Der EuGH hat ein Monster erschaffen – Seite 1

Da hat der Europäische Gerichtshof (EuGH) etwas angerichtet. Nachdem er am Dienstag das Datenschutzabkommen Safe Harbor für ungültig erklärt hatte, beeilten sich zwar Unternehmen wie Facebook und Microsoft und auch die EU-Kommission zu versichern, dass sich dadurch erst einmal wenig ändern würde. In Wahrheit haben die Richter aus Sicht der datenverarbeitenden Firmen und datenschutzverhandelnden Politiker ein Monster erschaffen. Eines, das sie noch lange verfolgen wird. 

Denn es gibt zwar Alternativen zu Safe Harbor, mit denen Unternehmen den Transfer und die Verarbeitung von personenbezogenen EU-Nutzerdaten in den USA datenschutzrechtlich absichern können: die sogenannten Standardvertragsklauseln und Binding Corporate Rules (BCR). Standardvertragsklauseln sind Vertragsvorgaben der EU-Kommission zum Datenschutz und müssen vom datenverarbeitenden Unternehmen unverändert übernommen werden. Microsoft zum Beispiel hat das getan. BCR sind Regelungen zum Umgang mit personenbezogenen Daten in Drittländern wie den USA, die von den nationalen Datenschutzbehörden der Nutzer abgenickt werden müssen. Das Problem der beiden Modelle: Streng genommen können sie die Ansprüche des EuGH ebenso wenig erfüllen wie Safe Harbor. Die entscheidenden Abschnitte im Urteil (hier der deutsche Volltext) lauten:

"Insbesondere verletzt eine Regelung, die es den Behörden gestattet, generell auf den Inhalt elektronischer Kommunikation zuzugreifen, den Wesensgehalt des durch Art. 7 der Charta garantierten Grundrechts auf Achtung des Privatlebens" und "Desgleichen verletzt eine Regelung, die keine Möglichkeit für den Bürger vorsieht, mittels eines Rechtsbehelfs Zugang zu den ihn betreffenden personenbezogenen Daten zu erlangen oder ihre Berichtigung oder Löschung zu erwirken, den Wesensgehalt des in Art. 47 der Charta verankerten Grundrechts auf wirksamen gerichtlichen Rechtsschutz."

Das bedeutet: So lange US-Gesetze wie der Patriot Act über allem stehen und US-Behörden deshalb problemlos auf jede Art von Nutzerdaten aus der EU zugreifen dürfen, verletzt auch jede Safe-Harbor-Alternative "den Wesensgehalt der EU-Grundrechtecharta". Feststellen können das die nationalen Datenschutzbehörden, die künftig jeden Datentransfer auf der Basis von Standardvertragsklauseln überprüfen und gegebenenfalls untersagen können.

Mit einer Änderung der AGB oder Datenschutzbestimmungen könnten sich Facebook und andere US-Unternehmen ebenso wenig aus der Affäre ziehen. Peter Schaar, der ehemalige Bundesbeauftragte für den Datenschutz und heutige Vorsitzende der Europäischen Akademie für Informationsfreiheit und Datenschutz (EAID), sagt: "Manche Unternehmen werden sich von den Nutzern wohl eine Genehmigung für die Datenübermittlung geben lassen. Ich habe aber meine Zweifel, ob das ein wirksames Verfahren wäre."

Denn wie sollte so eine Genehmigung ehrlicherweise lauten? So?

© ZEIT ONLINE

Selbst wenn Nutzer dann noch auf OK klicken würden, wäre es unwirksam, sagt Schaar: "Der Verzicht auf Rechtsschutz und auf Auskunftsrechte über die zur eigenen Person gespeicherten Daten verstößt gegen die EU-Grundrechtecharta. So etwas wäre nach europäischem Recht unzulässig."

Und auch künftige, noch zu verhandelnde Datenschutzvereinbarungen und -abkommen ließen sich nur sehr theoretisch mit der Charta in Einklang bringen – nämlich allenfalls dann, wenn die US-Regierung darin freiwillig ihre eigenen Zugriffsrechte beschränkt. Was der Erfahrung nach extrem unwahrscheinlich ist.

Das ist ein Problem sowohl für ein Safe Harbor 2, das schon seit einiger Zeit verhandelt wird und nun plötzlich ganz andere Voraussetzungen erfüllen muss. Es ist aber auch ein Problem für TTIP und TISA, jene Handelsabkommen, mit denen die USA gerade versuchen, sich ungehinderten Datenfluss aus den EU zu sichern und gleichzeitig Datenschutzbedenken auszuhebeln.

Geschäftsmodelle von Facebook und Google in Gefahr?

Auch für die geplante EU-Datenschutzgrundverordnung ist das EuGH-Urteil von großer Bedeutung, wie der Journalist Erich Möchel schreibt. Im derzeitigen Trilog zwischen Europaparlament, Kommission und Rat versuche letzterer nämlich gerade, die Anforderungen an eine "explizite Zustimmung" von Nutzern zur Datenverarbeitung in Nicht-EU-Ländern abzuschwächen. Dann müssten Unternehmen ihren Kunden gar nicht mehr so genau sagen, was alles mit ihren Daten passiert. Mit einem einmaligen Klick auf "OK" würden Nutzer praktisch jeder Art von Datennutzung zustimmen. Bleibt der EuGH seinen eigenen Maßstäben treu, müsste er eine solche Grundverordnung ebenfalls für unvereinbar mit der Grundrechtecharta erklären.

Welche Möglichkeiten also bleiben US-Unternehmen nun, die personenbezogene Daten von EU-Bürgern verarbeiten wollen?

Peter Schaar denkt an technische Lösungen: "Unternehmen könnten andere Serverstrukturen aufbauen, sie könnten sich andere IT-Dienstleister suchen, sie könnten in bestimmten Diensten eine Ende-zu-Ende-Verschlüsselung einrichten, sodass kein Dritter – auch sie selbst nicht – auf den Klartext zugreifen können."

US-Regierung will auch auf Server in Europa zugreifen

Für Unternehmen, deren Geschäftsmodell auf der Analyse von Daten für möglichst zielgerichtete Werbung beruht, dürfte vor allem letzteres kaum machbar sein. Schaar sagt: "Damit sind die datenbasierten Geschäftsmodelle von Facebook oder Google ein Stück weit infrage gestellt." Auch reicht es möglicherweise nicht, einfach ein paar Server in Europa aufzustellen, weil die US-Regierung der Meinung ist, auch darauf zugreifen zu dürfen, solange das Unternehmen seinen Hauptsitz in den USA hat. Microsoft streitet sich gerade vor Gericht mit dem US-Justizministerium genau darum, und bisher hat Microsoft zwei Mal verloren.

Deshalb müssten Unternehmen eben "eine Ausgründung vornehmen und die Daten der Nutzer durch die Wahl der richtigen Rechtsform dem Zugriff der US-Behörden entziehen", sagt Schaar. "Wenn sie davor zurückschrecken, riskieren sie, dass sie ihre Dienste in Europa letztlich nicht mehr anbieten dürfen." Was natürlich weder Nutzer noch Unternehmen und Politiker wollen.