Der Datenschutz hat unter den jungen EU-Grundrechten die steilste Karriere hinter sich. Im April 2014 kippte der Europäische Gerichtshof (EuGH) die Vorratsdaten-Richtlinie, gut einen Monat später wies er Google in die Schranken und dekretierte ein Recht auf Vergessen. An diesem Dienstag war Facebook dran, das - wie die Welt seit Edward Snowdens Enthüllungen weiß - den US-Geheimdiensten Zugang zu seinen Daten gewährt. Dass der EuGH diesen nonchalanten Datentransfer hinnehmen wird, ist nach dem Gang der Verhandlung eher nicht zu vermuten.
Geklagt hatte Max Schrems, ein österreichischer Jurastudent, ähnlich smart wie Snowden. Durch ein Versehen von Facebook hatte er Auskunft darüber bekommen, was dort über ihn so alles gespeichert ist - und damit potenziell den US-Geheimdiensten zur Verfügung steht. Er forderte den für Facebook Europe zuständigen irischen Datenschutzbeauftragten zum Einschreiten auf, doch der zuckte mit den Schultern: In Europa gelte seit dem Jahr 2000 das Safe-Harbour-Abkommen, ausgehandelt zwischen EU-Kommission und US-Handelsministerium. Danach würden die USA grundsätzlich als "sicherer Hafen" für die Daten der Europäer betrachtet. Datenschützern seien die Hände gebunden.
Der oberste irische Gerichtshof dagegen hielt nichts von der Legende vom sicheren Hafen und legte den Fall dem EuGH vor. Dort verteidigte die EU-Kommission an diesem Dienstag ihren Standpunkt: Man sei in Verhandlungen mit den USA und benötige einen "Ermessensspielraum", um Datenschutz und Handelsbeziehungen in Einklang zu bringen. "Die Kommission ist nach den Enthüllungen von 2013 nicht tatenlos geblieben", sagte deren Vertreter Bernhard Schima.
Mit anderen Worten: Die Kommission will verhindern, dass der EuGH sie zur Aussetzung von Safe Harbour zwingt. Man habe "ausreichend Hinweise", die zur "Hoffnung" berechtigten, dass die USA die Vorschläge der EU berücksichtigten. Andererseits wollte sich Schima nicht darauf festlegen, dass der Hafen auch heute, fünfzehn Jahre nach Abschluss des Abkommens, immer noch sicher sei. "Die Kommission kann nach dem heutigen Stand nicht behaupten, dass in den USA ein angemessenes Schutzniveau existiert" - aber eben auch nicht das Gegenteil. Die Verhandlungen seien noch nicht abgeschlossen.
Dass der EuGH der Kommission für die laufenden Gespräche einen Blankoscheck erteilt, daran kann man nach dem Gang der Verhandlung Zweifel haben. Die Richter nahmen die Kommission regelrecht ins Verhör: Die Garantien im Safe-Harbour-Abkommen hingen doch davon ab, ob sie nach US-Recht überhaupt erlaubt seien, merkte Thomas von Danwitz an, zuständiger Berichterstatter in dem Verfahren. Wie könne die Kommission dann behaupten, dass die EU - obwohl in diesem Punkt abhängig von den US-Vorschriften - hier für einen angemessenen Schutz der EU-Bürger vor dem Zugriff in den USA sorge? Die Kommission wolle also alles so lassen, wie es ist, fragte Präsident Vassilios Skouris an - und dabei versuchen, die USA zum Datenschutz zu "überreden"? Und Generalanwalt Yves Bot versetzte sich in die Situation eines normalen Facebook-Nutzers: Wie könne der denn seinen individuellen Rechtsschutz durchsetzen, wenn alles von der Kommission abhänge? Schima empfahl die Kündigung des Facebook-Kontos. Das habe er schon vorweggenommen, entgegnete Bot - er habe nie eines gehabt.
Zuvor hatte bereits der Vertreter des EU-Parlaments die grundsätzliche Kritik der Abgeordneten am Datenschutzabkommen bekräftigt. "Es gibt systemische Mängel beim Schutz der EU-Bürger." Ähnlich äußerte sich Österreich: "Safe Harbour ist kein sicherer Hafen für EU-Bürger, es ist höchstens ein sicherer Hafen für Datenpiraten."
Bleibt die Frage, was der EuGH unternehmen kann, wenn er in einigen Monaten über die Schrems-Klage entscheidet. Denkbar wäre, dass er die EU-Kommission zur Durchsetzung eines effektiven Datenschutzes im Verhältnis zu den USA zwingt - was letztlich auf eine Aussetzung des Safe-Harbour-Abkommens hinausliefe. Zudem dürfte er wohl die nationalen und europäischen Datenschutzbeauftragten in die Pflicht nehmen, die dann zu einer stärkeren Kontrolle des Datenflusses gen USA befugt wären. Das resignierte Schulterzucken, mit dem der irische Datenschützer auf Facebook reagiert hatte, wäre dann nicht mehr das Mittel der Wahl.