Die langwierige Auseinandersetzung zwischen dem österreichischen Datenschützer Max Schrems und dem US-Konzern Facebook ist um eine spektakuläre Facette reicher. Eine, die längst nicht nur das Hantieren von Facebook betreffen wird.
Der Europäische Gerichtshof (EuGH) erklärte nämlich jenes Abkommen für ungültig, das Datentransfers zwischen den USA und der Europäischen Union regelt. Jenes Abkommen also – „Privacy Shield“ genannt –, das erst 2016 auf die ebenfalls höchstgerichtlich gekippte Vereinbarung „Safe Harbor“ folgte. Auch dem „sicheren Hafen“ hatte übrigens eine Auseinandersetzung zwischen Facebook und Schrems die Berechtigung entzogen.
Der aktuelle Konflikt nun reicht zurück bis in das Jahr 2013. Damals enthüllte der ehemalige CIA-Mitarbeiter Edward Snowden, dass US-Geheimdienste massiv elektronisch gespeicherte Daten von Nicht-US-Bürgern auswerten. Zugriff darauf haben sie dank eines Geheimdienstgesetzes, das IT-Konzerne zur Herausgabe der Informationen zwingt. Daraufhin verlangte Schrems von der irischen Datenbehörde - dort liegt Facebooks Europa-Zentrale –, dass diese die Übertragung seiner Daten von Facebook Irland an die US-Mutter unterbindet. Was folgte, war ein Hin-und-Her vor Gericht, das 2015 in der Annullierung des Safe-Harbor-Abkommens durch den EuGH gipfelte.
Dieser im Jahr 2000 geschlossene Vertrag zwischen den USA und der EU ermöglichte ursprünglich den grenzenlosen Datenfluss zwischen den beiden Wirtschaftsräumen. Nach der Aufhebung folgte ein Aufschrei der Internetkonzerne. Eilig verhandelten die EU-Kommission und die US-Regierung deswegen ein Nachfolge-Abkommen, eben jenes „Privacy Shield“, das nun gekippt wurde. Dieses bot zwar eine „Ombudsstelle“ in den USA, an die sich EU-Bürger wenden können, wenn Daten von US-Behörden abgefragt werden. Diese hat allerdings keine rechtlichen Befugnisse. EU-Bürger hätten deswegen weiterhin keinen Schutz vor US-Gerichten, begründet der EuGH jetzt sein Urteil.
Datenschutz muss "gleichwertig" sein
Heißt das aber, dass fortan kein Datentransfer mehr in die USA erlaubt sein wird? Nein. Firmen können Daten von EU-Bürgern nämlich weiterhin anhand sogenannter „Standardvertragsklauseln“ auslagern. Der EuGH stellte jetzt aber klar, dass der Datenschutz in diesen Ländern „gleichwertig“ mit jenen innerhalb der EU sein muss. Ob das zutrifft, wird nun von den nationalen Datenschutzbehörden festgestellt.
Im Falle von Facebook seien jetzt eben wieder die Iren am Zug, erklärt Andrea Jelinek, Chefin der österreichischen Datenschutzbehörde. Jelinek glaubt zudem, dass die EU-Kommission alles daran setzen wird, ein neues Abkommen mit den USA zu schließen. Auch, weil Europäer und US-Amerikaner prinzipiell „die gleichen Werte teilen“. Weil die Verhandlung aber Jahre dauern kann, sollten sich Unternehmen nicht darauf verlassen.
„Die USA müssen ihre Überwachungsgesetze ändern, wenn US-Unternehmen weiterhin eine Rolle auf dem EU-Markt spielen wollen“, heißt es indes unmissverständlich von Max Schrems. Ebenso deutlich fällt die Reaktion aus. Er sei „zutiefst enttäuscht“ über das Luxemburger Urteil, erklärte US-Handelsminister Wilbur Ross.