Max Schrems (27) ist keiner, mit dem man sich als Konzern anlegen sollte. Der Jurist klagt seit Jahren beharrlich gegen mangelnden Datenschutz bei Facebook. Nun gab der Europäische Gerichshof einer Klage von Schrems statt – und kippte kurzerhand das „Safe Harbor“-Abkommen, das große Teile des Datenaustauschs durch Unternehmen zwischen USA und EU regelt. Über ein Urteil, das Geschichte schreibt.
Das Konstrukt „Safe Harbor“: Kein sicherer Datenhafen
Die EU-Kommission hatte das „Safe Harbor“-Abkommen zum Datenaustausch im Jahr 2000 gegen Widerstand von Datenschützern verabschiedet. Der Hintergrund: Unternehmen dürfen personenbezogene Daten von EU-Bürgern nicht ohne weiteres in den USA speichern oder verarbeiten. Denn dort kann kein angemessenes Schutzniveau für die Daten garantiert werden. In den USA fehlen vor allem starke Schutzmechanismen, wie sie in Deutschland und anderen EU-Mitgliedsstaaten etwa durch Aufsichtsbehörden und Kontrollen – aber auch stärkere Datenschutzgesetze – bestehen. „Safe Harbor“ ermöglichte es trotzdem Daten auszutauschen. Doch mehr Datenschutz garantierte dieses Abkommen nur auf dem Papier.
„Safe Harbor“ funktionierte wie folgt: Unternehmen konnten einfach beim US-Handelsministerium versichern, dass sie ein „angemessenes Schutzniveau“ für die Daten der EU-Bürger/innen in den USA sicher stellen. Tausende Unternehmen haben sich so einen Persilschein geholt. Die Unternehmens-Liste von „Safe Harbor“ liest sich dem entsprechend streckenweise wie ein Who-ist-Who der Datenschutzsünder: Google, Facebook, Amazon & Co. Doch verbindliche Kontrollen, ob die Unternehmen sich wirklich an ihre Datenschutzversprechen halten, gab es nie. Das Abkommen galt schon lange als politisches Feigenblatt.
Der EU-Kommission fehlte in der Vergangenheit die Durchsetzungskraft und der Mut, um Druck beim Datenschutz zu machen. Lieber verabschiedete sie Abkommen wie „Safe Harbor“ und wählte damit den einfacheren Weg. Auch wenn die Privatsphäre der Bevölkerung dabei unter die Räder geriet. In den letzten Monaten hat sich der Wind gedreht: Die EU-Kommission überlegt schon länger ein neues Abkommen mit den USA abschließen, dass „Safe Harbor“ ersetzen sollte – auch weil das EU-Parlament nach den Snowden-Enthüllung begann Druck zu machen. Der Generalanwalt sah das als Zeichen dafür, dass die Kommission selbst nicht mehr hinter dem einst durchgepaukten „Safe Harbor“ Abkommen stehe. Der Europäische Gerichtshof folgte in dieser Woche seiner Empfehlung – und sägte das Abkommen ab.
Snowden gratuliert Max Schrems
„Gratuliere Max Schrems, Du hast die Welt zum besseren verändert!“ twitterte der Whistleblower Edward Snowden. Schrems hatte sich bei seiner Klage konkret auf die Snowden-Enthüllungen bezogen. Denn wie kann bei „Safe Harbor“ ernsthaft die Rede von Datenschutz sein, wenn doch bekannt ist, dass US-Unternehmen bei Anfragen der US-Geheimdienste auch Daten von EU-Bürger/innen herausrücken?
Snowden hatte ans Licht gebracht, dass Geheimdienste wie die NSA anlasslos Daten in großen Mengen unkontrolliert speichern – ohne dass die Nutzer davon erfahren. Der Europäische Gerichtshof kritisierten in dem Urteil außerdem die mangelnden Möglichkeiten für EU-Bürger sich gerichtlich gegen derartige Privatsphärenübergriffe in den USA zu wehren.
So manches Unternehmen wird sich nun überlegen müssen, wie es seinen Datenverkehr in Zukunft regeln will. Weiterhin gibt es zwar Möglichkeiten über Einzelverträge und AGB-Klauseln personenbezogene Daten in den USA zu speichern und zu verarbeiten. Doch der Anreiz für Unternehmen sensible Daten innerhalb der EU statt in den USA zu verarbeiten steigt – aber nicht erst seit Snowden und dem Ende von „Safe Harbor“.
Konzern-Lobby will Regeln zum Datenaustausch in TTIP & Co. verankern
Lobby-Dokumente belegen, dass große Konzerne innerhalb der Verhandlungen zu den Handelsabkommen TTIP, TISA und CETA durchsetzen wollen, dass auch Datenströme Teil der Abkommen werden – und damit vor Schiedsgerichten einklagbar werden. Beim Dienstleistungsabkommen TISA hatte Viviane Reding, die zuständige Berichterstatterin des EU-Parlaments und ehemalige Justiz-Kommissarin der EU, erst kürzlich in Bezug auf Verbraucherschutz-Standards gewarnt: „Hier tickt eine Bombe, nur keiner hat sie bemerkt„. Das Urteil des Europäischen Gerichtshofs zu „Safe Harbor“ zeigt, dass es keine gute Idee sein kann, Regeln zu Unternehmens-Datenflüssen über Handelsabkommen zu zementieren. Denn sowohl die EU als auch ihre Mitgliedsstaaten dürfen nicht der Möglichkeit beraubt werden, ihre Datenschutzstandards zu erhöhen. Vor allem wenn klar wird, dass bestehende Mechanismen umgangen werden. Würden solche höheren Datenschutzstandards aber in Konflikt mit Regelungen zu Datenströmen in Handelsabkommen stehen, drohen Staaten horrende Schadensersatzklagen von Konzernen, die ihren Gewinn durch ein Mehr an Datenschutz geschmälert sehen.
Aber auch anderweitig wurde das Urteil mit Spannung erwartet: Derzeit verhandeln EU-Parlament, EU-Kommission und EU-Rat über die EU-Datenschutzverordnung – ein neues Datenschutzrecht für die Europäische Union. Das EU-Parlament fordert, dass sensible Daten in Zukunft verpflichtend innerhalb der EU gespeichert und verarbeitet werden – auch um sie dem Zugriff von US-Geheimdiensten zu entziehen. Gerade nach Snowden dürfte auch immer mehr Politikern klar geworden sein, dass es Zeit ist, sich beim Datenschutz für die Rechte der Bürger/innen einzusetzen. Und so lobte die damals mit an der Entscheidung zu „Safe Harbor“ beteiligte EU-Kommissarin Viviane Reding am Tag des Urteil den Einsatz von Max Schrems. Na also – geht doch!
