BREXIT: Abrupter Strömungsabriss beim Datenaustausch zwischen der EU und Großbritannien?
RA und Fachanwalt für IT-Recht Dr. Jens Bücking, Stuttgart
Am 23.06.2016 haben die Briten für den Austritt aus der EU gestimmt. Nachdem auch das Parlament zwischenzeitlich den Weg hierfür freigemacht hat, liegt der Austrittsantrag auf dem Tisch. Großbritannien wird mit dem Vollzug des BREXIT zu einem datenschutzrechtlich „unsicheren Drittland“, mit dem ein Austausch personenbezogener Daten von vornherein ausscheidet – es sei denn, die EU-Kommission würde einen Angemessenheitsbeschluss erlassen, wonach Großbritannien über ein angemessenes Datenschutzniveau verfügt; dies erscheint allerdings nicht erfolgversprechend:
Die EU ist eine Gemeinschaft, die ihren an die Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (EU-Datenschutzrichtlinie) gebundenen Mitgliedern sozusagen automatisch ein angemessenes Datenschutzniveau attestiert. Tritt man aus, muss man sich dieses Niveau freilich erst mühselig neu erarbeiten. Denn ist der Niveauschutz des britischen Datenschutzrechts kraft bloßer EU-Mitgliedschaft erst einmal entfallen, erweist sich, dass personenbezogene Daten in Großbritannien sehr viel größeren Gefahren ausgesetzt sind als im Rest Europas. Eine vergleichbare Situation wie mit den USA entsteht, für die es inzwischen schon zweier komplizierter Regelungen bedurfte, um einen Datenaustausch überhaupt erst zu legitimieren: Während die erstere dieser Regelungen (Safe Harbor) mit einer krachenden Ohrfeige aus Brüssel bereits vom EuGH gekippt wurde, steht dieses Schicksal Letzterer (Privacy Shield) womöglich noch bevor.
Die EU-Kommission wird dem „abtrünnigen“ Großbritannien auch nicht etwa den geforderten Datenfreibrief (Datenschutz-Angemessenheitsbeschluss) ausstellen, schon aus politisch-generalpräventiven Gründen. Die Signalwirkung wäre mit Blick auf die allgemeinen Abnutzungs- und Auflösungstendenzen in der Gemeinschaft fatal, wenn ein Austritt beliebig ohne erhebliche nationale Zusatzanstrengungen und sonstige Nachteile vorgenommen werden könnte.
Das Datenschutzniveau im UK ist nicht nur hinsichtlich seines allgemeinen Standards im EU-Vergleich am unteren Ende der Schutz- und Sicherheitsskala anzusiedeln. Denn vor allem wird es faktisch belastet durch die wildwüchsigen Aktivitäten britischer Geheimdienste wie dem GCHQ, denen eine ähnliche Sammelwut attestiert werden muss wie ihren amerikanischen Pendants. Die Fragen der nationalen Sicherheit – und damit verbunden die Geheimdienstkompetenzen – sind freilich ab EU-Austritt nicht mehr von der Prüfung, ob ein angemessenes Datenschutzniveau gegeben ist, zu entkoppeln.
Zudem hat das britische Parlament einem neuen Überwachungsgesetz (“Investigatory Power Bill”) zugestimmt, das die ohnehin schon extensiven Befugnisse der Sicherheitsdienste nochmals massiv erweitert. Das Überwachungsgesetz erlaubt beispielsweise Abhörpraktiken an Internet-Knotenpunkten und Unterseekabeln.
Derzeit kann sich Großbritannien noch auf die Privilegierung der EU-Mitgliedschaft stützen. Nach vollzogenem BREXIT wird die EU-Kommission jedoch bei der Prüfung auf Angemessenheit in Sachen Datenschutz und Datensicherheit auch diese Tätigkeiten der nationalen Sicherheitsbehörden sorgfältig ins Visier nehmen. Es wird von namhaften Datenschützern auf EU-Ebene daher mit Recht in Zweifel gezogen, dass eine solche Angemessenheitsentscheidung unproblematisch zu Gunsten einer Privilegierung von Großbritannien als „sicheres Drittland“ ausfallen würde.
Da von den dann ungleich höheren Hürden für einen Datenaustausch auch keine Ausnahmen für international agierende Unternehmensgruppen gelten (Stichwort: „kein Konzernprivileg“), müssen im Verhältnis EU/UK die betroffenen Unternehmen ihre Datenflüsse neu justieren und durch verbindliche, genehmigungspflichtige Unternehmensrichtlinien (oder geeignetere Auftragsverarbeitungsverträge) sicherstellen. Oder es werden – aus UK-Sicht in der Praxis der vermutlich effizientere Weg – entsprechende Datenverarbeitungsniederlassungen im EU-Gebiet eingerichtet, um den Risiken der empfindlich angehobenen Bußgelder zu entgehen. Denn mit Inkrafttreten der EU-Datenschutz-Grundverordnung (EU-DSGV) am 24.05.2018 drohen Unternehmen, ihrem Management und ihren Sonderbeauftragten für Datenschutz und Informationssicherheit nochmals deutlich höhere Gefahren einer haftungsrechtlichen Inanspruchnahme als bislang. So können die zuständigen Datenschutzbehörden Bußgelder von bis zu 4% des globalen Konzernumsatzes verhängen oder bis zu 20 Mio. EUR, je nachdem welcher Betrag höher ist. Die Haftung kann sich auch auf natürliche Personen erstrecken. Aber auch wenn lediglich das Unternehmen selbst bußgeldrechtlich zur Kasse gebeten wird, wird das zuständige Kontroll- und Aufsichtsgremium gehalten sein, Regressansprüche gegen die verantwortlichen Personen auf Vorstands- und Leitungsebene geltend zu machen. Hinzu kommen Schadensersatzansprüche, die aus der Verletzung von Datenschutzvorschriften entstanden sind, einschließlich (sogar) reiner Vermögensschäden wie beispielsweise entgangenen Gewinnen.
