Menü

Harter Brexit: Behörden wollen bei rechtswidrigen Datentransfers durchgreifen

Sollte es zu keinem Austrittsabkommen zwischen der EU und Großbritannien kommen, könnten Daten nur noch unter speziellen Bedingungen übermittelt werden.

vorlesen Drucken Kommentare lesen 186 Beiträge

(Bild: Pixelbliss / Shutterstock.com)

Der Europäische Datenschutzausschuss (EDSA) warnt vor den Folgen eines ungeregelten Brexits. Personenbezogene Informationen dürften zwischen der EU und Großbritannien dann nur noch fließen, wenn "weitere besondere Voraussetzungen erfüllt werden", konstatierte der stellvertretende Bundesdatenschutzbeauftragte Jürgen H. Müller nach einer EDSA-Sitzung am Dienstag.

In eigener Sache: c't wissen DSGVO

Jetzt bestellen – das c't-Sonderheft zur DSGVO Highlights des Sonderhefts: DSGVO-Praxis von Fachjuristen; was 2019 wirklich wichtig ist; neue Pflichten für Unternehmen; Anforderungen an die IT-Sicherheit; Inklusive Webinar, Kurzpapieren, FAQs, Checklisten.

mehr anzeigen

Der Kontrolleur stellte klar, dass es keine Übergangszeit geben werde, in der die Datenschutzaufsichtsbehörden Übermittlungen ohne entsprechenden Schutzvorkehrungen tolerieren könnten. Sowohl Unternehmen als auch Behörden sollten sich daher "spätestens jetzt" Gedanken über Lösungen machen. Großbritannien gelte vom Stichtag 30. März 2019 an im Sinne der Datenschutz-Grundverordnung (DSGVO) als Drittland, sollten es nicht zu einem Austrittsabkommen mit datenschutzrechtlichen Regeln kommen.

Der EDSA, in dem die Aufsichtsbehörden der Mitgliedsstaaten zusammensitzen, will nun möglichst schnell auf seiner Webseite einen Leitfaden veröffentlichen, um die Folgen eines No-Deal-Brexits zu erläutern. Firmen und Behörden sollen darüber informiert werden, wie sie bei Datentransfers nach Großbritannien die Vorgaben der DSGVO einhalten können. Generell gelten auch ohne übergreifende Übereinkunft weiterhin Standardvertragsklauseln zwischen Exporteur und Importeur. Beide Seiten können zudem branchenspezifische Kodizes abschließen, die Verhaltensregeln festlegen. Firmen stehen auch Datenschutzzertifizierungen offen. Schließlich sieht die Verordnung ein Bündel an Ausnahmen vor.

Einen gesonderten Plan für Datenübertragungen zwischen dem Kontinent und der Insel hat die EU nicht. Dies geht aus Notizen über ein Gespräch zwischen dem Generalsekretär der EU-Kommission, Martin Selmayr, und dem früheren hessischen Ministerpräsidenten und jetzigen Vodafone-Vorstandsmitglied Roland Koch (CDU) hervor, über die Netzpolitik.org berichtet. In dem Papier heißt es: "Vertreter der Kommission machten deutlich, dass es im No-Deal-Fall keine speziellen Notfallmaßnahmen für den Datenaustausch ergriffen werden."

Die britische Regierung hatte bereits 2017 Schritte eingeleitet, um das nationale Datenschutzgesetz zu reformieren und dabei die EU-Vorgaben aus der Brüsseler Grundverordnung für den öffentlichen Sektor und die Wirtschaft sowie der Richtlinie für den Bereich Polizei und Justiz zu übernehmen. Sie will so "einen ungehinderten Datenfluss zwischen dem Vereinigten Königreich und der EU nach dem Brexit" sichern.

Voraussetzung dafür ist aber, dass die EU-Kommission das Schutzniveau auf der Insel formell in einer "Adäquanzentscheidung" als angemessen und gleichwertig einschätzt. Dabei müsste sie etwa auch neu prüfen, ob die geheimdienstlichen Überwachungsprogramme der Briten mit den EU-Grundrechten vereinbar sind. Die Spionagebehörde GCHQ hatte jüngst erst angekündigt, verstärkt auf großangelegte Hackerangriffe im Ausland setzen zu wollen.

Ein solches Prüfverfahren könne einige Zeit dauern, erläuterte die britische Datenschutzbeauftragte Elizabeth Denham schon im Dezember. Es werde keinesfalls bei einem harten Brexit sofort eingeleitet und abgeschlossen. Denham empfiehlt Betroffenen daher ebenfalls, sich rasch auf die drohende Situation vorzubereiten und von ihr angeratene Schritte einzuleiten. Der hiesige IT-Branchenverband Bitkom zeigte sich bereits besorgt, dass im schlimmsten Fall ein "Datenchaos" drohe. (anw)