Datenschutz: Biden macht Vorschlag für "Privacy Shield 2.0"

Sind Daten europäischer Nutzer in den USA sicher vor Geheimdiensten? Bei zwei Abkommen hat der Europäische Gerichtshof das schon verneint. Jetzt also der dritte Anlauf. Was der für den Datenschutz bedeuten könnte.

Zugegeben, die Überschrift der Mitteilung, die das Weiße Haus am Freitagmorgen Washingtoner Zeit herausgibt, klingt ziemlich spröde: "Präsident Biden unterzeichnet Dekret, um den EU-US-Datenschutzrahmen umzusetzen". Dabei ist es eine Nachricht, auf die Digitalpolitiker und Regierungen dies- und jenseits des Atlantik gewartet haben, und nicht nur sie, sondern auch die großen Tech-Unternehmen. Der Facebook- und Instagram-Mutterkonzern Meta hatte schon gewarnt: Würde da nicht bald was kommen, sehe man sich gezwungen, seine sozialen Medien in Europa abzuschalten.

Hintergrund ist ein jahrelanger Streit zwischen Datenschützern, EU und USA darüber, wie genau Plattformbetreiber wie Meta, aber auch andere Tech-Unternehmen, die Daten europäischer Nutzer zu schützen gedenken. Schließlich kommen sehr viele Unternehmen der Digitalbranche aus den USA, wo sie auch ihre Server stehen haben, auf denen die Daten landen. Und ohne Datenschutzabkommen wäre eben Blackout, wie von Meta angedroht.

Denn alle vorherigen Vereinbarungen zwischen Brüssel und Washington zu den Bedingungen dieses transatlantischen Datenverkehrs sind vom Europäischen Gerichtshof (EuGH) abgeräumt worden, wegen eben jener Datenschutzbedenken. Das erste Abkommen ("Safe Harbor") fiel 2015, das nachfolgende ("Privacy Shield") 2020. Geklagt hatte beide Male der österreichische Jurist und Datenschutzaktivist Max Schrems, weil - grob verkürzt - unter den darin festgehaltenen Bedingungen die Daten europäischer Nutzer nicht ausreichend geschützt gewesen seien, etwa vor US-Geheimdiensten wie der NSA.

Nach "Safe Harbor" wurde im US-Außenministerium zwar eine Ombudsperson installiert, an die sich EU-Bürger wenden sollten, wenn sie ihre Daten in den USA gefährdet sähen. Doch die Straßburger Richter konnten nicht erkennen, wie diese Ombudsperson den Geheimdiensten irgendwelche wirksamen Anweisungen geben sollte, dass sie nicht rumschnüffeln sollen. Ein ordentliches Gericht in den USA müsse so etwas entscheiden.

Im März dieses Jahres haben sich EU und USA dann nach eigenem Bekunden schon "grundsätzlich" auf Rahmenbedingungen für ein Privacy Shield 2.0 geeinigt. Doch lange gab es keine Details. Bis jetzt. Bidens Dekret sieht zwar neue Beschwerdestellen vor, unter anderem ein neues Gericht, aber der Wiederholungskläger Max Schrems bezweifelt, dass diese wesentlich unabhängiger seien als die vorher für unzureichend erklärte Ombudsperson. Biden kündigt zwar an, seinen Geheimdiensten engere Grenzen zu setzen, wie es der EuGH gefordert hatte, doch nach Schrems' Auffassung geht auch dies nicht weit genug. "Auf den ersten Blick versucht man hier ein drittes Abkommen ohne rechtliche Basis", sagt Schrems laut einer Mitteilung der Nichtregierungsorganisation Noyb, deren Vorstandsvorsitzender er ist.

Zunächst ist es an der EU-Kommission, über die Dokumente aus Washington zu befinden und einen dazu passenden eigenen Rechtsrahmen zu erarbeiten. Das dürfte bis zum Frühjahr dauern. Während man sich in Washington und Brüssel zuversichtlich zeigt, sagt Schrems jetzt schon: "Ich gehe davon aus, dass auch ein neues Abkommen bald vom EuGH kassiert wird."