der EuGH bleibt sich treu

Die Entscheidung des Europäischen Gerichtshofs liegt auf einer Linie mit seinem Urteil vom 8. April 2014, mit dem das Gericht die Richtlinie 2006/24/EG über die Vorratsspeicherung von Daten für ungültig erklärt hatte. Die mit dieser Richtlinie vorgeschriebene allgemeine Verpflichtung zur Vorratsspeicherung von Verkehrs- und Standortdaten beschränkte sich nicht auf das absolut notwendige Maß und griff damit unverhältnismäßig in die Grundrechte auf Achtung des Privatlebens und den Schutz personenbezogener Daten (Art. 7 und 8 EUGRCh) ein.

Trotz der Annullierung der VDS-Richtlinie setzten mehrere Mitgliedstaaten ihre Praxis der Vorratsdatenspeicherung fort oder erweiterten sie sogar. Letzteres geschah in Großbritannien, wo im Eilverfahren bereits kurze Zeit nach dem EuGH-Urteil – im Juli 2014 – neue gesetzliche Grundlagen zur Vorratsdatenspeicherung beschlossen wurden, die sogar über die annullierte EU-Richtlinie hinausgingen. Die weitgehenden aktuellen Verpflichtungen zur obligatorischen Datenspeicherung und die Überwachungsbefugnisse der Sicherheitsbehörden sollen nach dem Willen des britischen Parlaments mit dem sog. „Investigatory Powers Act“ kurzfristig sogar noch ausgeweitet werden und künftig auch sämtliche Web-Dienste umfassen, etwa Transaktionen in sozialen Netzwerken oder im Rahmen von Online-Spielen. Am 29. November 2016 einigten sich  das Ober- und Unterhaus auf einen entsprechenden Gesetzestext,
der nach seiner formalen Billigung durch die Queen demnächst in Kraft treten soll. Auch in anderen Mitgliedstaaten gibt es – unterschiedlich weit reichende – gesetzliche Vorgaben, welche die Anbieter von Telekommunikations- und Internetdiensten dazu verpflichten, Verkehrs- und Standortdaten auch dann vorzuhalten, wenn diese für die Erbringung oder Abrechnung des jeweiligen Dienstes nicht bzw. nicht mehr erforderlich sind.

EU-Grundrechtecharta bindet auch den nationalen Gesetzgeber

Ein schwedisches und ein britisches Gericht hatten dem EuGH die Frage zur Klärung vorgelegt, ob die jeweiligen nationalen Regelungen zur Vorratsdatenspeicherung den europarechtlichen Vorgaben entsprechen.

Der EuGH beantwortet diese Frage dahingehend, dass das Unionsrecht nationalen Regelungen entgegensteht, die eine allgemeine und unterschiedslose Speicherung von Daten vorsehen. Der Grundrechtseingriff, der mit einer nationalen Regelung einhergehe, die eine Speicherung von Verkehrs- und Standortdaten vorsieht, sei als besonders schwerwiegend anzusehen. Die Mitgliedstaaten dürfen nicht – wie geschehen – Regelungen, die auf einem wegen seiner Grundrechtswidrigkeit annullierten EU-Rechtsakt basieren oder sogar über diesen hinausgehen, einfach beibehalten oder neu beschließen.

Die Vorgaben des EU-Rechts binden den nationalen Gesetzgeber. Die EU-Datenschutzrichtlinie 2002/58/EG für elektronische Kommunikation („ePrivacy“-Richtlinie) sei im Lichte der Grundrechtecharta auszulegen. Ausnahmen vom Schutz personenbezogener Daten seien auf das absolut Notwendige zu beschränken. Dies gelte nicht nur für die Regeln über die Vorratsdatenspeicherung selbst, sondern auch für den Zugang von Behörden zu den gespeicherten Daten. Eine nationale Regelung, die eine „allgemeine und unterschiedslose Vorratsdatenspeicherung“ vorsieht, keinen Zusammenhang zwischen den Daten, deren Vorratsspeicherung vorgesehen ist, und einer Bedrohung der öffentlichen Sicherheit verlangt und sich insbesondere nicht auf die Daten eines Zeitraums und/oder eines geografischen Gebiets und/oder eines Personenkreises, der in irgendeiner Weise in eine schwere Straftat verwickelt sein könnte, beschränkt, überschreite die Grenzen des absolut Notwendigen und könne nicht als in einer demokratischen Gesellschaft gerechtfertigt angesehen werden. Gesetze der Mitgliedstaaten, die diesen Anforderungen nicht entsprechen, müssen dementsprechend aufgehoben bzw. geändert werden.

Im Hinblick auf die angefochtenen britischen und schwedischen Gesetze liegt der Ball jetzt wieder bei den zuständigen nationalen Gerichten, die den EuGH zur Klärung der strittigen Rechtsfragen angerufen hatten und die nun für die Durchsetzung der EuGH-Vorgaben sorgen müssen. Besondere Verantwortung tragen aber auch die Parlamente und Regierungen der Mitgliedstaaten, denen es obliegt, die jeweiligen Bestimmungen des nationalen Rechts zu überprüfen und ggf. zu korrigieren.

