Brüssel/Luxemburg

Facebook, Google & Co: EU-Gericht bremst den ungezügelten Datenfluss

Schlimmer hätte es für rund 5000 amerikanische und europäische Unternehmen nicht kommen können. Seit Dienstag, 6. Oktober, 10 Uhr, arbeiten sie auf einer Rechtsgrundlage, die es nicht mehr gibt. Da veröffentlichte der Europäische Gerichtshof (EuGH) in Luxemburg sein Urteil zum Datenschutz zwischen der EU und den USA. Tenor: „Die geltende Rechtsgrundlage ist ungültig.“ Weil die US-Geheimdienste persönliche Informationen der Europäer ausspähen. Tatsächlich sind es keineswegs nur die bekannten Internetkonzerne wie Facebook, Amazon, Apple oder Microsoft, die Daten ihrer Nutzer von Europa in die USA überspielen und dort speichern. Betroffen sind auch kleine und mittelständische Betriebe, die Geschäfte diesseits und jenseits des Atlantiks tätigen. Der bundesweit bekannte Internetexperte und Buchautor Jörg Schieb sagt: „Alle User von Facebook können sich freuen.“

Lesezeit: 3 Minuten
Anzeige

Von unserem Korrespondenten Detlef Drewes

Ausgelöst wurde das alles von dem 28-jährigen österreichischen Aktivisten und Juristen Max Schrems. 2012 gründete er den „Verein zur Durchsetzung des Grundrechtes auf Datenschutz – europe-v-facebook.org“. Vor drei Jahren hatte Schrems vom Hauptquartier des Facebook-Konzerns alle über ihn gespeicherten Daten angefordert. Was dabei herauskam, überstieg selbst seine schlimmsten Erwartungen: Der Datensatz umfasste 1222 Druckseiten. Daraufhin beschwerte sich Schrems beim irischen Datenschutzbeauftragten, in dessen Zuständigkeitsbereich die Europazentrale des sozialen Netzwerkes fällt. Doch der lehnte die Beschwerde des Österreichers ab, weil er „nicht in eine inhaltliche Prüfung einsteigen“ könne. Für Schrems ein Unding, wie er 2013 bei einer Anhörung des Europäischen Parlaments erklärte. Sein Vorwurf: Der Mann tut nichts und kommt seiner Aufgabe nicht nach.

Schrems klagte vor dem zuständigen irischen Gericht, das den Luxemburger EU-Gerichtshof einschaltete. Und der zog nun alle Stecker der geltenden Rechtslage. Die beruht nämlich auf der „Safe Harbor“-Liste (sicherer Hafen), die zwar oft als Vereinbarung bezeichnet wird, aber mitnichten eine ist.

Bei diesem Papier handelt es sich vielmehr um eine Aufstellung der europäischen Datenschutzregeln, die deutlich strenger als in den USA ausfallen. Wer mit den EU-Mitgliedstaaten Geschäfte machen will, konnte sich freiwillig in diese Liste beim US-Handelsministerium einschreiben und damit versprechen, die europäischen Vorgaben einzuhalten. Es galt das Prinzip der Selbstregulierung, das heißt: Kontrollen fanden nicht statt. Mehr als 5000 US-Unternehmen hatten sich bis jetzt in den „sicheren Hafen“ gerettet, der er längst nicht war.

Das wusste man auch in der Brüsseler EU-Kommission spätestens seit 2012, als der einstige Mitarbeiter des US-Geheimdienstes NSA, Edward Snowden, die Praktiken der Spione deutlich machte. Die zapften nämlich munter ab, was die Firmen an Daten der Europäer ins Land holten. „Die Vereinbarung gilt nur für amerikanische Unternehmen, die sich ihr unterwerfen, nicht aber für Behörden der Vereinigten Staaten“, stellten die Richter des EuGH nüchtern fest. Die Betriebe auf der anderen Seite des Atlantiks seien „ohne Einschränkung verpflichtet“, die Safe-Harbor-Regeln „unangewandt zu lassen“, wenn sie mit Erfordernissen der „nationalen Sicherheit, des öffentlichen Interesses und der Durchführung von Gesetzen der Vereinigten Staaten“ im Widerspruch stünden.

Zwar wusste die EU-Kommission das damals schon, erklärte auch 2013, dass die Safe-Harbor-Zusammenarbeit gekündigt werden müsse, tat aber nichts. Ein Beschluss der EU-Abgeordneten blieb ebenfalls in der Schublade liegen. Jetzt schlossen die Richter das Projekt „sicherer Hafen“. Eine Übergangslösung oder eine zeitliche Übergangsphase ließen sie nicht zu.

Fazit: Seit Dienstag ist rechtlich verboten, was immer noch praktiziert wird. „Der Datenfluss muss auf einer anderen rechtlichen Grundlage funktionieren können“, forderte der Datenschutzexperte der christdemokratischen EVP-Fraktion im Europäischen Parlament, Axel Voss (CDU). Und seine SPD-Kollegin Birgit Sippel meinte: „Wir müssen die Regeln für den Datentransfer in Drittstaaten noch einmal grundlegend unter die Lupe nehmen.“ Doch das kann dauern und lässt die beteiligten Unternehmen mit einem Bein in einer juristischen Grauzone stehen. Die frühere Bundesjustizministerin Sabine Leutheusser-Schnarrenberger (FDP) forderte die EU auf, „endlich mit Druck gegenüber den USA zu verhandeln, damit zumindest in Europa die lückenlose Überwachung und Ausschnüffelei durch die USA beendet wird“.

Tatsächlich richtet sich das Urteil nämlich weniger gegen den Datenschutz der Konzerne selbst, sondern vielmehr gegen die Sicherheitslücke, durch die sich US-Geheimdienste bedienen. Für die Richter in Luxemburg steht jedenfalls fest: „Da die Informationen der Europäer in den USA nicht ausreichend geschützt werden, sind die heutigen Regeln hinfällig.“

Was nun kommt, ist nicht absehbar. „Dieses Verfahren dreht sich nicht um Facebook“, kommentierte Facebook das Urteil. Man verfüge über mehrere Wege neben Safe Harbor, um Daten in die USA zu übermitteln. Internetexperten erklärten in Luxemburg, die Konzerne würden „in den nächsten Tagen wohl ihre Kunden und User mit zusätzlichen Datenschutzerklärungen überschwemmen, damit diese unterschreiben, dass die Informationen in den USA auch von Nachrichtendiensten genutzt werden könnten“. Andere wiederum sprachen sich als Übergang für konzerneigene Regeln aus, die sich an den EU-Standards orientieren.