Zum zweiten Mal hat die EU-Kommission eine Niederlage erlitten. Der Europäische Gerichtshof (EuGH) hat die Datenschutzvereinbarung "Privacy Shield" zwischen der EU und den USA gekippt, die seit 2016 den Datenaustausch rechtssicher regeln sollte. Fünf Jahre nach dem Ende des Datenschutzabkommens "Safe Harbor" hat seinen Nachfolger das gleiche Schicksal ereilt. Der EuGH hat der EU-Kommission erneut vor Augen geführt, dass sie nicht fähig war, die Daten der europäischen Internetnutzer vor der Überwachung durch US-Geheimdienste zu schützen. Mit Blick auf die Zugriffsmöglichkeiten der Behörden seien die Anforderungen an den Datenschutz nicht gewährleistet, erklärten die Richter. Spätestens seit den Enthüllungen von Edward Snowden im Jahr 2013 ist klar, dass Geheimdienste wie die NSA Internetnutzer überwachen und massiv Daten abschöpfen.
Die Entscheidung der Luxemburger Richter ist richtig, sie stärkt die digitalen Grundrechte der Bürger und setzt der Überwachungspraxis der USA klare Grenzen. Dass der Datenschutzschild für löchrig und damit ungültig erklärt wurde, ist nur folgerichtig. Denn es hält nicht ein, was der Name verspricht. So wurden teilweise Absätze aus Safe Harbor wortgleich übernommen und mit einer anderen Überschrift versehen. Zwar gibt es bei Privacy Shield tatsächlich einige Verbesserungen gegenüber dem Vorgänger. So wurde eine Ombudsstelle eingerichtet, an die sich auch EU-Bürger wenden können, wenn US-Unternehmen etwa ihre persönlichen Daten verkaufen. Doch auch von dieser Maßnahme sind die Richter am EuGH nicht überzeugt. Sie bezweifeln, dass die Aufpasser tatsächlich genügend Einfluss haben, um sich für die Rechte der Europäer einsetzen zu können. Hier zeigt sich die Machtlosigkeit der EU. Datenschutzrecht ist in den USA nichts wert, man interessiert sich nicht für Ombudsstellen, die nur geschaffen wurden, um die Bürger zu beruhigen.
Datenschutz-Urteil des EuGH:"Als ob zwei ICEs mit Vollgas aufeinander losfahren"
Max Schrems kämpft seit Jahren dagegen, dass seine Daten bei Facebook in den USA landen. Nun könnte er den Europäischen Gerichtshof erneut zu einer historischen Entscheidung zwingen. Gespräch über eine europäisch-amerikanische Kollision.
Wie schon im Fall von Safe Harbor war es Datenschutzaktivist Max Schrems, der der EU-Kommission diese Niederlage beigebracht hat. Vor sieben Jahren hatte Schrems das erste Mal Beschwerde bei der irischen Datenschutzbehörde eingelegt, weil er verhindern wollte, dass Facebook Irland - hier hat der Konzern seine Europazentrale - Daten an die Mutterfirma in Kalifornien schickt.
Der EU lässt sich eigentlich nicht vorwerfen, dass sie sich gar nicht um den Datenschutz ihrer Bürger kümmert. Seit zwei Jahren gilt die Datenschutz-Grundverordnung (DSGVO). Sie regelt unter anderem, dass personenbezogene Daten grundsätzlich nur dann in ein Drittland übermittelt werden dürfen, wenn das betreffende Land für die Daten ein angemessenes Schutzniveau gewährleistet. So verbietet die DSGVO, was Privacy Shield erlaubt. Dass das nicht geht, haben die Richter nun klargestellt. Allerdings hätte die Kommission auch selber darauf kommen können, denn 2016 erklärte sie noch, sie wolle Privacy Shield kontinuierlich überprüfen und nachbessern. Das ist offenbar nicht geschehen, und dafür gibt es jetzt die Quittung.
Die EU muss nun handeln. Sie könnte einen neuen Deal mit den USA vereinbaren. Das ist jedoch nur sinnvoll und vor allem rechtssicher, wenn das Land seine Überwachungsgesetzgebung ändert. Die USA müssen Datenschutz für alle Bürger gewährleisten, nicht nur für die eigenen.