Das heutige Urteil des Europäischen Gerichtshofs (hier im Volltext) zum Safe-Harbor-Abkommen fällt zahm aus im Vergleich zu den vorangegangenen Schlussanträgen von Generalanwalt Yves Bot. Die Kritik der Richter am Zugriff von US-Behörden auf die Daten europäischer Internetnutzer ist subtiler, aber deshalb nicht weniger wichtig.

Bot hatte explizit die Snowden-Enthüllungen für eine Abrechnung mit der Massenüberwachung durch die NSA angeführt und geschrieben: "Ich stelle fest, dass der Zugang der US-Geheimdienste auf die aus Europa übertragenen persönlichen Daten alle Personen, jede Art der elektronischen Kommunikation und alle übertragenen Daten umfasst, inklusive der Kommunikationsinhalte, ohne jede Unterscheidung, Einschränkung oder Ausnahme ..." Auch sei es dafür "in der Tat" nicht nötig, dass die Betroffenen eine Bedrohung der nationalen Sicherheit darstellten. Und weiter: "Solche massenhafte, unterschiedslose Überwachung ist an sich unverhältnismäßig und stellt eine ungerechtfertigte Einschränkung der in Artikel 7 und 8 garantierten Rechte der EU-Grundrechtecharta dar". Diese Artikel betreffen die Achtung des Privatlebens sowie den Schutz personenbezogener Daten.

Die Richter am EuGH dagegen begründen ihre Erklärung dafür, dass die unter den Namen Safe Harbor bekannte Entscheidung der EU-Kommission 2000/520 ungültig ist, nicht mit den NSA-Programmen an sich. Stattdessen weisen sie zunächst darauf hin, dass US-Gesetze zur nationalen Sicherheit immer Vorrang haben vor den Safe-Harbor-Regeln. Daten von EU-Bürgern, die auf Servern in den USA gespeichert und verarbeitet werden, sind also nicht durch Safe Harbor geschützt, wenn die US-Behörden darauf zugreifen wollen. Das gehe schon aus dem Text von Safe Harbor hervor, es war also seit 15 Jahren bekannt.

Anschließend führen die Richter aus, dass die EU-Kommission spätestens seit November 2013 wusste, wie problematisch die Befugnisse der US-Behörden sind. Denn damals hatte die Kommission Safe Harbor im Lichte der Snowden-Enthüllungen noch einmal analysiert und festgestellt: "Die Mehrheit der US-Internetunternehmen, die direkter von den Überwachungsprogrammen betroffen zu sein scheinen, sind unter Safe Harbor zertifiziert". Safe Harbor, das wurde der Kommission damals klar, könne "in seiner derzeitigen Ausprägung nicht aufrechterhalten werden".

Statt selbst ein donnerndes Statement zum globalen Überwachungsapparat der NSA abzugeben, beziehen sich die EuGH-Richter auf die Schlussfolgerungen der EU-Kommission, wenn sie schreiben: "Eine Regelung, die es den Behörden gestattet, generell auf den Inhalt elektronischer Kommunikation zuzugreifen", verletze "den Wesensgehalt des Grundrechts auf Achtung der Privatsphäre". Und eine Rechtsprechung, die Betroffenen keinerlei Möglichkeit zur rechtlichen Gegenwehr lässt, sei unvereinbar mit Artikel 47 der EU-Grundrechtecharta.

Es ist also eine Kritik an US-Gesetzen wie dem Patriot Act, weniger an den Machenschaft der NSA selbst. Und es ist eine Mahnung an die Kommission, die Tragweite dieser US-Gesetze bei der Aushandlung künftiger Datenschutzabkommen mit den USA zu berücksichtigen, weil diese ansonsten ebenso ungültig wären wie jetzt Safe Harbor.

Im Vergleich zu dem Urteil, mit dem der EuGH unter demselben Berichterstatter – dem Deutschen Thomas von Danwitz – die EU-Richtlinie zur Vorratsdatenspeicherung kippte, ist das heutige Urteil zurückhaltend formuliert. Die Botschaft ist aber die gleiche: Unterschieds- und anlasslose Massenüberwachung ist mit den Grundrechten nicht vereinbar.