Was wird aus der deutschen Vorratsdatenspeicherung ?

Welche Konsequenzen sich für die jüngst wieder eingeführte deutsche Vorratsdatenspeicherung ergeben, muss ebenfalls dringend überprüft werden. Zwar bleiben die Speicherungsverpflichtungen des neuen deutschen Vorratsdatenspeicherungsgesetzes hinter der vom Bundesverfassungsgericht 2010 aufgehobenen Vorgängerregelung zurück. Es ist jedoch höchst zweifelhaft, ob damit auch die Vorgaben des EuGH erfüllt werden, denn auch nach der neuen Regelung sind die Daten unterschiedslos und flächendeckend zu speichern, ohne jede sachliche Begrenzung auf einen Gefahrenbereich oder eine besondere Risikosituation.

Dass die Bundesregierung bzw. die sie tragenden Parlamentsfraktionen diese Prüfung nun ergebnisoffen vornehmen werden, erscheint angesichts der von diesen gerade beschlossenen und angekündigten Befugnisserweiterungen für die Sicherheitsbehörden höchst unwahrscheinlich. Letztlich wird wohl erneut das Bundesverfassungsgericht hier für Klarheit sorgen müssen.

Peter Schaar (21. Dezember 2016)

Datenschutz-Brexit: out is out

Von Peter Schaar, Vorsitzender der Europäischen Akademie für Informationsfreiheit und Datenschutz

Die Frage nach den Folgen des Brexit-Volksentscheid für den Datenschutz kann derzeit nicht abschließend beantwortet werden. Zumindest bis zum Ergebnis der anstehenden Austrittsverhandlungen bleiben erhebliche Unsicherheitsfaktoren. Sofern  keine besonderen Vereinbarungen zum Datenschutz getroffen werden, wird Vereinigten Königreich ab dem Datum des Austritts zu einem Drittstaat wie jeder andere, etwa Japan oder Südafrika.

Im günstigsten Falle bekommt das Land einen Status wie Norwegen, das dem europäischen Wirtschaftsraum angehört und damit weitgehend zur Anwendung des EU-Rechts verpflichtet ist, ohne jedoch – wie die EU-Mitgliedstaaten – über effektive Mitspracherechte und Mitwirkungsmöglichkeiten im Europäischen Datenschutzausschuss zu verfügen.

Dass sich die britische Regierung und das Parlament darauf einlassen werden, die in der ab Mai 2018 anwendbaren Datenschutzgrundverordnung 1:1 anzuerkennen, erscheint äußerst unwahrscheinlich, zumal Großbritannien sich schon mit deren Verabschiedung schwergetan hat. Hinzuweisen ist etwa  auf die Erklärung der britischen Regierung, Art. 48 der Grundverordnung, die so genannte „NSA-Klausel“ nicht anzuerkennen, die die europäischen Bürgerinnen und Bürger vor drittstaatlichen Überwachungsmaßnahmen  schützen soll. Unabhängig davon, dass die Wirksamkeit dieser Erklärung („Opt Ourt“) europarechtlich zweifelhaft ist, würde Art. 48 nach dem EU-Austritt wohl auch auf das Vereinigte Königreich anwendbar sein, sofern die britische Regierung die Anerkennung dieser Vorschrift weiterhin verweigert. Damit würde die Datenübermittlung  bzw. die Datenhherausgabe an britische Behörden oder Gerichte nur noch im Rahmen von Rechtshilfeabkommen erfolgen können. Dies ist insbesondere deshalb von Bedeutung, weil das britische Parlament kürzlich die ohnehin schon starken Überwachungsbefugnisse  der Sicherheitsbehörden und die damit korrespondierenden Verpflichtungen von Unternehmen  mit dem „Investigatory Powers Bill“  drastisch ausgeweitet hat.

Wahrscheinlicher ist, dass auf Großbritannien zukünftig die Vorgaben  der Datenschutzgrundverordnung zur Übermittlung personenbezogener Daten an Drittstaaten (Art. 44 ff)  Anwendung finden. Danach ist jedwede Übermittlung personenbezogener Daten nur zulässig, wenn der Verantwortliche und der Auftragsverarbeiter die in der Grundverordnung festgelegten Bedingungen einhält; dies gilt auch für die etwaige Weiterübermittlung personenbezogener Daten an ein anderes Drittland oder an eine internationale Organisation. Die Datenschutzgrundverordnung erlaubt die Übermittlung auf der Basis eines „Angemessenheitsbeschlusses“ der Europäischen Union oder sonstiger geeigneter Garantien, insbesondere auf der Grundlage von Standardvertragsklauseln oder im Rahmen eines Systems verbindlicher Unternehmensregeln (Binding Corporate Rules).

