Brexit: Zitterpartie beim EU-Datenfluss nach Großbritannien dauert an
Im Brexit-Abkommen haben sich EU und London nur auf eine verlängerte, allenfalls sechsmonatige Übergangsbestimmung zum Datentransfer zwischen Firmen geeinigt.
(Bild: Pixelbliss/Shutterstock.com)
Auch mit dem Ende 2020 vereinbarten Handels- und Kooperationsabkommen zwischen der EU und Großbritannien ist die Kuh beim Übermitteln persönlicher Daten zwischen Unternehmen auf beiden Seiten des Ärmelkanals noch nicht vom Eis. Die Übereinkunft sieht dazu nur eine weitere, viermonatige Übergangsfrist für Datentransfers seit Neujahr vor, die auf ein halbes Jahr verlängert werden kann.
Digitalen Handel erleichtern
Das Vereinigte Königreich gilt seit dem Jahreswechsel grundsätzlich als Drittland im Sinne der Datenschutz-Grundverordnung (DSGVO). Zunächst hatte hier eine Schonfrist bis zum 31. Dezember 2020 gegolten. Ohne das Abkommen wäre danach ein Transfer personenbezogener Daten auf die britische Insel nur noch unter den strengen Voraussetzungen der Artikel 44 folgende DSGVO zulässig gewesen. Angesichts bestehender vielfältiger Lieferketten und verflochtener Geschäftsprozesse hätte dies wohl unvermeidlich zu großen Rechtsunsicherheiten und gegebenenfalls andauernden Datenschutzverstößen geführt.
Der auf Deutsch 1390 Seiten starke Vertrag zielt laut der EU-Kommission generell darauf ab, "den digitalen Handel zu erleichtern, indem ungerechtfertigte Hindernisse beseitigt und ein offenes, sicheres und vertrauenswürdiges Online-Umfeld für Unternehmen und Verbraucher" sowie hohe Standards für den Schutz personenbezogener Daten gewährleistet werden sollen. Vorschriften für das lokale Speichern von Informationen dürfe es nicht geben, der "politische Spielraum der EU in Bezug auf den Datenschutz" bleibe erhalten.
Britische Standards sollen denen der EU entsprechen
Auf EU-Seite erfordert eine langfristige Lösung für den privatwirtschaftlichen Datenfluss eine offizielle Bescheinigung, dass die britischen Standards im Wesentlichen denen der Union entsprechen, die in der DSGVO und der parallelen Richtlinie für Polizei und Justiz festgelegt sind. Großbritannien muss laut der Brüsseler Regierungsinstitution in diesem Bereich auch "spezifische zusätzliche" Vorgaben einhalten, die sich aus Stellungnahmen des Europäischen Gerichtshofs ergeben.
Die Kommission arbeitet nach eigenen Angaben seit März "intensiv" an ihren einschlägigen Angemessenheitsentscheidungen für das Vereinigte Königreich. Sobald sie mit den eingegangenen Informationen zufrieden sei, werde sie das Annahmeverfahren unverzüglich einleiten. Dafür müssten auch der Europäische Datenschutzausschuss (EDSA) und die Mitgliedstaaten ihr Plazet geben. Die Überbrückungslösung solle bis dahin "Stabilität und Kontinuität" gewährleisten.
"Kurz vor der Ziellinie des Brexits hat es geklappt, auch die Datenübermittlungen in das Vereinigte Königreich zu erhalten", erklärte der rheinland-pfälzische Datenschutzbeauftragte Dieter Kugelmann. "Gravierende Erschwernisse für die betroffenen Unternehmen werden so zunächst vermieden. Aber den Unternehmen sollte nicht die Puste ausgehen. Es gilt, sich auf ein Ende der Übergangszeit vorzubereiten, um Geschäftsprozesse gegebenenfalls anzupassen".
Sechs von zehn Unternehmen übertragen Daten nach Großbritannien
Die Kommission sieht der Kontrolleur in der Pflicht, "zeitnah tragfähige Adäquanzentscheidungen vorzulegen", die auch die aktuelle EuGH-Rechtsprechung berücksichtigten. Selbst wenn Firmen auf einen solchen Beschluss hoffen dürften, sollten sie sich nicht darauf verlassen. Der britische Premierminister Boris Johnson betonte wiederholt, dass seine Regierung mit dem Brexit beim Datenschutz eine von der EU "losgelöste und unabhängige" Linie verfolgen werde. Von einem vergleichbaren Niveau auf diesem Feld könnte dann eventuell nicht mehr die Rede sein.
Die Arbeit sei noch nicht getan, mahnte der IT-Dachverband DigitalEurope. Die EU müsse rasch einen Angemessenheitsbeschluss fassen. Eine aktuelle einschlägige Studie zeige, dass sechs von zehn europäischen Unternehmen Daten zwischen der EU und Großbritannien übertrügen.
Kein Zugang zum Schengen-Informationssystem
Die Gewährleistung der Sicherheit der Bürger der EU und des Vereinigten Königreichs vor gemeinsamen und sich entwickelnden Bedrohungen wie grenzüberschreitender Kriminalität, Cybercrime und Terrorismus bleibe eine gemeinsame Priorität, schreibt die Brüsseler Exekutivinstanz weiter. Dies erfordere eine "effektive und schnelle Zusammenarbeit, den Austausch von Daten und Analysen". Jede Kooperation mit einem Drittland müsse aber "mit soliden und dauerhaften Garantien für den Schutz der Menschenrechte und Grundfreiheiten des Einzelnen, einschließlich des Datenschutzes, einhergehen".
Einen direkten Zugang zum Schengen-Informationssystem (SIS) erhalten die Briten nicht mehr. Die Übereinkunft enthält laut der Kommission aber "ehrgeizige Bestimmungen für einen zeitnahen, effektiven und effizienten Austausch" und Schutz von Fluggastdaten (PNR). Voraussetzung auch dafür sei, dass London die einschlägigen EU-Gesetze anerkenne und die Vorgaben aus dem EuGH-Beschluss zum vorerst gekippten PNR-Abkommen zwischen der EU und Kanada befolge.
Zugriffe auf nationale Datenbanken
Ähnliches gilt dem Wälzer nach für den raschen gegenseitigen Austausch von DNA-, Fingerabdruck- und Fahrzeugregisterdaten. Hier wird Großbritannien als erster Drittstaat so behandelt wie die Unterzeichnerländer des 2005 geschlossenen Prümer Vertrags aus der EU, solange es vergleichbare Schutzstandards aufrechterhält. Zugriffe auf nationale Datenbanken erfolgen in diesem Rahmen in einem abgestuften Verfahren auf Basis konkreter Treffer zu Suchanfragen.
Potenzielle Streitigkeiten über den Grundrechtsschutz im Bereich Strafverfolgung und Justiz sollen zunächst über ein spezielles Schiedsverfahren geklärt werden. Ist dieses nicht erfolgreich, kann die Zusammenarbeit in diesem Sektor etwa bei einem schweren Verstoß gegen Verpflichtungen aus dem Abkommen ausgesetzt oder beendet werden.
(tiw)
