Trotz MassenüberwachungEU erlaubt grenzenlose Datenflüsse nach Brexitannien

Die EU-Staaten haben zwei Beschlüsse gebilligt, nach denen persönliche Daten aus Europa weiter ungehindert nach Großbritannien fließen dürfen. Dagegen äußern Datenschützer:innen und Abgeordneten große Bedenken.

Boris Johnson und Ursula von der Leyen
Der britische Premier Boris Johnson und EU-Kommissionschefin Ursula von der Leyen CC-BY-NC-SA 2.0 Number 10

Die Europäische Union wird weiterhin das ungehinderte Fließen persönlicher Daten nach Großbritannien erlauben. Die EU-Staaten haben einstimmig den Entwurf der EU-Kommission für zwei Beschlüsse angenommen, die Barrieren für den Datenverkehr nach dem britischen EU-Austritt verhindern sollen, wie die EU-Kommission gegenüber netzpolitik.org bestätigte. Bislang gab es nur temporäre Entscheidungen, nun schafft die EU einen längerfristigen Rahmen für freie Datenflüsse.

Mit sogenannten Adäquanzentscheidungen legt die EU formal fest, dass das Datenschutzniveau in einem Drittstaat den Standards der Europäischen Union entspricht. Unternehmen können auf dieser Grundlage Daten von EU-Bürger:innen ohne größeren juristischen Aufwand in diesem Land verarbeiten.

Bereits im Februar legte die EU-Kommission Entwürfe für die zwei Adäquanzentscheidungen zu Großbritannien vor – bislang ist allerdings unklar, ob sich die nun beschlossene Vorlage von früheren Entwürfen maßgeblich unterscheidet. Nach Zustimmung der EU-Staaten muss jetzt noch das Kollegium der EU-Kommission zustimmen, dies gilt aber als Formsache. Die finalen Beschlüsse werden danach bald veröffentlicht, hieß es auf Anfrage aus Kommissionskreisen.

Laut den Entwürfen vom Februar sind persönliche Daten aus der EU in Großbritannien juristisch auf angemessene Art geschützt, auch die Nutzung der Daten durch britische Geheimdienste und andere Sicherheitsbehörden sei rechtlich gedeckt. Die Kommission sei der Ansicht, dass die britischen Behörden die Nutzung der Daten auf das Maß beschränken, dass “zur Erreichung des betreffenden legitimen Ziels unbedingt erforderlich ist, sowie dass ein wirksamer Rechtsschutz gegen [Grundrechts-]Eingriffe besteht”.

Massenüberwachung durch britische Geheimdienste

An dieser Position äußerten Datenschützer*innen und das EU-Parlament erhebliche Zweifel. Die britische Regierung habe breite Ausnahmen für die nationale Sicherheit und die Einwanderungskontrolle beim Datenschutz geschaffen, auch mangle es an beim Datenzugriff durch Geheimdienste an der Aufsicht durch unabhängige Gerichte, betonten Abgeordnete in einer Resolution im April. Es drohe der massenhafte Zugriff auf Daten von EU-Einwohner:innen. Ähnliche Kritik am Entwurf der Kommission hatte auch der Europäische Datenschutzausschuss geübt, in dem die Aufsichtsbehörden aller EU-Staaten zusammenarbeiten.

Auch der Europäische Gerichtshof (EuGH) und der Europäische Gerichtshof für Menschenrechte (EGMR) haben sich jüngst zu britischen Überwachungspraktiken zu Wort gemeldet. Das massenhafte Sammeln von Kommunikations- und Standortdaten von allen Nutzer:innen eines Telekommunikationsdienstes sei nicht mit der EU-Grundrechtecharta vereinbar, entschied der EuGH nach einer Klage der NGO Privacy International gegen die Geheimdienste GCHQ und MI6. Das Ausmaß der Massenüberwachung durch GCHQ wurde durch den Whistleblower Edward Snowden enthüllt. Der EGMR bezeichnete die geheimdienstliche Massenüberwachung im Vereinigten Königreich zuletzt als Verstoß gegen die Menschenrechte.

Stimmen aus der digitalen Zivilgesellschaft sehen Parallelen zwischen den EU-Beschlüssen zu Großbritannien und den zwei gescheiterten Entscheidungen zum Datenfluss in die USA, Safe Harbour und Privacy Shield. In beiden Fällen bezeichnete die EU-Kommission das US-amerikanische Datenschutzniveau als angemessen, doch beide Beschlüsse wurden nach Klagen des österreichischen Datenschützers Max Schrems vom EuGH unter Verweis auf die Massenüberwachungspraktiken der NSA und anderer US-Geheimdienste aufgehoben. Trotz Bedenken sucht die EU-Kommission jedoch weiterhin eine Nachfolgeregelung für Privacy Shield. Großbritannien und seine Geheimdienste sind enge Verbündete der USA, gemeinsam mit Australien, Kanada und Neuseeland bilden sie das Geheimdienstnetzwerk Five Eyes.

