Die Euphorie war groß in den ersten Oktobertagen des vergangenen Jahres: Das Urteil des Europäischen Gerichtshofs gegen Facebook wurde als wunderbarer Tag für Europa gefeiert. Die Richter hatten die bis dahin geltenden unendlich laschen Regeln für den Datentransfer von der EU in die USA annulliert und neue, grundrechtsstarke Vorschriften gefordert. Nun, vier Monate später, stellt sich die postjudiciale Tristesse ein, die große Ernüchterung nach einem großen Urteil.
Die neuen Regeln, die nun die EU-Kommission mit den USA ausgehandelt hat (sie wurden verkündet, aber noch nicht rechtsförmig gefasst) sind von einem Datenschutzniveau, wie es die Europäische Grundrechtecharta fordert, ein halbes Lichtjahr entfernt. Sie sind unverbindlich. Die EU-Kommission spricht gleichwohl von einem Durchbruch. Das ist, vorsichtig gesagt, sehr übertrieben. Es handelt sich eher um einen Reinfall, weil die EU-Kommission wenig erreicht hat, vor allem keinen Rechtsschutz, der diesen Namen verdient. Der Rechtsschutz für EU-Bürger in den USA bleibt, wie es aussieht, hinter dem Rechtsschutz für US-Bürger weit zurück.
Die superlaschen Regeln werden durch lasche Regeln ersetzt
Und die Garantien für die Daten aus Europa, die nun von der US-Seite gegeben werden, bleiben vage Versprechen: Das US-Handelsministerium verspricht, dass es künftig die US-Firmen überwacht, die Daten aus Europa verarbeiten. Und der Chef der amerikanischen Geheimdienste verspricht, dass der Totalzugriff auf die Daten nicht mehr ganz so total sein wird wie bisher. Und das US-Justizministerium verspricht auch noch was obendrauf.
Der alte, saure Wein - die Europa-Richter haben ihn für ungenießbar erklärt - wird also einfach in neue Schläuche gefüllt. Der alte Schlauch war das "Safe-Harbor-Abkommen"; der neue Schlauch heißt "EU-US-Privacy Shield". Das Safe-Harbor-Abkommen war ein System der Selbstzertifizierung, bei dem die US-Firmen einfach sagten, dass sie sich schon an den Datenschutz halten werden. Es handelte sich um eine Art der freiwilligen Selbstkontrolle, bei der die Firmen nicht einmal genau wussten, was sie zu kontrollieren versprochen hatten; sie stellten sich einfach selber ein Zeugnis aus, auf dem "im Einklang mit europäischen Anforderungen" stand. Der neue Schlauch heißt nun "EU-US-Privacy Shield"; die Neuheit ist ein Ombudsmann, der unabhängig sein soll, und an den sich EU-Bürger wenden dürfen, um sich über Überwachung durch US-Geheimdienste zu beschweren.
Das ist mickrig. Das ist es nicht, was die Europa-Richter wollten. Sie wollten nicht neue Etiketten, sondern neue Substanz. Sie wollten, dass die europäischen Daten, die bei Facebook, Google & Co. in den USA landen, dort nicht beliebigem Zugriff unterliegen. Wie es aussieht, wird es noch viele Urteile brauchen, bis der Beliebigkeit Einhalt geboten ist. Vielleicht werden die Datenschützer der EU-Staaten Bußgelder verhängen müssen. Und die europäischen Unternehmen werden sich überlegen müssen, ob es nicht doch besser ist, Personendaten künftig in Europa zu verarbeiten.
