Es ist eine Entscheidung, die für den transatlantischen Datenstrom von großer Bedeutung sein wird - und damit für den Blutkreislauf der globalen Wirtschaft. Der Europäische Gerichtshof (EuGH) prüft derzeit, ob die Datenschutzgarantien der USA den Ansprüchen der Europäischen Union genügen. Nun hat der Generalanwalt des EuGH sein Gutachten veröffentlicht. Es ist halb kritisch, halb moderat ausgefallen: Sollte der Gerichtshof in einigen Monaten dem Votum folgen, dann dürfte der Datentransfer weiterhin möglich bleiben. Jedenfalls, solange kein entschlossener Datenschützer einschreitet.
Geklagt hatte der österreichische Jurist Max Schrems, er wendet sich gegen die Datenübermittlung durch Facebook von Irland in die USA. Bereits vor vier Jahren hatte er einen spektakulären Erfolg erzielt. Der EuGH kippte damals das sogenannte Safe-Harbor-Abkommen, mit dem die EU den Amerikanern bescheinigt hatte, ein "sicherer Hafen" für europäische Daten zu sein - woran nach den Enthüllungen von Edward Snowden doch erhebliche Zweifel herrschten. 2016 vereinbarten EU und USA daraufhin den "Privacy Shield". Weil aber nach den US-Gesetzen Unternehmen wie Facebook verpflichtet bleiben, die US-Behörden bei der Überwachung von EU-Bürgern zu unterstützen, hält Schrems auch den neuen Schild für löchrig. In der Anhörung im Juli erinnerte sein Anwalt an Instrumente wie Prism und Upstream, mit denen die Behörden Zugriff auf Metadaten und Inhalte hätten - mutmaßlich über ein angezapftes Kabel im Atlantik.
Tatsächlich enthält der Schlussantrag des Generalanwalts eine äußerst kritische Würdigung des "Privacy Shield". Rechtsstaatliche Garantien, die nach der Datenschutzgrundverordnung für europäische Daten auch jenseits des Atlantiks einzuhalten sind, seien dort eher schwach ausgeprägt. Schon die Frage, ob die beiden Direktiven, die Sicherheitsbehörden wie der National Security Agency (NSA) den Zugriff erlauben, als hinreichend klar definierte "gesetzliche Vorschriften" anzusehen seien, hält er für fraglich. Unscharf sei zudem die Ausgestaltung der Selektoren, mit deren Hilfe die Datenströme automatisch gefiltert würden. Auch das Ziel der Sammelei sei wohl unverhältnismäßig, weil die Daten nicht nur der nationalen Sicherheit, sondern auch weiter gefassten außenpolitischen Zwecken dienen sollen. Und Rechtsschutz? Es gebe einen Ombudsmann, der aber wohl keinen wirksamen Mechanismus für EU-Bürger biete.
Ein vernichtendes Fazit also für den "Privacy Shield". Doch die überraschende Pointe des Generalanwalts Henrik Saugmandsgaard Øe lautet: Auf das, was er zum Datenschutzschild auf gut 40 Seiten ausgebreitet hat (und in der Pressemitteilung kaum erwähnt), kommt es aus seiner Sicht gar nicht an. Thema des Verfahrens seien allein die sogenannten "Standardvertragsklauseln". Das ist sozusagen der zweite Kanal für die Datenübertragung, der in der Praxis eine weitaus größere Bedeutung hat, als der Schutzschild. Facebook, um dessen Datentransfers in die USA es im konkreten Fall ja geht, stützt sich im Wesentlichen auf solche Klauseln - ein System vertraglicher Garantien, das auf einem Beschluss der EU-Kommission von 2010 beruht. Diese "Standardvertragsklauseln" böten ausreichenden Schutz, meint der Generalanwalt. Selbst wenn also der erste Kanal des Datentransfers aus der EU in die USA so offen ist, dass dort die NSA fröhlich mitlesen kann, lässt sich der zweite Kanal aus Sicht des dänischen Juristen hinreichend absichern. Und zwar deshalb, weil es den Datenschutzbehörden möglich sei, die Übermittlung bei Datenschutzmängeln zu unterbinden. Aus Sicht des Klägers Max Schrems wäre dies für die irische Datenschutzbehörde ohnehin das Gebot der Stunde: "Sie kann Facebook anweisen, die Übertragungen morgen zu stoppen."
Aber ist der "Privacy Shield" wirklich irrelevant für die große Frage des transatlantischen Datentransfers? In der Anhörung im Juli klang das ganz anders. Die kritischen Nachfragen aus den Reihen des Gerichtshofs konzentrierten sich auf genau diesen Punkt. Mit der Vereinbarung über einen "Privacy Shield" sei doch wohl eine generelle Aussage darüber getroffen worden, dass das Datenschutzniveau in den USA angemessen sei, merkte damals der zuständige Berichterstatter Thomas von Danwitz an. Wenn nun aber diese grundlegende Entscheidung über das Datenschutzniveau in den USA in Zweifel gerate: Könne der Datentransfer der Unternehmen mithilfe der Standardvertragsklauseln wirklich davon unbeeinflusst bleiben?
Schlussanträge des Generalanwalts werden gern mit dem Nachsatz versehen, der Gerichtshof folge ihnen "meistens". Das stimmt quantitativ. Aber bei Materien, die ihm wichtig sind, weicht der Gerichtshof häufig ab. Dazu gehört der Datenschutz.