Der Brexit betrifft nicht nur so prominente Themen wie Arbeitnehmerfreizügigkeit und die Beibehaltung der "grünen Grenze" zwischen Irland und Nordirland. Auch der Datenschutz ist unmittelbar betroffen.
Grenzkontrollen für den Datenschutz nach Brexit?
Was passiert mit dem Datenschutz, wenn Großbritannien aus der EU ausgetreten ist? Diese Frage dürfte oftmals nicht die dringlichste sein, die sich EU-Bürger und -Unternehmen stellen. Andere Problemfelder, wie wohnen und arbeiten in Großbritannien oder die Wiedereinführung von Grenzkontrollen betreffen den Alltag vieler Menschen und Unternehmen auf den ersten Blick sehr viel direkter.
Doch wenn man bedenkt, dass Großbritannien 2017 fünftgrößter Exportmarkt für Deutschland war, so sollte man den Datenschutz ebenfalls als wichtiges Thema wahrnehmen. Denn enorme Mengen an personenbezogenen Daten von Kunden, Lieferanten oder Beschäftigten werden täglich zwischen dem europäischen Festland und den britischen Inseln übermittelt.
Mit dem bevorstehenden Austritt aus der EU wird aller Voraussicht nach mit der grenzenlosen Übermittlung personenbezogener Daten jedoch vorerst Schluss sein. Es zeichnet sich immer stärker ab, dass Großbritannien zu einem sogenannten "unsicheren Drittland" wird, in das die Übermittlung personenbezogener Daten nach den Artikeln 44 bis 50 der Europäischen Datenschutz-Grundverordnung (DSGVO) grundsätzlich verboten wäre. Dies hat die EU-Kommission mit ihrer "Notice to Stakeholders" vom 09. Januar 2018 für den Bereich Datenschutz klargestellt. Gleichzeitig finden sich in dem Dokument aber auch Lösungsansätze, aufgrund derer die Datenübermittlung doch zulässig sein könnte.
(Keine) Lösung auf staatlicher Ebene?
Zunächst existieren im unmittelbaren Verhältnis zwischen Großbritannien und der EU eine Vielzahl von Möglichkeiten, das zuvor dargestellte Übermittlungsverbot abzuwenden.
Dass Großbritannien Teil des EWR wird, scheint immer unwahrscheinlicher. Hier wäre der Lösungsweg einfach, denn im EWR wird die DSGVO umgesetzt, und Großbritannien würde damit als datenschutzrechtlich "sicher" gelten.
Der Haken: Nicht nur steht beispielsweise Norwegen als EWR-Mitglied dem skeptisch gegenüber, die Briten möchten selbst wohl auch gar nicht in den EWR.
Ähnlich negativ sind die Aussichten für gesonderte Datenschutzabkommen. Auch das am 14. November 2018 von der EU und Großbritannien ausgehandelt Austrittsabkommen hilft nur eingeschränkt. Das letztgenannte Austrittsabkommen würde zwar die Geltung der DSGVO für eine Übergangszeit bis Ende 2020 zulassen und damit die vorläufige Zulässigkeit von Datenübermittlungen festschreiben. Es bleibt jedoch zweifelhaft, ob ein solcher Vertrag den Anforderungen eines Angemessenheitsbeschlusses im Sinne des Artikel 45 DSGVO gerecht würde.
Stattdessen hat Theresa May in einer Grundsatzrede verkündet, dass Großbritannien ein eigenes Freihandelsabkommen mit der EU bevorzuge. In diesem Abkommen könnten dann (ähnlich wie beispielsweise im CETA-Abkommen mit Kanada) auch Regelungen zum Datenschutz bzw. zur Zulässigkeit von Datenübermittlungen nach Großbritannien enthalten sein. Ob und wann ein solches Abkommen aber überhaupt geschlossen wird und ob es dann tatsächlich Vorgaben zum Datenschutz macht, ist allerdings noch unklar.
Rettung durch die EU-Kommission?
Neben zwischenstaatlichen Abkommen besteht auch noch die Möglichkeit, dass die EU-Kommission einen "unmittelbaren" Angemessenheitsbeschluss nach Artikel 45 DSGVO erlässt. In einem solchen Beschluss wird festgestellt, dass das datenschutzrechtliche Niveau eines Staates dem Niveau der DSGVO entspricht. Dann wäre eine Übermittlung personenbezogener Daten zulässig.