Aus der EU-DSGV ist auch durch EU-Austritt kein Entrinnen. Großbritannien wird sich mit dem BREXIT nicht vom Regelungsbereich der strengen allgemeingültigen Bestimmungen der EU-DSGV verabschieden können. Das dortige „Marktortprinzip“ führt schon dann zur Anwendung der Verordnung, wenn die Datenverarbeitung erfolgt, um Personen in der EU Waren oder Dienstleistungen anzubieten. Und es entfällt die Möglichkeit, sich durch Rechtswahl oder strategische Sitzverlegung die günstigste – in der Regel also liberalste – Datenschutz-Rechtsordnung „zu shoppen“.
Hinsichtlich eines Datentransfers in Drittstaaten wie (dann) Großbritannien gilt ferner, dass im „Zielstaat“ angemessene technische und rechtlich abgesicherte organisatorische Schutzmaßnahmen bestehen müssen. Und es werden nach vollzogenem BREXIT sämtliche Vertragsverhältnisse, die den Austausch von Personendaten mit Großbritannien betreffen, überprüft, neu vereinbart und in die Dokumentation der Verfahrensflüsse integriert werden. Unabhängig vom Vollzug des BREXIT werden im Regelungsbereich der EU-DSGV aber auch die Betroffenen-Rechte gestärkt (Stichwort: „Recht auf Vergessen“). Die datenschutzrechtlich Betroffenen – also jeder Mitarbeiter, Kunde und Geschäftskontakt – können darüber bestimmen, wann welche Organisation über welche Daten wie lange verfügt sowie erforderlichenfalls auch die Löschung verlangen.
An die entsprechenden Auskunfts- und Löschungsrechte werden auch britische Unternehmen gebunden sein, die die Daten von Unionsbürgern speichern oder in sonstiger Weise verarbeiten. Es ist daher unerheblich, dass nach dem BREXIT die personenbezogenen Daten von Bürgern aus Großbritannien nicht mehr unmittelbar unter die EU-DSGV fallen, denn die Daten aller EU-Bürger tun dies. In der Konsequenz bedeutet dies, dass alle verantwortlichen Stellen analysieren und sodann unterscheiden – und die verarbeitenden IT-Systeme entsprechend umstrukturieren – müssen, welche Daten von EU-Bürgern stammen und für welche Daten das nationale Datenschutzrecht gilt. Es drohen ein datenschutzrechtlicher UK-Binnenmarkt und ein hiervon getrennt zu verwaltender datenschutzrechtlicher Außenwirtschaftsverkehr.
Eine Regulierung dieser Datenflüsse über Auftragsdatenverarbeitungsverträge allein dürfte für diese Aufgaben nicht mehr genügen, dies zumindest nicht auf der Grundlage des § 11 BDSG. Aber auch auf die – weiter gefassten – EU-Standardvertragsklauseln zur Auftragsdatenverarbeitung, die zudem inzwischen dem EuGH ebenfalls (wie zuvor „Safe Harbor“ und jetzt der „Privacy Shield“) zur Überprüfung vorliegen, lässt sich ein nachhaltiger Datenaustausch nicht mehr mit hinreichender Rechtssicherheit stützen, zumal deren Schutzfunktion angesichts der massiven Überwachungs- und Eingriffsbefugnisse der britischen Nachrichtendienste faktisch nahezu leerläuft. Es liegt mit anderen Worten eine vergleichbare Situation vor, wie sie im Verhältnis EU/USA bereits zum K.O. von „Safe Harbor“ geführt hat.
Die praktische Relevanz der aufgezeigten Hürden ist beträchtlich. Datenaustausche sind immer dann erforderlich, wenn es um die Abwicklung von Geschäftsvorgängen – insbesondere auch auf dem Finanzsektor – geht. Der Finanzsektor ist freilich ein ganz entscheidendes Standbein der britischen Wirtschaft. Gleiches gilt für die Beschäftigung von EU-Bürgern und die Verwaltung der entsprechenden Arbeitsverhältnisse.
Das UK könnte sich allerdings auch dem europäischen Wirtschaftsraum (EWR) anschließen und damit seitens der EU automatisch als „sicheres Drittland“ (wie Norwegen, Island und Liechtenstein) zu behandeln sein. Nach dem Vorbild der Schweiz könnte es alternativ auch das EU-Datenschutzrecht adaptieren bzw. in sein nationales Recht integrieren. Auch in diesem Falle entfielen die zuvor skizzierten Hindernisse.