Der britische Information Commissioner (ICO) hat bereits  darauf hingewiesen, dass das Vereinigte Königreich  weiterhin klare und effektive Datenschutzgesetze benötige, unabhängig von der Frage der EU-Zugehörigkeit (https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2016/04/statement-on-the-implications-of-brexit-for-data-protection/).  Sollte der britische Gesetzgeber diesem Ratschlag folgen, könnte die europäische Kommission gemäß Art. 45 der Datenschutzgrundverordnung das Bestehen eines „angemessenen Datenschutzniveaus“  feststellen. Eine solche Feststellung ist jedoch kein Selbstgänger und bedürfte gründlicher Prüfungen und Vorbereitungen, die innerhalb der zur Verfügung stehenden Zweijahresfrist für die Umsetzung des EU-Austritts kaum bewältigt werden könnten.

Vor diesem Hintergrund müssen  die Unternehmen aber auch staatliche Stellen der EU-Staaten und EU-Institutionen Vorsorge dafür treffen, dass die Datenübermittlung in das Vereinigte Königreich zukünftig erheblich erschwert wird. Dies trifft insbesondere solche Unternehmen hart, bei denen im Rahmen  eingespielter Geschäftsprozesse europaweit erhobene Daten in Großbritannien zusammengeführt und verarbeitet werden.

Peter Schaar

Mazzini und Snowden

1844 bewegte eine Abhöraffäre die Londoner Öffentlichkeit – ein Skandal, der interessante Parallelen zu der aktuellen Snowden-Affäre aufweist. Der italienische Polit-Aktivist Giuseppe Mazzini setzte sich von seinem Londoner Wohnort aus für die staatliche Einigung Italiens ein und korrespondierte intensiv mit Gleichgesinnten im In- und Ausland. Diese Aktivitäten erregten das Misstrauen des österreichisch-ungarischen Kaiserreichs, das Teile Italiens besetzt hielt. Um dem für die Donaumonarchie abträglichen Treiben entgegenzuwirken, wandte sich der österreichische Botschafter in London an die britische Regierung und verlangte, die Post Mazzinis zu überwachen – mit Erfolg. Die von Mazzini geschriebenen und die an gerichteten Briefe wurden im Royal Post Office geöffnet, kopiert und der Inhalt den Österreichern mitgeteilt.

Die Überwachung flog auf, nachdem Mazzini und seine Freunde misstrauisch geworden waren und durch einige Tricks herausfanden, dass ihre Briefe geöffnet wurden. Mazzini ging an die britische Öffentlichkeit. Die Empörung war groß – Politiker verlangten von der Regierung eine Erklärung, die diese zunächst unter Berufung auf das Staatswohl und die notwendige Geheimhaltung ablehnte. Das britische Parlament gab sich mit dieser Erklärung nicht zufrieden und richtete einen Untersuchungsausschuss ein, der das ganze Ausmaß der Überwachung sichtbar machte: Nicht nur Mazzini, sondern auch viele andere Personen standen unter Überwachung. Ihre Briefe wurden ausgesondert und geöffnet.

Warum regte sich die Öffentlichkeit auf? War nicht aus der britischen Vergangenheit durchaus bekannt, dass in Großbritannien wie in vielen anderen Staaten Postsendungen überwacht wurden? Die Kritik war besonders deshalb so scharf, weil wenige Jahre zuvor die „Penny Post“ – ein allgemein gegen geringes Entgelt zugänglicher Dienst der Royal Mail eingeführt worden war. Der Umfang des Brieftransports war daraufhin stark angestiegen und die Fernkorrespondenz gehörte inzwischen zum Alltag vieler Menschen und beschränkte sich nicht mehr auf Aristokraten, Fernhändler, Diplomaten und sonstige herausgehobene Persönlichkeiten. Die Überwachung der Briefpost, die man zuvor hinzunehmen bereit gewesen war, war damit zu einem Massenphänomen geworden, das prinzipiell jeden betraf.

Die Affäre hatte schließlich ein Happy End: Angesichts der anhaltenden Empörung wurde das für die Überwachung verantwortliche „Inner Office“ aufgelöst und die britische Regierung versprach, das Postgeheimnis zukünftig einzuhalten. Jedenfalls wurde die Überwachung drastisch reduziert und britische Briefschreiber konnten über Jahrzehnte in aller Regel sicher sein, dass ihre mit der Royal Post abgewickelte Korrespondenz nicht von Dritten mitgelesen oder kopiert wurde.

Bei der heutigen Überwachung durch den britischen Geheimdienst GCHQ und die amerikanische NSA sind wir von einem solchen Happy End noch weit entfernt. Die Mazzini-Affäre, wie bedeutsam eine kritische Öffentlichkeit ist, wenn es um die Bewahrung von Bürgerrechten geht. Dies gilt auch heute – für Großbritannien wie für den Rest der Welt!

Mit freundlichen Grüßen

Peter Schaar

P.S. Auf die Mazzini-Affäre hat mich – am Rande einer Konferenz zum Datenschutz und zur IT-Sicherheit – Reinhard Posch hingewiesen, der im österreichischen Bundeskanzleramt als CIO tätig ist. Herzlichen Dank!