- Großbritannien: Cabinet Office
In Großbritannien gingen 2008 sicherheitspolitisch brisante Daten bezüglich Al-Qaida und den Irak aufgrund eines menschlichen Fehlers verloren. Ein Angestellter des Cabinet Office, welches direkt dem Premierminister und den Ministers of Cabinet untersteht, muss mit seinen Gedanken schon ganz im Feierabend gewesen sein, als er seine Arbeitsunterlagen in einem Pendelzug liegen ließ. Ein Fahrgast fand den Ordner mit den streng geheimen Dokumenten und übergab diesen der BBC, die ihn wiederum an die Polizei weiterleitete. Obwohl die Tagträumerei gerade noch einmal gut ging, wurde der Beamte daraufhin wegen Fahrlässigkeit suspendiert. - Frankreich: TV5 Monde
Am 8. April 2015 wurde das Programm von TV5 Monde über mehrere Stunden hinweg blockiert, nachdem sich eine dem IS nahestehende Hacker-Gruppe namens „Cyber-Kalifat“ Zugang zu den IT-Systemen verschafft hatte. Nur einen Tag nach der Cyberattacke erlebte der französische TV-Sender ein Datenschutz-Debakel – dieses Mal aufgrund menschlichen Versagens: Reporter David Delos enthüllte während eines Interviews unabsichtlich die Passwörter für Social-Media-Konten des Senders - darunter YouTube, Instagram und Twitter. Diesen waren auf dem Whiteboard hinter dem Pechvogel zu sehen. Auch wichtige Telefonnummern waren zu sehen. Darüber hinaus offenbarte die Wand auch, wie es zum vorangegangenen Hack durch die Islamisten-Hacker kommen konnte: Und zwar in Form des Passwortes für den YouTube-Account von TV5 Monde: "lemotdepassedeyoutube" ( „daspasswortfüryoutube“). - USA: Department of Veterans Affairs
Im Mai 2006 stahl ein Einbrecher den Laptop eines Mitarbeiters des US-Kriegsveteranen-Ministeriums. Dabei wurden ganze 26,5 Millionen Datensätze, die Informationen zu Kriegsveteranen und deren Angehörigen enthielten, entwendet. Der Bestohlene hatte die Daten unerlaubter Weise auf dem Notebook gespeichert, um "von Zuhause aus arbeiten zu können". Dieses menschliche Fehlverhalten wurde darin noch verstärkt, dass die Daten gänzlich unverschlüsselt auf der Festplatte lagen. Einen Monat später tauchte das Device mitsamt den Daten wieder auf - angeblich, ohne Anzeichen einer Kompromittierung. Der entstandene Schaden wurde dennoch auf einen Betrag von 100 bis 500 Millionen Dollar geschätzt. Alleine 20 Millionen Dollar musste das Department of Veteran Affairs in der Folge als Ausgleich an die Geschädigten entrichten. - Norwegen: Steuerbehörde
Im Herbst 2008 hat die norwegische Steuerbehörde Daten zur Einkommenssteuer aller vier Millionen Norweger an Zeitungen und Rundfunkanstalten verschickt. Die Behörde veröffentlicht diese Zahlen jährlich, mit dem Ziel die Bürger zu ehrlichen Steuerzahlern zu "erziehen". Außergewöhnlich ist daran nur, dass in diesem Fall auch die sogenanten Personennummer mitveröffentlicht wurde. Diese besteht aus einer Zahlengruppe und dem Geburtsdatum des Bürgers und wird für gewöhnlich von den Daten abgetrennt, um Anonymität zu gewährleisten. Offiziell ist hierbei nicht von einem menschlichen Fehler die Rede, sondern von einem "Formatierungsproblem". - Belgien: Gesellschaft der Belgischen Eisenbahnen
Die nationale Gesellschaft der Belgischen Eisenbahnen (NBMS) machte Anfang 2013 einen Ordner mit 1,5 Millionen persönlichen Daten ihrer Kunden via Web öffentlich zugänglich. Aus Versehen. Schuld war ein Mitarbeiter, der einen falschen Knopf gedrückt hat. Die Datensätze enthielten Namen sowie Wohn- und E-Mail-Adressen von NMBS-Kunden - darunter auch die von Mitarbeitern und Abgeordneten der EU-Institutionen in Brüssel.
