Datentransfers nach dem Brexit: „Auf alle Eventualitäten vorbereiten“

Mit dem endgültigen Austritt des Vereinigten Königreichs aus der EU und dem Ende der Übergangszeit könnten sich auch die Datenschutzregelungen auf den Inseln ändern. [EPA/LAURENT DUBRULE]

Es könnte eine Reihe von „Hürden“ bei der Erreichung eines Angemessenheitsabkommens zwischen der EU und dem Vereinigten Königreich bezüglich Datentransfers nach dem Brexit geben. Der Block sollte daher „Schritte unternehmen, um sich auf alle Eventualitäten vorzubereiten“, warnte der Europäische Datenschutzbeauftragte (EDSB) diese Woche.

Bei der Abgabe einer Stellungnahme zur Eröffnung der Verhandlungen über ein zukünftiges Handelsabkommen sagte der EDSB Wojciech Wiewiórowski, die Union müsse sich darauf vorbereiten und mit der Möglichkeit auseinandersetzen, dass ein sogenanntes Angemessenheitsabkommen vor Ende 2020 nicht möglich sein könnte. Grund dafür sind die kürzlich öffentlich gemachten Pläne Londons, gegebenenfalls von den EU-Datenschutzstandards abzuweichen.

„Angesichts der besonderen Situation des Vereinigten Königsreichs würde jede substanzielle Abweichung vom EU-Datenschutz-Acquis – die zu einer Senkung des Schutzniveaus führen würde – ein großes Hindernis für die Feststellung dieser Angemessenheit darstellen,“ warnte Wiewiórowski in einem Anfang der Woche veröffentlichten Papier.

„Der EDSB empfiehlt der Union auch, Schritte zu unternehmen, um sich auf alle Eventualitäten vorzubereiten, einschließlich der Szenarien, in denen die Angemessenheitsentscheidung(en) nicht innerhalb der Übergangszeit angenommen werden können; in denen überhaupt keine Angemessenheitsentscheidung angenommen werden; oder in denen sie nur in Bezug auf einzelne Bereiche angenommen werden,“ heißt es dort weiter.

Johnson will sich nicht zu EU-Datenschutzvorschriften verpflichten

Das Vereinigte Königreich will sich von den EU-Datenschutzvorschriften lossagen und eigene „souveräne“ Kontrollen in diesem Bereich errichten, kündigte der britische Premierminister Boris Johnson am Montag, den 3. Februar, an.

In der Datenschutzgrundverordung (DSGVO) der EU werden grundlegende Anforderungen für Datenschutzstandards festgelegt sowie Mindestnormen für den Schutz der Privatsphäre bei der Übertragung von EU-Daten in Länder außerhalb des Blocks behandelt. Mit Ländern außerhalb der EU unterzeichnet die Union häufig sogenannte Angemessenheitsvereinbarungen, mit denen der Schutz personenbezogener Daten gewährleistet werden soll.

Die Europäische Kommission hat bereits erklärt, dass die Bewertungen für ein derartiges Angemessenheitsabkommen zwischen dem Vereinigten Königreich und der EU eigentlich schon am 1. Februar hätten beginnen sollen.

Komplizierte Einigung

Die Schritte zur Verabschiedung eines Angemessenheitsabkommens, das den Datentransfer zwischen der EU und dem UK ermöglichen würde, umfassen zunächst eine gewisse Zeit der Bewertung durch die Kommission, gefolgt von einem Entscheidungsentwurf, einer Stellungnahme des Europäischen Datenschutzrates und dann einer endgültigen Genehmigung durch die Mitgliedsstaaten und das Kollegium der EU-Kommissare.

In einer vom Europäischen Parlament am 12. Februar angenommenen Entschließung wurde indes eine Reihe von Bedenken gegen die derzeitigen Datenschutzregelungen des Vereinigten Königreichs geäußert. Die Einigung auf eine Angemessenheitsvereinbarung über Datentransfers sei problematisch, obwohl das Vereinigte Königreich die DSGVO über den Data Protection Act von 2018 in nationales Recht umgesetzt habe.

Wörtlich heißt es in der Entschließung, für eine zukünftige Einigung müsse nachweisbar sein, „dass das Vereinigte Königreich ein Schutzniveau vorsieht, dass gegenüber dem Rechtsrahmen der EU im Wesentlichen gleichwertig ist“. Mit Blick auf die derzeitige britische Gesetzeslage gebe es aber Bedenken hinsichtlich der Weitergabe persönlicher Daten an Drittstaaten, der Verarbeitung persönlicher Daten zu Einwanderungszwecken und der Speicherung elektronischer Telekommunikationsdaten.

Daher seien die Voraussetzungen für ein Angemessenheitsabkommen „derzeit nicht gegeben“.

Der Brexit ist durch; jetzt kommt der schwierige Teil

Es sind nur noch wenige Stunden, bis das Vereinigte Königreich offiziell aus der EU ausscheidet. In Bezug auf Handelsfragen geht es dann aber erst richtig los.

