No-Deal-Brexit könnte britischer Massenüberwachung ein Preisschild verpassen

Großbritannien steht vor Neuwahlen, ein ungeregelter Austritt aus der EU droht. Der Brexit könnte die Datenflüsse in den Inselstaat empfindlich stören. Langfristig zwingt er der Regierung in London vielleicht sogar eine Entscheidung zwischen Geheimdienstspionage und Interessen der Wirtschaft auf.

Boris Johnson
Der britische Premier Boris Johnson steuert sein Land auf einen No-Deal-Brexit zu Alle Rechte vorbehalten European Union

Nach einer turbulenten Parlamentsdebatte letzte Nacht steht Großbritannien vor Neuwahlen. Schon kurz nach dem Urnengang könnte mit der Deadline am 31. Oktober ein EU-Austritt ohne Netz und doppelten Boden ins Haus stehen.

Ein No-Deal-Brexit könnte nicht nur den Handel über den Ärmelkanal empfindlich stören, sondern auch den Datenfluss zwischen der EU und der Insel nahezu ins Erliegen bringen: Denn ein Brexit ohne Austrittsabkommen mit der Europäischen Union würde bedeuten, dass es keinen rechtlichen Rahmen für den Transfer persönlicher Daten von der EU nach Großbritannien gibt. Tatsächlich könnte ein ungeregelter Brexit in den kommenden Monaten und Jahren sogar Auswirkungen auf die Massenüberwachung durch das GCHQ und andere britische Geheimdienste haben.

Doch zuerst zur nahen Zukunft: Im Fall eines No-Deal-Brexit müssten britische Organisationen und Firmen selbstständig sicherstellen, dass ihre Datentransfers von der EU in das Vereinigte Königreich rechtskonform sind. Sie müssen dann eigens Berechtigungen für Transfers einholen, etwa durch neue Standardvertragsklauseln – ein Riesenaufwand, der die Vorbereitungen auf die Datenschutzgrundverordnung (DSGVO) locker in den Schatten stellt. Transfers von Großbritannien in die EU sind hingegen nach Auskunft der britischen Behörden nicht betroffen.

Herausforderungen für den Datenaustausch von Firmen

Ein Beispiel für die möglichen Probleme ist etwa eine britische Hotelkette, die auf dem Kontinent Hotels betreibt und dort Kundendaten sammelt. Diese Daten darf sie künftig nicht einfach sammeln und firmenübergreifend verwenden. Der britische Industrieverband CBI fürchtet indes laut Bericht des Guardian, dass Konferenzzentren im Vereinten Königreich Buchungen verlieren könnten, weil sie keine Kundendaten von EU-Geschäftspartnern übertragen können.

Von der EU können die Briten in der Sache keine Hilfe erwarten. Die EU-Kommission ließ schon im Vorjahr wissen, dass sie keinen Notfallplan für Datenflüsse im Fall eines No-Deal-Brexit bereithält. Martin Selmayr, damals noch Generalsekretär der EU-Kommission, machte damals im Gespräch mit Lobbyisten hinter verschlossenen Türen deutlich, dass keine speziellen Vorkehrungen getroffen werden.

Auch in den vor dem Sommer kommunizierten No-Deal-Vorbereitungen der Kommission gibt es kein Kapitel zum Datenverkehr. „Wir planen keine Notfallmaßnahmen“, bekräftigte EU-Kommissionssprecherin Mina Andreeva diese Woche in Brüssel. Die Standardvorkehrungen im Rahmen der DSGVO, wie sie die EU-Kommission bereits im Januar 2018 in einem dünnen Zweiseiter beschrieb, seien ausreichend. Unmittelbar nach dem Brexit könnten Unternehmen auf Standardvertragsklauseln zurückgreifen, sagte Andreeva.

Studie sieht Datenflüsse „ernsthaft gestört“

Eine Studie des University College London betont, die Datenflüsse würden im Fall eines No-Deal-Brexit „ernsthaft gestört“. Für Unternehmen und Organisationen gehe es um Kosten, Ressourcen und bürokratischen Aufwand, um den legalen Datentransfer aufrechtzuerhalten. Denn eigens Standardvertragsklauseln oder verbindliche unternehmensinterne Vorschriften einzurichten, wie es die DSGVO vorsehe, sei vor allem für kleine und mittelgroße Unternehmen und Startups teuer und mühsam.

