Brexit: EU-Datenschützer fordern Nachbesserungen für weiteren Datenaustausch

Verhindern wollen die EU-Datenschutzbeauftragten die Freigabe von Datentransfers nach Großbritannien nicht, bedenklich finden sie aber die Massenüberwachung.

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 3 Beiträge

(Bild: mixmagic / shutterstock.com)

Von
  • Stefan Krempl

Der Europäische Datenschutzausschuss (EDSA) sieht noch Bedarf zum Nachjustieren am Plan der EU-Kommission, wonach Firmen und Behörden zunächst vier Jahre lang weiter personenbezogene Daten aus der EU nach Großbritannien übermitteln dürften. Zu den Punkten, die weitere Klarstellungen beziehungsweise eine spezielle Kontrolle erforderten, zählt das Gremium der EU-Datenschutzbeauftragten etwa die im Vereinigten Königreich praktizierte Massenüberwachung.

In Großbritannien haben Sicherheitsbehörden breite einschlägige Befugnisse. Laut dem "Investigatory Powers Act" (IPA) von 2016 darf der eng mit der NSA kooperierende GCHQ massive Eingriffe in technische Geräte vornehmen. Die Bürgerrechtsorganisation Privacy International konnte erst in langjährigen Gerichtsverfahren unlängst erreichen, dass der Geheimdienst nicht mehr im Ausland beliebig auf Basis allgemeiner Gerichtsanordnungen per Staatstrojaner Smartphones, Computer und ganze Netzwerke hacken darf.

Für nötig hält der EDSA in diesem Zusammenhang auch eine "unabhängige Bewertung und Aufsicht über die Verwendung automatisierter Verarbeitungswerkzeuge" für die erhobenen Datenmengen. Er verlangt zudem Schutzmaßnahmen nach britischem Recht, wenn es um das Offenlegen persönlicher Informationen in Übersee-Gebieten geht. Dies sei insbesondere mit Blick auf Ausnahmen vom Datenschutz für die nationale Sicherheit unerlässlich.

Bei den USA hatte der EuGH in seinem Urteil gegen den "Privacy Shield" voriges Jahr zum wiederholten Mal festgestellt, dass dortige Gesetze eine Massenüberwachung durch Sicherheitsbehörden wie die NSA oder das FBI ermöglichen. Der dortige Datenschutzstandard entspreche daher nicht dem in der EU.

Zum Streitpunkt des Zugriffs von Sicherheitsbehörden auf übermittelte personenbezogene Informationen in Großbritannien begrüßt der Ausschuss die Einrichtung eines Sondergerichts in Form des Investigatory Powers Tribunal (IPT). Damit könnten verbliebene "Herausforderungen" rund um den Rechtsschutz besser angegangen werden. Ein wichtiger Schritt sei es auch gewesen, spezielle Justizkommissare mit der jüngsten IPA-Reform einzuführen, um die Aufsicht in diesem Bereich zu stärken.

Ferner unterstreicht der EDSA, dass mehrere andere Stellen in der Vorlage der Kommission im Lichte der Datenschutz-Grundverordnung (DSGVO) "weiter bewertet" beziehungsweise überwacht werden sollten. Sie beziehen sich dabei etwa auf eine Ausnahmeregelung für Immigranten und ihre Folgen für die Einschränkung der Rechte der Betroffenen, Schranken für den weiteren Transfer persönlicher Daten aus dem Europäischen Wirtschaftsraum sowie internationale Abkommen zwischen Großbritannien und anderen Drittstaaten.

Die Kommission kam im Februar zum Schluss, "dass im Vereinigten Königreich ein angemessenes Datenschutzniveau gewährleistet wird". Nach dem Brexit dürfen persönliche Informationen zwischen beiden Seiten nur noch frei fließen, wenn die EU offiziell bestätigt, dass die britischen Standards im Wesentlichen denen der Gemeinschaft entsprechen. Die entscheidenden europäischen Vorschriften sind die DSGVO und die parallelen Richtlinien für den Datenschutz bei Polizei und Justiz.

Auch der EDSA erkennt nun an, dass die Datenschutzrahmenwerke der EU und Großbritanniens in gewissen Kernaspekten "stark übereinstimmen". Das Gremium verweist dabei auf die Regeln für eine rechtmäßige und faire Verarbeitung zu legitimen Zwecken, die Zweckbindung, die Datenqualität und die Verhältnismäßigkeit, die Datenspeicherung, die Sicherheit und die Vertraulichkeit sowie die Transparenz. Zudem gälten beidseits des Ärmelkanals spezielle Schutzanforderungen für besondere Datenkategorien, die automatisierte Entscheidungsfindung und das Erstellen von Profilen über Nutzer.

Großbritannien habe die DSGVO und die zugehörige Richtlinie 2018 noch ins nationale Recht umgesetzt, erklärte die EDSA-Vorsitzende Andrea Jelinek. Während sich Gesetze prinzipiell weiterentwickeln können, müsste diese Angleichung aber beibehalten werden, betonte die Österreicherin. "Daher begrüßen wir die Entscheidung der Kommission, die gewährte Angemessenheit zeitlich zu begrenzen." Entscheidend für ein Ja der Kontrolleure sei auch die Absicht, "die Entwicklungen im Vereinigten Königreich genau zu beobachten". Der britische Premierminister Boris Johnson betonte wiederholt, dass seine Regierung mit dem Brexit beim Datenschutz eine von der EU "losgelöste und unabhängige" Linie verfolgen wolle.

(bme)