Wäre dieser Fall eine Fernsehserie, dann stünde die zweite Staffel kurz vor dem Finale: An diesem Donnerstag legt der Generalanwalt am Europäischen Gerichtshof (EuGH) sein Gutachten zu "Schrems II" vor, wie der Fall C311/18 intern auch heißt. Zum zweiten Mal geht es dabei um die Frage, ob der österreichische Datenschützer Max Schrems einen Erfolg vor dem höchsten europäischen Gericht erzielen kann. Zum zweiten Mal darum, ob Datenschutzabkommen zwischen der EU und den USA so löchrig sind, dass sie gekippt werden müssen.

Ein bindendes Urteil wird zwar erst in einigen Wochen erwartet, doch die Gutachten der Generalanwälte zeigen in der Regel, zu wessen Gunsten es ausfallen wird. Im Extremfall müssten zentrale Absprachen über den Datenaustausch zwischen Europa und den USA noch einmal neu verhandelt werden.

Um den Fall zu verstehen, muss man sechs Jahre zurückgehen. Im Juni 2013 legte Max Schrems eine Beschwerde bei der irischen Datenschutzbehörde DPC ein. Kurz zuvor hatte Edward Snowden mit seinen Enthüllungen gezeigt, dass die amerikanischen Geheimdienste mithilfe des Spionageprogramms Prism die Daten von Internetnutzerinnen und -nutzern massiv überwachen. Darunter auch Daten, die von Facebook kamen, wo Schrems selbst Mitglied war. Seine Argumentation: Angesichts dieser Tatsache dürften seine Daten gar nicht in die USA übertragen werden, weil es dort kein "ebenbürtiges Datenschutzniveau" gibt, wie es nach EU-Recht erforderlich ist. Die Datenschutzbehörde in Irland, wo Facebook sein europäisches Hauptquartier hat, sollte deshalb prüfen, ob die Übertragung legitim sei.

Die Behörde lehnte die Beschwerde ab. Sie berief sich auf das Safe-Harbor-Abkommen zwischen der EU und US-Firmen aus dem Jahr 2000. Es erlaubt die Übermittlung personenbezogener Daten an US-Unternehmen, sofern diese sich verpflichten, bestimmte Vorgaben einzuhalten. Etwa indem sie Nutzerinnen darüber informieren, welche Daten erhoben werden. Die meisten großen US-Unternehmen, darunter Facebook, Microsoft und Google, hielten sich an die Safe-Harbor-Vorgaben und durften folglich Daten aus der EU in die USA schicken. Und weil es das Abkommen gebe, unterliege es nicht dem irischen Datenschutzbeauftragten, die Übermittlung infrage zu stellen, sagten diese.



Aus Safe Harbor wird Privacy Shield

Nach einer gerichtlichen Überprüfung in Irland landete der Fall "Schrems I" schließlich 2015 vor dem Europäischen Gerichtshof – und endete in einer bemerkenswerten Entscheidung. Die Richter entschieden nämlich, dass das Safe-Harbor-Abkommen ungültig ist. "Eine Regelung, die es den Behörden gestattet, generell auf den Inhalt elektronischer Kommunikation zuzugreifen", verletze "den Wesensgehalt des Grundrechts auf Achtung der Privatsphäre", hieß es in der Urteilsbegründung. Anders gesagt: Solange es in den USA Gesetze gebe, die Safe Harbor aushebeln, sei das gesamte Abkommen hinfällig.

Mit dem Urteil endete 2015 die erste Staffel der Saga. Datenschützer bewerteten das Urteil zwar als Erfolg, wirklich viel änderte sich aber nicht. Nicht einmal ein Jahr später gab es mit Privacy Shield nämlich schon die nächste Absprache, die den Datenaustausch zwischen der EU und den USA rechtlich regeln sollte, obwohl sie auf ähnlich wackeligen Füßen steht. Zwar enthält Privacy Shield einige Verschärfungen, etwa, dass sich US-Unternehmen bereit erklären müssen, die Daten von EU-Bürgern schneller zu löschen, sowie das Benennen einer Ombudsperson im US-Außenministerium. An der grundsätzlichen Annahme der USA, dass das bloße Sammeln von Daten noch keine Überwachung darstellt, änderte sich aber nichts.

Zudem blieb die Frage unbeantwortet, mit der alles begann: Max Schrems hatte immer noch keine Antwort der irischen Datenschutzbehörde DPC erhalten, ob Facebook die Daten europäischer Nutzerinnen einfach an die USA weiterleiten darf. Das EuGH-Urteil zu "Schrems I" bestätigte der Behörde nämlich nur, das prinzipiell prüfen zu dürfen.

Hier kommt nun der, um im Serienjargon zu bleiben, Plot-Twist: Wie Schrems Organisation noyb auf ihrer Website schreibt, will Facebook sich weder auf Safe Harbor noch den Nachfolger Privacy Shield bei seiner Datenübertragung verlassen haben. Sondern auf die sogenannten Standardvertragsklauseln (Standard Contractual Clauses, SCC), ein weiteres EU-Instrument, das die Datenübermittlung eines europäischen Unternehmens (etwa Facebook Irland) in Drittländer (etwa die USA) vertraglich regelt. Soll heißen: Das Ende von Safe Harbor vor dem EuGH war eigentlich bloß ein Beifang. Schrems ursprüngliche Beschwerde bezüglich der Datenübertragung von Facebook musste noch einmal komplett neu geprüft werden.