Die Bedenken teilt offenbar die britische Regierung. Im August veröffentlichte die Sunday Times einen Geheimbericht namens „Operation Yellowhammer“, der Vorbereitungen für einen No-Deal-Brexit beschriebt. Der ungeregelte Austritt werde den Fluss persönlicher Daten überall dort stören, wo es keine andere Rechtsgrundlage für den Transfer gebe, schreibt darin die Regierung in London. Das könnte die britische Wirtschaft empfindlich stören, denn das Vereinigte Königreich exportierte zuletzt digitale Dienstleistungen im Wert von 23 Milliarden Pfund in die EU-Staaten.

„Keine Garantie für Adäquanzentscheidung“

Allgemeine Rechtssicherheit für den Datenfluss nach dem Brexit bietet nur eine Adäquanzentscheidung. In einer solchen Entscheidung legt die EU-Kommission fest, dass der Datenschutzstandard im Partnerland ebenso hoch ist wie in Europa – und der Datentransfer ohne zusätzliche Vorkehrungen legal ist. Solche Entscheidungen gibt es für Kanada, Argentinien, Japan und weitere Staaten.

Auch für die USA gibt es eine solche Angemessenheitsentscheidung der EU-Kommission. Sie ist an Zusagen der US-Regierung geknüpft, die unter dem Namen „Privacy Shield“ bekannt sind und im Nachgang der Snowden-Veröffentlichungen den Schutz von EU-Bürgern vor der Massenüberwachung durch US-Geheimdienste gewährleisten sollen. Datenschützer Max Schrems, der bereits die Vorgängerregelung „Safe Harbor“ zu Fall gebracht hatte, könnte mit einem erneuten Verfahren vor dem Europäischen Gerichtshof (EuGH) bald allerdings auch das Privacy Shield kippen.

Über eine Adäquanzentscheidung für Großbritannien wird indes erst nach vollzogenem Brexit verhandelt. Das hat die EU-Kommission wiederholt klargestellt. Eine Entscheidung der Kommission über gleichwertigen Datenschutz könne „Jahre dauern“, räumt auch die britische Regierung im Yellowhammer-Papier ein.

Ob es dazu überhaupt kommt, ist fraglich. „Es gibt keine Garantie für eine positive Adäquanzentscheidung“, heißt es in der Studie des University College London. Als mögliche Bedenken der Europäischen Union zählen die Autoren Oliver Patel und Nathan Lea die Mitgliedschaft Großbritanniens im Geheimdienstnetzwerk Five Eyes auf. Auch werden mögliche Einwände zur EU-Konformität eines britischen Gesetzes zur Massenüberwachung aus 2016, die sogenannte Snoopers‘ Charter, sowie wegen des „ungeschützten Weiterflusses“ von Daten in die USA genannt.

Einspruch der EU könnte es aus Sicht der Studienautoren auch wegen des britischen Opt-outs zur EU-Grundrechtecharta geben, sowie wegen umstrittener britischer Ausnahmen zur DSGVO für die Einwanderungskontrolle. „Sollte das Vereinigte Königreich seine Praktiken bei nationaler Sicherheit und Überwachung nicht ändern, dann könnte es die Schwelle für Adäquanz nicht erreichen“, schreiben die Studienautoren. EU-Staaten könnten ihre eigene Sicherheitspolitik machen, aber diese Politik werde zu einem Datenschutzproblem, wenn Großbritannien zu einem Drittstaat werde.

Noch möchte dazu in Brüssel niemand konkret Stellung beziehen. Von netzpolitik.org auf die Studienergebnisse angesprochen, sagte EU-Kommissionssprecherin Andreeva, diese seien „pure Spekulation“. Es gehe darum, die richtige Balance zwischen Datenschutz und den Ansprüchen der Verbrechensbekämpfung zu finden.

Privacy Shield als möglicher Präzedenzfall

Die Bedenken gegen die britischen Überwachungsprogramme werden sich jedoch nicht so leicht wegwischen lassen. Die Enthüllungen von Edward Snowden in der NSA-Affäre haben gezeigt, wie eng der britische Geheimdienstdienst GCHQ mit dem umstrittenen US-Dienst kooperiert. Die Snoopers‘ Charter macht deutlich, dass die Massenüberwachung ungehindert weiterläuft.

