In London wächst die Angst, nach dem ungeregelten Austritt vom Datenverkehr mit dem Kontinent abgeschnitten zu werden. Nicht zu Unrecht: Für den Fall gibt es „keine Notfallmaßnahmen“, sagte der höchste EU-Beamte Martin Selmayr hinter verschlossenen Türen. Aktivisten wittern eine Chance im Kampf gegen die Überwachung.

Die Europäische Union hat keinen Notfallplan für den Transfer personenbezogener Daten zwischen Großbritannien und der EU, falls Bemühungen um ein Brexit-Abkommen scheitern. Das geht aus Gesprächsnotizen eines Treffens zwischen dem Generalsekretär der EU-Kommission, Martin Selmayr, mit dem früheren CDU-Politiker Roland Koch hervor, die auf Anfrage von netzpolitik.org veröffentlicht wurden.

„Vertreter der Kommission machten deutlich, dass es im No-Deal-Fall keine speziellen Notfallmaßnahmen für den Datenaustausch ergriffen werden“, heißt es in der Notiz. Selmayr, zwei seiner Mitarbeiter und eine Kabinettsmitarbeiterin von Kommissionschef Jean-Claude Juncker trafen Koch, inzwischen im Vorstand von Vodafone, sowie Vodafone-Manager Joakim Reiter kurz vor Weihnachten in Brüssel zu einer Unterredung.

Die EU-Kommission antwortete nicht auf eine Anfrage von netzpolitik.org um eine Erläuterung der Äußerungen Selmayrs.

Datenschutzgrauzone nach No-Deal

Verlängert die Regierung in London nicht die Frist, tritt das Vereinigte Königreich mit 29. März aus der EU aus. Auf beiden Seiten der Ärmelkanals laufen dafür die Vorbereitungen. Doch bisher gibt es wegen politischem Streit in London kein Austrittsabkommen – das könnte ein riesige Datenschutz-Grauzone nach einem No-Deal-Brexit verursachen.

Nach dem EU-Austritt strebt Großbritannien eine sogenannte Adäquanzentscheidung der EU-Kommission an. Diese legt fest, dass der Datenschutzstandard in der EU und dem Drittstaat gleichwertig ist und persönliche Daten grenzüberschreitend gespeichert werden dürfen. Doch eine solche Entscheidung kann erst nach dem Brexit getroffen werden, wie die britische Datenschutzbehörde ICO zuletzt in einem Blogpost erklärte.

Bis dahin droht Wochen oder sogar Monate rechtlichen Vakuums. Wenn Firmen und öffentliche Stellen nach dem Brexit die Daten von EU-Bürgern im Vereinigten Königreich speichern und verarbeiten, müssen sie mit allen Vertragspartnern eigene Übereinkünfte abschließen, wollen sie nicht die Datenschutz-Grundverordnung verletzen, heißt es in einer Studie des EU-Parlaments (ab Seite 21). Doch in jede Geschäftsbeziehung neue Standardvertragsklauseln einzufügen, ist eine Hürde für Datentransfers ins Vereinte Königreich, stellt die EU-Studie fest. Für öffentliche Stellen wäre dies sogar „hoch unpraktisch“, da eine für jeden Transfer persönlicher Daten eigens eine Zustimmung nötig sei.

Britische Ängste

Vor dem Ernst der Lage warnt der Europäische Datenschutzausschuss, in dem Behörden der EU-Staaten sich abstimmen. Der Ausschuss will nun Empfehlungen für den Umgang mit einem No-Deal-Brexit abgeben. Firmen und Behörden sollten sich spätestens jetzt Gedanken über die Folgen machen, sagte ein Vertreter des deutschen Bundesbeauftragten Ulrich Kelber nach einem Treffen in Brüssel. „Denn eins ist klar: Es wird keine Übergangszeit geben, in der die Datenschutzaufsichtsbehörden Übermittlungen ohne entsprechende Schutzmaßnahmen tolerieren können“, schrieb die deutsche Behörde in einer Pressemitteilung.

In Großbritannien steigt die Sorge vor den Folgen. Ein Marketing-Branchenverband warnte, ein No-Deal-Brexit könnte „potenziell die Datenströme zwischen der EU und dem Vereinigten Königreich zum Erliegen bringen“. Britische Parlamentarier sprachen von einer ernsten Sorge für die Wirtschaft. Der deutsche Branchenverband Bitkom formuliert es etwas drastischer und warnt schlicht vor „Datenchaos“.

No-Deal-Brexit als Chance

Netzaktivisten sehen einen No-Deal-Brexit indes als Chance. Verhandeln die EU und das Vereinigte Königreich über den Datenaustausch, könnte die Massenüberwachung von Kommunikationsdaten durch britische Geheimdienste auf dem Prüfstand landen.

„Die Tatsache, dass Großbritannien ein Mitgliedsstaat der EU ist, oder besser gesagt bald war, heißt nicht, dass eine Adäquanzentscheidung eine Formalität sein wird, im Gegenteil“, sagt Estelle Masse von der Brüsseler NGO Access Now, die sich für digitale Bürgerrechte einsetzt. „Die EU müsste sich dann die Datenverarbeitung von öffentlichen Stellen in Großbritannien ansehen, inklusive jener durch Nachrichtendienste und Strafverfolgungsbehörden. Aufgrund der hohen Zahl an Massenüberwachungs-Programmen in Großbritannien ist es praktisch unmöglich, dass Großbritannien sich für Adäquanz qualifiziert, es sei denn es gibt umfassende Reformen.“

Der Datenaustausch mit den Briten könnte womöglich ein ebenso großes Streitthema wie der mit den USA werden. Auf eine Klage des österreichischen Datenschützers Max Schrems hin kippte der Europäische Gerichtshof (EuGH) eine Adäquanzentscheidung, die unter dem Namen „Safe Harbor“ bekannt war. Die Nachfolgeverabredung „Privacy Shield“ soll die Überwachung etwas einschränken, doch diverse Seiten zweifeln den Effekt an. Der EuGH wird auch Privacy Shield prüfen. Treten die Briten ohne Deal aus, ist ihre Massenüberwachung wohl bald ebenso ein Thema für europäische Gerichte.