Die grünen Lämpchen sind noch an, als wäre nichts gewesen. Sie leuchten neben den Namen von 5378 Unternehmen, die Liste steht auf der Webseite des US-amerikanischen Handelsministeriums. Doch diese Liste, die den Europäern die Angst vor dem US-amerikanischen Überwachungsapparat nehmen sollte, ist seit Donnerstag aus EU-Sicht ein Zombie. Das grüne virtuelle Lämpchen soll bedeuten: Keine Sorge, liebe Europäer, dieses Unternehmen überträgt unter dem Schutz des "Privacy Shield" Daten von Europa in die USA. Doch der Deal, den EU und USA 2016 geschlossen hatten, gilt nicht mehr.
Der Europäische Gerichtshof (EuGH) hat die Abmachung für ungültig erklärt. Weil US-Geheimdienste praktisch ungehemmt auf Daten von EU-Bürgern zugreifen könnten, sei der Datenschutz nicht gewährleistet, so die Richter. Nun herrscht Unklarheit in Tausenden Unternehmen auf beiden Seiten des Atlantiks. Dürfen Daten, Namen, E-Mails und Bilder noch fließen? Wenn nicht, würde das die Arbeit in vielen Firmen teils zum Erliegen bringen.
Denn auf der nun irrelevanten Liste stehen große amerikanische Tech-Unternehmen wie Microsoft, Amazon und Dropbox. Ihre Software ist Teil der Infrastruktur des Internets und des Alltags vieler Unternehmen. Mit Google Analytics erfassen Firmen, wer ihre Webseiten wie lange besucht, über Dropbox oder Microsoft OneDrive tauschen Mitarbeiter Unterlagen, auf Amazons Cloud-Speichern sammeln sie Datenberge.
Microsoft, Facebook, Dropbox und Amazon Web Services verweisen auf Anfrage darauf, dass ihre Dienste von Europäer weiter genutzt werden können. Sie würden nun einfach noch öfter sogenannte Standardsvertragsklauseln nutzen. Muster dieser Klauseln können Unternehmensjuristen direkt aus dem entsprechenden Beschluss der EU-Kommission kopieren. Bislang galt die Übertragung dann als legal. Doch der EuGH säte auch an ihrer Nutzung Zweifel, wenn es um Staaten geht, in denen die Geheimdienste tun, was sie wollen.
In manchen europäischen Unternehmen laufen deshalb gerade die Vertragstracker heiß, jene Software, die helfen soll, den Überblick über Abmachungen mit Dienstleistern zu behalten: Welche Dienste beanspruchen wir von Unternehmen, die Daten in den USA verarbeiten? Waren die Daten unter dem Privacy Shield geschützt? Wenn ja, müssen die Juristen neue Verträge basteln. Aber was soll in denen überhaupt stehen, damit die Daten als NSA-sicher gelten?
Aus Kreisen der Telekommunikationsbranche ist zu hören, Unternehmen hätten schon Prüfungen eingeleitet, als nur die Pressemitteilung des Gerichts vorlag. Vor allem warten die Firmen auf Ansagen der Aufseher, die am Donnerstag im europäischen Datenschutzausschuss berieten, was das Urteil in der Praxis bedeuten soll. Ein Sprecher des Software-Konzern SAP sagt: "Wir sind zuversichtlich, dass sich die europäischen Datenschutzbehörden, wie schon als das Safe-Harbor-Abkommen für unwirksam erklärt wurde, konstruktiv an der Lösungsfindung beteiligen werden." Safe Harbor - der Vorgänger des Schildes wurde 2015 ebenfalls vom EuGH gekippt. Der Privacy Shield sollte den transatlantischen Datengraben eigentlich wieder schließen.