Eine Sprecherin der Europäischen Kommission erklärte gegenüber EURACTIV.com kürzlich, die Kommission werde sich „bemühen“, bis Ende 2020 eine Entscheidung zu treffen, „sofern die entsprechenden Bedingungen erfüllt sind“. Die internen Vorbereitungen dafür seien im Gange. Die Kommissionssprecherin wollte allerdings nicht bestätigen, ob das Bewertungsverfahren bereits begonnen hat.

Darüber hinaus äußern sich bereits diverse Akteure der Tech-Branche besorgt zu den potenziellen Risiken für den zukünftigen Datentransfer, sollte eine Angemessenheitsvereinbarung vor Ende 2020 nicht erreicht werden. Thomas Boué, Generaldirektor für Europapolitik beim Software-Handelsverband BSA, sagte gegenüber EURACTIV beispielsweise, dass „es in den nächsten zehn Monaten entscheidend sein wird, auf der bestehenden Konvergenz der Regeln, einschließlich der Regeln zum Schutz der Privatsphäre und zum Handel, aufzubauen, um einen starken und umfassenden Rahmen für den Datentransfer zwischen der EU und dem Vereinigten Königreich zu verankern“.

Die britischen Datenschutzpläne

In einem Schreiben an das House of Commons von Anfang Februar hatte der britische Premierminister Boris Johnson mitgeteilt, das Vereinigte Königreich werde eine von der EU „losgelöste und unabhängige Politik“ in einer Reihe von Bereichen, einschließlich des Datenschutzes, entwickeln. Die Regierung wolle dabei aber hohe Standards aufrechterhalten, heißt es in der Erklärung weiter.

Dies folgte auf eine frühere Stellungnahme der damaligen Digitalministerin Nicky Morgan, die schon einmal die Richtung andeutete, die das Land in seiner nationalen Datenstrategie nach dem Brexit einschlagen will: Morgan versprach, sie wolle „die Macht der Daten vollständig und verantwortungsbewusst für Menschen und Organisationen in ganz Großbritannien freisetzen„.

Europäische Polizeibehörden planen gemeinsame Gesichtserkennungsdatenbank

Die Polizeikräfte in der Europäischen Union planen offenbar die Einrichtung eines miteinander verbundenen, EU-weiten Netzes von Gesichtserkennungsdatenbanken.

Andernorts hat der Privatsektor bereits damit begonnen, die Auswirkungen zu nutzen, die ein britisches Abweichen von den strengen Datenvorschriften der EU mit sich bringen dürfte. Google bestätigte kürzlich Pläne, die Daten britischer NutzerInnen von Irland, wo sie weiterhin unter der Gerichtsbarkeit der EU stehen würden, in die USA zu verlagern.

Der Schritt wurde vor allem aufgrund von Bedenken gemacht, dass sich das Vereinigte Königreich weiterhin an die DSGVO halten könnte. Nach Johnsons jüngsten Äußerungen ist ohnehin wahrscheinlich, dass Änderungen am britischen Datenschutzgesetz vorgenommen werden.

So oder so: Der US-Datenschutz gilt weltweit als einer der schwächsten. Die Verlagerung der Google-Daten von Irland in die USA könnte daher auch den britischen Strafverfolgungsbehörden im Rahmen der Bestimmungen des US Cloud Act einen leichteren Zugang zu den Daten britischer BürgerInnen, die sich im Besitz des amerikanischen Unternehmens befinden, ermöglichen.

Das Vereinigte Königreich und die USA werden diesen Zugang zu Daten wahrscheinlich als Teil eines möglichen Freihandelsabkommens zwischen den beiden Staaten diskutieren. Die Verhandlungen dazu sollen bald starten.

[Bearbeitet von Zoran Radosavljevic und Tim Steins]

Apple-CEO: USA sollten beim Datenschutz "dem Beispiel der EU" folgen

Die Menschheit lebe inmitten eines „Datenindustriekomplexes, in dem unsere eigenen Informationen mit militärischer Effizienz gegen uns gerichtet sind“, so Tim Cook.

Barnier erwartet "komplexe und schwierige" Handelsgespräche mit London

Die EU und das Vereinigte Königreich haben ihre jeweiligen Verhandlungsmandate für die Gespräche über eine neue Handels- und politische Partnerschaft beschlossen. Damit ist die Bühne für einen zermürbenden Kampf um Regulierungsstandards bereitet.

Europäische Cloud: Microsoft in Gesprächen mit Berlin

Microsoft hat enthüllt, dass es Gespräche mit dem deutschen Wirtschaftsministerium geführt hat. Dabei ging es darum, ob das Unternehmen als Lieferant für die geplante europäische Cloud-Netzwerkinfrastruktur (Gaia-X) unter Vertrag genommen werden könnte.

Subscribe to our newsletters

Subscribe

Wissen was in Europas Hauptstädten passiert - abonnieren Sie jetzt unseren neuen 10 Uhr Newsletter.