Allerdings ist sehr fraglich, ob die Kommission einen solchen Beschluss fassen wird. Mit dem britischen "Investigatory Powers Bill" von 2016 und der damit einhergehenden umfassenden Möglichkeit zur Vorratsdatenspeicherung sowie der fehlenden Geltung des EU-US-Privacy-Shield für Datenübermittlungen im Verhältnis zwischen Großbritannien und USA existieren unter anderem zwei erhebliche Risiken für personenbezogene Daten, die es in dieser Form in der EU nicht gibt. Ein Angemessenheitsbeschluss dürfte daher erheblichen Bedenken begegnen.
Harter Brexit? - Keine Panik!
Im Falle eines harten Brexit gäbe es keine Übergangsregelung.
Für den Datenschutz gibt es aber eine Lösung. Denn die DSGVO bietet auch für den Fall, dass weder ein Angemessenheitsbeschluss noch ein Abkommen rechtzeitig vorliegen, hinreichende Werkzeuge, um Übermittlungen personenbezogener Daten nach Großbritannien künftig zu ermöglichen.
Aber Achtung: Unternehmen müssen dann selbst sogenannte "geeignete Garantien" nach Artikel 46 DSGVO nachweisen. Zu diesen gehören beispielsweise
verbindliche unternehmensinterne Regelungen ("Binding Corporate Rules", "BCR") oder
Zertifizierungen.
All diesen Maßnahmen ist jedoch eins gemeinsam: Sie erfordern proaktives Handeln der datenverarbeitenden Unternehmen. Und dies nicht erst in ferner Zukunft, sondern jetzt!
Bestehende Auftragsverarbeitungsverträge müssen dringend geprüft und in Nachverhandlungen gegebenenfalls durch EU-Standardvertragsklauseln ergänzt werden. Diese sind auch heute schon das Mittel der Wahl für grenzüberschreitenden Datenverkehr außerhalb der EU/des EWR.
Unternehmensintern müssen zeitnah BCR neu eingeführt oder (falls bereits vorhanden) bestehende BCR überarbeitet werden.
Und für Zertifizierungen muss anhand von Kriterienkatalogen der Aufsichtsbehörden und den Prüfanforderungen der zertifizierenden Stelle nachgewiesen werden können, dass die Verarbeitung personenbezogener Daten in Großbritannien dem Datenschutzniveau der EU entspricht.
Last Exit: Ausnahmetatbestand
Sind die vorgenannten Instrumente nicht anwendbar, so bietet die DSGVO mit Artikel 49 einen letzten "Rettungsanker". Die dort aufgelisteten Ausnahmen sehen eine Zulässigkeit von Datenübermittlungen auch ohne Angemessenheitsbeschluss oder geeignete Garantien vor, zum Beispiel bei der expliziten Einwilligung des Betroffenen. Diese Ausnahmen sind aber sehr restriktiv zu verstehen, ihre Anwendung muss grundsätzlich ausführlich beurteilt und diese Beurteilung dokumentiert werden.
In der Praxis dürften diese Ausnahmen aufgrund des Aufwandes und der Aufklärungspflichten tatsächlich nur den letzten Ausweg darstellen. Denn auch die Einwilligungserklärung müsste mit Bezug zur Datenübermittlung nach Großbritannien überarbeitet und neu eingeholt werden. Der Auslandsbezug könnte zudem, je nach Einzelfall, eine Datenschutzfolgenabschätzung vor der Datenübermittlung erforderlich machen.
Unternehmen sind gefordert
Die DSGVO bietet auch für den Brexit-Fall genug Möglichkeiten, die Datenübermittlung nach Großbritannien auf ein rechtlich sicheres Fundament zu stellen. Unternehmen müssen jedoch jetzt aktiv werden und diese Instrumente schnellstmöglich umsetzen.
Anderenfalls droht ein worst-case-Szenario und die Übermittlung personenbezogener Daten nach Großbritannien wäre gänzlich einzustellen. Mit Blick auf die voranschreitende Digitalisierung und den zunehmenden Wert von Daten sind Unternehmen gut beraten, es nicht so weit kommen zu lassen.