(Update 24.7., 15 Uhr: In ihrer Einschätzung kommen die Aufseher zu dem Schluss, dass es keine Schonfrist für Unternehmen geben wird. Unternehmen müssten auch Verträge mit Standardvertragsklauseln prüfen und ihre Aufsichtsbehörde informieren, wenn sie an der Sicherheit ihrer Daten in den USA zweifeln. Auf Deutsch hat bereits der Rheinland-Pfälzische Datenschutzbeauftragte Empfehlungen veröffentlicht.)
In einem vorläufigen Statement hatte der Datenschutzausschuss schon vor einer Woche die EU-Kommission in die Pflicht, mit den USA eine neue Abmachung auszuhandeln. Aber wie gut kann so ein Deal sein? Zwar gab es - vor dem Urteil - ein vages Signal aus der US-Regierung. Ein Vertreter ließ sich von Politico anonym zitieren: "Wenn wir nachjustieren müssen, machen wir das." Doch Datenschutzrechtler wie Malte Engeler glauben nicht, dass die USA sich nicht so weit bewegen werden, wie es den strengen Regeln der EU genügen wird: "Die EU-Kommission wird was basteln, bis der EuGH das auch wieder kippt. Dann stellt sich die Frage: Wie ernst nehmen wir den Datenschutz? Warum sollen wir uns die Mühe noch machen?"
Die Behörden ringen mit dem Urteil. Der Hamburger Datenschutzbeauftragte Johannes Caspar sagt, es katapultiere alle Beteiligten in die Vergangenheit: "Waren vor fünf Jahren Standardvertragsklauseln eine Rückfalloption, so ist gegenwärtig gerade dies massiv in Frage gestellt." Der Privacy Shield ist weg, die Klauseln sind unsicher. "Am besten sind wohl noch Konzerne bedient, die sich auf Binding Corporate Rules stützen, die für die Unternehmen speziell ausgehandelt sind", sagt Datenschutzjuristin Kirsten Bock. Aber auch diese Verträge sollten Unternehmen prüfen.
Große Teile des Datenverkehrs über den Atlantik stehen also grundlegend in Frage. Manche hiesige Firmen könnten davon profitieren. So sagt der Geschäftsführer der Hamburger Webanalyse-Firma Etracker, Olaf Brandt: "Hunderttausende Websites nutzen die großen Plattformen wie Facebook und Google und deren Tools - und bezahlen mit den Daten der Nutzer. Wir halten uns an die Datenschutzvorgaben. Dadurch sind wir als europäische Anbieter aber bislang klar im Nachteil."
Andere Firmen arbeiten schon an einer europäischen Cloud. Owncloud aus Nürnberg etwa sieht sich als Alternative zu Dropbox und Microsofts OneDrive. Mit 200 000 Kunden, von denen 600 zahlen, ist die Open-Source-Firma allerdings ein kleiner Player auf dem Markt. Nach ihren Angaben fließen über sie auch Daten der Regierung von Barbados, Behörden in Australien und den USA sowie vom Land Bayern und der Stadt München.
Auch die Juristin Bock sagt: "Ich würde Unternehmen empfehlen, auf europäische Anbieter auszuweichen." Doch das Dilemma ist: Die Cloud-Infrastrukturen von Amazon und Google gelten in Sachen Verschlüsselung und Verlässlichkeit als kaum einholbar. "Die europäischen Lösungen sind meist eher wie 'Jugend forscht'", sagt der Datenschutzjurist eines deutschen Konzerns. Nicht jeder Mittelständler kann sich ein eigenes, gut gesichertes Rechenzentrum bauen.
Der Datenschutzbeauftragte Caspar sagt, das Urteil stelle nicht nur den Datenaustausch mit den USA in Frage, sondern mit jedem anderen Staat, in dem staatliche Überwachung die Daten von EU-Bürgern gefährde. So sind es nur noch zwölf Staaten, denen die Kommission zubilligt, diese Daten angemessen zu schützen, darunter Faröer, Guernsey und Andorra. Der Rest der Welt ist für europäische Nutzerdaten vorerst höchstrichterlich Gefahrenzone.
