Fingerzeig für Facebook
Europäischer Gerichtshof kippt Grundlage für transatlantischen Datenverkehr
Luxemburg. Es mutet wie ein Triumph an: Der junge Österreicher Maximilian Schrems greift seit drei Jahren den Internetriesen Facebook an. Er wirft dem Unternehmen vor, die persönlichen Nutzerdaten nicht ausreichend vor dem Zugriff der US-Geheimdienste zu schützen. Der Europäische Gerichtshof (EuGH) gab ihm nun auf ganzer Linie Recht: Die Luxemburger Richter kippten am Dienstag das 15 Jahre alte SafeHarbor-Abkommen zwischen der EU und den USA, das für rund 5000 Unternehmen die Grundlage für Datentransfers bildete. Die Firmen haben mit der Vereinbarung zugesichert, die höheren europäischen Datenschutzstandards auch in den USA anzuerkennen. Weil sie dies aber offenbar nicht garantieren können, sei die Vereinbarung nicht mehr zulässig, erklärte der EuGH.
Datenschützer feierten die Entscheidung als Meilenstein. Auch Bundesjustizminister Heiko Maas sprach von einem Signal für den Grundrechteschutz. Er forderte, dass nun »unverzüglich« über die Folgen des Urteils gesprochen werden müsse. Sein Fingerzeig geht an die EU, die ihre geplante Datenschutznovelle rasch fertigstellen solle.
Es klingt wie ein Donnerschlag: Der Europäische Gerichtshof hält jenes Abkommen für rechtswidrig, dass Internetkonzernen die Speicherung europäischer Daten in den USA erlaubt. Dort werden diese Daten wohl von Geheimdiensten ausgelesen. Doch Konzerne wie »Facebook« müssen trotzdem nicht gleich alles anders machen.
Das »Safe-Harbor«-Abkommen, aufgrund dessen Konzerne die Daten europäischer Nutzer in den USA abspeichern, ist rechtswidrig. Dennoch ist ein schnelles Ende dieser Praxis unwahrscheinlich.
Eigentlich hat das südthüringische Röttelmisch viel zu bieten: Die Kühe sind Bio. Die Straßen sind sicher. Und einmal im Jahr lädt die Freiwillige Feuerwehr zum Kinderfest. Nur etwas träge sind die Röttelmischer manchmal. Anstatt selbst zur Post nach Kahla zu fahren, geben sie ihre Briefe zum Beispiel einem jungen Mann aus dem Nachbardorf Gumperda. Der lagert die Briefe und Pakete dann in seiner Garage, von der sich lange schon rumgesprochen hat, das das einzige Vorhängeschloss längst durchgerostet ist, mit dem sich das Tor sichern ließe. »Ja, aber, na gut, ach, pff«, sagen die Röttelmischer, wenn man sie darauf anspricht, dass man es in Gumperda mit der Sicherheit ganz offensichtlich nicht so genau nimmt. Nur einmal, da gab es jemanden, der hat sich bei der kommunalen Garagenaufsicht beschwert. Man könne da auch nichts machen, haben die ihm gesagt. »Garagen in Gumperda« seien schließlich »per Definition sicher«. So sei es in der »Safe-Garage«-Vereinbarung zwischen Röttelmisch und Gumperda eben einmal festgelegt.
Diese Geschichte ist nicht völlig frei erfunden, nur in Südthüringen spielt sie nicht. Gumperda und Röttelmisch sind in Wahrheit die USA und die EU. Der Garageninhaber heißt Facebook – und der aufmerksame Röttelmi- scher ist in Wirklichkeit ein österreichischer Jurist. Und »SafeGarage« entspricht in der wirklichen Welt das »Safe-Harbor«-Abkommen, mit dem die EU-Kommission die Speicherung von Daten von EU-Bürgern in den USA für sicher erklärte. Bis an diesem Dienstag der Europäischen Gerichtshof ein Urteil fällte, das Auswirkungen bis nach Röttelmisch haben könnte: Es erklärte das »SafeHarbor«-Abkommen für ungültig.
