Datenschutz-Urteil des EuGH:"Als ob zwei ICEs mit Vollgas aufeinander losfahren"
Max Schrems kämpft seit Jahren dagegen, dass seine Daten bei Facebook in den USA landen. Nun könnte er den Europäischen Gerichtshof erneut zu einer historischen Entscheidung zwingen. Gespräch über eine europäisch-amerikanische Kollision.
Interview von Mirjam Hauck
Der österreichische Datenschutzaktivist Max Schrems wehrt sich dagegen, dass Facebook Irland (dort hat das Unternehmen seine Europa-Zentrale) seine personenbezogenen Daten an Facebook in den USA übermittelt. Er will, dass die irische Datenschutzbehörde die gesamte Datenübermittlung zwischen beiden Unternehmen stoppt, weil Facebook in den USA den US-Geheimdiensten wie der NSA Zugriff auf die Daten gewähren muss. Am Donnerstag urteilt der Europäische Gerichtshof (EuGH) in Luxemburg ein zweites Mal über den Fall.
SZ: Seit sieben Jahren wollen Sie erreichen, dass Facebook Irland keine personenbezogenen Daten an Facebook USA übermittelt, dass die irische Datenschutzbehörde hier einschreitet und das verhindert. Warum dauert der Streit so lange?
Max Schrems: Die irische Behörde tut unserer Meinung nach alles, um nicht entscheiden zu müssen, deshalb liegt der Fall schon das zweite Mal beim EuGH. Das zeigt, dass wir ein grundsätzliches Problem mit dem europäischen Datenschutzrecht haben. Uns geht es im Kern aber nicht darum, ob Facebook die Daten jetzt hin- und herschicken darf, sondern wie Europa mit Staaten umgeht, die Überwachungsgesetze haben.
Vor fünf Jahren ist Ihnen ein spektakulärer Erfolg gelungen. Der EuGH kippte das sogenannte Safe-Harbor-Abkommen, mit dem die EU den USA bescheinigt hatte, ein "sicherer Hafen" für europäische Daten zu sein. Das Nachfolge-Abkommen aus dem Jahr 2016 heißt "Privacy Shield" und steht jetzt auch in der Kritik. Warum ist das so?
Das Privacy Shield ist vom Inhalt fast das gleiche wie Safe Harbor mit ein paar dekorativen Blümchen daneben. Im Grunde hat die EU-Kommission einfach den Text kopiert und dem Abkommen einen neuen Namen gegeben. Auch beim Privacy Shield sagt die EU, dass die amerikanischen Überwachungsgesetze okay sind, aber ich kann mir gut vorstellen, dass der EuGH als Verfassungsgerichtsbarkeit das anders sieht und erneut feststellt, dass sich die EU-Kommission an Grundrechte halten muss und nicht einfach irgendwelche Abkommen abschließen kann. Das Grundproblem bleibt ein strukturelles. Die europäischen Grundrechte sagen, wir brauchen Datenschutz, die amerikanischen sagen, wir brauchen Überwachung, also brauchen wir eure Daten.
Das lässt sich nicht ändern?
Die Systeme funktionieren dann, wenn ich eine Gesetzeslücke im anderen Land habe. Wenn zum Beispiel Malaysia kein Datenschutzrecht hat, kann sich eine malaysische Firma dazu verpflichten, europäischen Datenschutz einzuhalten. Beim biologischen Landbau machen wir das ja auch so. Wenn es keine Verordnung gibt, kann die Firma nach europäischen Kriterien produzieren, und dann ist es ein Bioprodukt. Wenn es aber in Malaysia ein Gesetz gibt - Bauern müssen alles zu Tode spritzen -, dann kann der Einzelne nicht privat sagen, nein, das tue ich nicht. Das gilt auch für Überwachung. Dieses Problem haben wir in den USA. Da gibt es nicht zu wenig Recht, sondern zu viel Recht.
Es gibt zwei Gesetze, die clashen, als ob zwei ICEs mit Vollgas aufeinander losfahren. Da ist es egal, ob ich da noch ein Hansaplast dazwischenklebe, das Privacy Shield heißt, trotzdem werden die Züge ineinander verkeilt. Eine Änderung ist nur dann möglich, wenn entweder auf europäischer Seite das Datenschutzrecht eingestampft oder wenn auf amerikanischer Seite die Überwachungsgesetze zurückgefahren werden.
Diese Interview-Reihe widmet sich aktuellen Themen und erscheint von Montag bis Freitag spätestens um 7.30 Uhr auf SZ.de. Alle Interviews hier.
Manche Kritiker befürchten die Abschaffung des Internet, wenn Privacy Shield gekippt wird.
Auch nach dem Ende von Safe Harbor war es so, dass man Daten in die USA schicken konnte. Gerade Unternehmen, die nicht unter die Überwachungsgesetze fallen wie Banken oder Fluggesellschaften werden das sowieso auch weiterhin tun können. Und viele Daten werden sowieso schon in Europa gespeichert. Nach Safe Harbor haben US-Unternehmen ein Rechenzentrum nach dem anderen in Europa gebaut, einfach weil es praktisch ist und europäische Unternehmen ihre Daten auch gerne in Europa liegen haben. Und man kann auch E-Mails nach China schicken, wofür wir überhaupt keine Abkommen haben. Diese Horrorszenarien sind objektiv Blödsinn. Und wer weiß, vielleicht kommt nach dem Ende von Privacy Shield wieder etwas Ähnliches, das nur anders heißt - "Privacy Umbrella"?
In der EU gilt seit zwei Jahren die Datenschutzgrundverordnung (DSGVO), die Daten von Internetnutzern schützen soll. Reicht sie nicht aus?
Es ist zwar nett, dass die EU die DSGVO erfunden hat. Aber wenn Mitgliedstaaten sie nicht umsetzen, haben wir ein Problem. Meiner Meinung nach ist die DSGVO politisch wahnsinnig sinnvoll, nur ist sie technisch schlecht geschrieben, und es ist schwierig, mit ihr zu arbeiten. Zudem geht das Gesetz manchmal zu weit und manchmal nicht weit genug. So hätte es ein klare Differenzierung zwischen Groß-, Klein und Mittelunternehmen gebraucht. Es ist vollkommen grotesk, dass ein Einzelunternehmer die gleichen Pflichten erfüllen muss wie Google und Facebook.
In den USA will die Regierung chinesische Apps wie Tiktok verbieten, weil dann "private Informationen in die Hände der chinesischen Kommunistischen Partei gelangen". Zeigen solche Aussagen einen Wandel im Verhältnis der US-Amerikaner zu Überwachung und Datenschutz?
Die ganze Debatte um China und Tiktok zeigt klar einen Widerspruch, wenn die Amerikaner sagen, bitte, liebe Europäer, gebt uns eure Daten, aber unsere Daten dürfen nicht nach China gehen, dort überwachen sie uns. Unter US-Präsident Donald Trump wird sich wahrscheinlich so schnell nichts ändern, aber das Silicon Valley hat ein riesiges Interesse, dass sich etwas ändert. Die Firmen dort haben auch kein großes Interesse an den Überwachungsgesetzen. Für sie ist ungünstig, dass sie ihre Kunden überwachen und die Daten hergeben müssen. Das kostet Geld und verursacht Kopfweh. Wir hoffen einfach, dass das Urteil des EuGH an diesem Donnerstag diese Diskussion weiter befeuert.