Tories wollen “unflexible” DSGVO abwracken

Auch abseits von Überwachungsbedenken gibt es Zweifel daran, dass Großbritannien ein Datenschutzniveau erhalten wird, das den Standards der EU entspricht. Seit dem britischen Austritt drängen Abgeordnete der regierenden Konservativen darauf, die britische Gesetzgebung durch Schwächung des Datenschutzes “wettbewerbsfähiger” zu machen. Die Datenschutzgrundverordnung (DSGVO) der EU, die bislang Basis für das britische Recht ist, sei “unflexibel und belastend für kleine Unternehmen und wohltätige Organisationen”, heißt es in einem Bericht von drei prominenten konservativen Abgeordneten. Sie fordern etwa die Abschaffung von Artikel 22 der DSGVO, der Entscheidungen allein auf Basis automatisierter Datenverarbeitung verbietet. Damit werde die Entwicklung Künstlicher Intelligenz gehemmt, heißt es.

Premierminister Boris Johnson hat in einer brieflichen Antwort darauf versprochen, die Vorschläge zu prüfen und spricht seinerseits von einem “Dickicht an belastender und einschränkender Regeln”. Ein anderer konservativer Abgeordneter hatte zuvor bereits gefordert, die DSGVO gänzlich zu streichen. Sollte Großbritannien seine Datenschutzregeln schwächen, wäre die EU zu einer diplomatisch heiklen Aufhebung seiner Adäquanzentscheidung gezwungen.

6 Ergänzungen

  1. Angemessenheitsbeschluss ist die passendere Übersetzung für “adequacy decision”. Dies sollte bei Gelegenheit geändert werden.

    1. Es gibt zwei geläufige Übersetzungen des Begriffs. Adäquanzentscheidung mag sperrig klingen, ist aber näher dran am englischen Ausdruck und damit leichter nachvollziehbar für diejenigen, die die Debatte auch in englischsprachigen Medien verfolgen.

      1. “Adäquanzentscheidung” klingt sehr stark nach einer Anbiederung an die englische Sprache. Auch wenn dem nicht so sei, ist Angemessenheitsbeschluss dennoch leichter in der DSGVO zu finden.

  2. Da kommen die nächsten “Schrems” auf uns zu: Schrems III, Schrems IV, Schrems V, …

    Und ich fange an, mich wirklich über die von den EU-Bürgern nicht direkt für EU-Ämter gewählten Mitglieder der Institutionen “Kommission” und “Rat” zu ärgern. Immer wieder werden Dinge beschlossen, die ganz klar Einzelinteressen von Industrie und Wirtschaft bevorzugen und die ebenso klar gegen Bürgerrechte gerichtet sind.

    Hier schafft die EU-Kommission mit dem EU-Rat wohl mal wieder (unrechtmäßige) Fakten, die man nur durch Klagen vor dem EuGH wieder gerade rücken kann. Kommission, Rat und deren Beraterschar wissen das nur zu gut.
    An den Aussagen und Handlungen der verantwortlichen Politiker sieht man sehr – ZU SEHR – gut, wie egal denen die Bürger sind. Wer kann es den Verschwörungsverschwurblern dann noch verdenken, wenn die von einer “Wirtschaftsdiktatur” reden?

  3. Die Entscheidung ist vor allem inkonsequent. Wobei ich noch nicht mal die Abwägung zwischen wirtschaftlichen Interessen und Rechten der Privatperson in Frage stelle. Es ist aus meiner Sicht legitim, wenn die EU zu dem Schluss kommt, dass Eingriffe in die Datensouveränität durch Geheimdienste und Strafverfolgungsbehörden hingenommen werden.

    Die gesamte Diskussion geht aus meiner Sicht am eigentlichen Thema vorbei. Geheimdienste und Staatsanwaltschaft sind auch in der EU aktiv. Und dass die Bürger dagegen in der EU mehr Informationsrechte hätten als in den USA, halte ich z.B. mit Blick auf Polen für einen Mythos. Insofern wird eine unnötige Stellvertreterdiskussion geführt. Insofern: Angemessenheit für USA.

    Das eigentliche Problem sehe ich in der Datengier von US-Unternehmen. Dabei ist der Verzicht auf US-Clouds oder Applikationen für europäische Unternehmen meist nicht möglich. Ihrer Verantwortung können sie aber auch nicht gerecht werden, da in der Regel die Datennutzung durch die US-Anbieter über den notwendigen Umfang hinausgeht und keine vernünftige Information darüber bereitgestellt wird. Eine Zwickmühle, die der EU wirtschaftlich und gesellschaftlich schadet, wenn sie auf der politischen Ebene nicht aufgelöst wird.

    Die Strategie, über mehr Vorgaben und Androhungen von Geldbußen europäische Unternehmen zum Verzicht auf US-Angebote zu bewegen, ist Sägen am eigenen Ast. Aussichtsreicher schiene mir direkte Aktionen gegen besonders intransparente US-Anbieter und solche, die aus Datenmissbrauch Profit schlagen. Mit Warnampeln, Auflagen, ggf. sogar Nutzungsverboten.

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.