Auch die Begründung, mit der das Luxemburger Gericht dies tat, könnte deutlicher kaum sein: Es handle sich bei den amerikanischen Datenspeichern eben nicht um einen »sicheren Hafen«, wie es der Name des Abkommens suggeriert. Diese Informationen seien dort in den USA ganz und gar nicht sicher, nicht ausreichend vor dem Zugriff von Behörden und Geheimdiensten geschützt. Rechte europäischer Bürger würden so verletzt, urteilten die Richter in Luxemburg. Spätestens nach den Snowden-Enthüllungen hätte die EU-Kommission die Entscheidung, Datenspeicherung in den USA für sicher zu erklären, revidieren müssen. Und mehr noch: Da EU-Bürgern gegen die Speicherung ihrer Daten keinerlei Klagewege offen stünden, sahen die Richter durch das Abkommen das Grundrecht auf »wirksamen gerichtlichen Rechtsschutz« verletzt.
Das im Jahr 2000 zwischen USHandelsministerium und EU-Kommission geschlossene Safe-HarborAbkommen erlaubte es bisher europäischen Unternehmen und den europäischen Tochtergesellschaften amerikanischer Firmen, personenbezogene Daten in die USA zu übermitteln. Damit hebelte die EU-Kom- mission die EU-Datenschutzrichtlinie von 1995 aus, der zufolge personenbezogene Daten nur dann in andere Länder übermittelt werden, wenn das dortige Schutzniveau mit dem europäischen vergleichbar ist. Mit dem EuGH-Urteil fällt dieser Blankoscheck für Unternehmen wie Facebook nun weg. Die Richter folgten dabei im Wesentlichen ihrem Gutachter Yves Bot, der sich schon vor zwei Wochen angesichts »massiver und nicht zielgerichteter« Überwachung in den USA gegen das Abkommen gewandt hatte. Explizit bezog auch er sich auf die Enthüllungen des US-Whistleblowers Edward Snowden.
Die Luxemburger Richter bestätigten außerdem, dass Betroffene das Recht haben müssten, nationale Gerichte anzurufen. Nationale Daten- schutzbehörden seien zudem befugt, den Schutz der Daten zu prüfen. »Die EU-Kommission hatte keine Kompetenz, die Befugnisse der nationalen Datenschutzbehörden in dieser Weise zu beschränken«. Damit bezogen sich die Richter auf den Fall des österreichischen Juristen Max Schrems, der vor drei Jahren mit einer Beschwerde gegen die Datenweitergabe durch Facebook bei der irischen Datenschutzbehörde gescheitert war und anschließend mit seiner Klage den Fall ins Rollen gebracht hatte.
Von der Entscheidung betroffen sind neben Facebook Tausende Firmen. Mehr als 4400 US-Unternehmen übermitteln Daten von EU-Bürgern in die USA. Ein abruptes Ende ihres Geschäftsmodells ist trotzdem nicht zu erwarten. Bevor sie Re- chenzentren in der EU aufbauen müssen, können sie noch auf die Neufassung des »Safe-Harbor«-Abkommens hoffen, über das Brüssel seit zwei Jahren mit den USA verhandelt. Ohnehin verbietet das Gericht mit seinem Urteil nicht die Weitergabe der Daten per se, es nimmt ihr lediglich eine – wenn auch die stärkste – rechtliche Legitimation.
Dennoch haben sich die Röttelmischer selbst entschlossen, dem Garagenbesitzer eine unsichere Lagerung zu gestatten. »Personenbezogene Daten werden in die USA weitergeleitet und dort verarbeitet«, steht in den Facebook-Geschäftsbedingungen. Auch wenn die pauschale Legitimation nun gefallen ist, kann dies eine Rolle bei der Bewertung der Datenpraxis auf nationaler Ebene spielen.