Europa muss das nicht hinnehmen. Entscheidet der EuGH im Dezember gegen Privacy Shield, kann die EU-Kommission wohl auch den britischen Überwachungspraktiken keinen Datenschutz-Persilschein ausstellen.

Die Frage der freien Datenflüsse zwingt der britischen Regierung womöglich bald eine Entscheidung auf: Entweder ungehinderter Datenaustausch mit Europa mit allen Vorteilen, die das für die britische Wirtschaft bringt – oder die unveränderte Fortsetzung der Massenüberwachung und der Geheimdienstkooperation mit den USA und anderen Staaten.

Auch wenn eine Änderung der Überwachungspraxis aus heutiger Sicht unwahrscheinlich erscheint, könnte eine mögliche Entscheidung der EU gegen ein Adäquanzabkommen den Briten klar und deutlich zeigen, dass Überwachung das Vertrauen zwischen Partnerländern schädigt. Und mehr noch, die wirtschaftlichen Einbußen würden eines klarstellen: dass Überwachung ein Preisschild trägt.

5 Ergänzungen
    1. Die britische Datenschutzbehörde dazu: „In a ‘no deal’ situation the UK Government has already made clear its intention to enable data to flow from the UK to EEA countries without any additional measures.“
      Es ist also einseitig: Britische Daten können nach Europa geschickte werden, weil Großbritannien die EU-Datenschutzstandards als adäquat zu ihren anerkennt. Umgekehrt ist das nicht der Fall.
      https://ico.org.uk/about-the-ico/news-and-events/blog-how-will-personal-data-continue-to-flow-after-brexit/

  1. Das hört sich doch generell eher nach einem bürrokratischen Problem an. Da müssen halt lauter AGBs und Verträge angepasst werden und dann dürften die Daten auch weiterhin so verwendet werden wie immer. Das würde halt sehr viel Papierkram und somit Kosten bedeuten. An der eigentlichen Handhabe bzw. dem Schutz der Daten würde sich durch diese Bürrokratisierung ja so wie ich das jetzt zumindest verstehe nicht viel ändern.

    In sofern denke ich geht es der EU eher darum die Brittischen Populisten für den Austritt zu bestrafen indem man ihnen teure Bürrokratische Hürden in den Weg legt. Hier wird es eher nicht um den Datenschutz gehen, dieser scheint mir hier eher Mittel zum Zweck zu sein eine möglichst große Drohkulisse aufbauen zu können.

    Insgesamt stehe ich daher dem Bürrokratistischen Datenschutz etwas skeptisch gegenüber. Echter Datenschutz verwendet sichere technische Systeme oder verzichtet idealerweise darauf Daten überhaupt erst zu erheben. Die Bürrokratische Version des Datenschutzes erlaubt ja eben alles, solange es halt in irgendwelchen 500 Seitigen AGBs und Verträgen abgestimmt wurde. Dadurch wird dann Datenschutz eben unverständlich und intransparent für den Normalbürger oder Kleinunternehmen.

    Aus dem beruflichen Alltag erkenne ich da eher die Tendenz dieses ganze Datenschutzthema eher zu ignorieren. Das werden wohl auch viele Firmen in GB im Falle eines Brexit tun, denn wirklich kontrollieren lässt sich das ganze ja ohnehin kaum mehr.

    1. Nö. Das ist nur ein Teil des Problems. Der größte ist: Was dem EU Mitglied UK erlaubt ist, darf der Drittstaat UK noch lange nicht. Quod licet Iovi non licet bovi.

  2. Der No-Deal-Brexit erfreut mich immer mehr. Wir haben derzeit ein riesiges Problem mit der Überwachung seitens GB welche aber derzeit unter den EU-Mantel steht.

    Würde GB ohne Abkommen mit der EU austreten, dann hätten die ganzen Menschen in der EU den Vorteil, dass die GB-Überwachung erneut „geprüft“ werden müsste.

    Max Schrems könnte mit https://en.wikipedia.org/wiki/NOYB das Abkommen mit GB prüfen und so Misstände aufdecken.

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.