Datenschutz schafft es nur ganz selten auf die Titelseiten dieser Welt. Und das auch nur dann, wenn es schlechte Nachrichten gibt, so wie es bei Edward Snowdens Enthüllungen über das Ausmaß der Überwachungspraktiken des US-Geheimdienstes war. In diesem Kontext war das Urteil des Europäischen Gerichtshofs aus dem Juli eigentlich eine gute Nachricht, die es trotzdem in alle großen Nachrichtensendungen brachte: Das Gericht kippte den sogenannten Privacy Shield, der seit 2016 den Datenaustausch zwischen den USA und der EU geregelt hatte - wegen der von Snowden aufgedeckten Zugriffsmöglichkeiten der US-Behörden auf die Daten europäischer Bürger. Mit der Entscheidung hat das Gericht aber auch Tausende Unternehmen in Unsicherheit gestürzt, welche Datentransfers überhaupt noch erlaubt sind - da wären sie also wieder, die schlechten Nachrichten.
Unmittelbar nach dem Urteil waren die Reaktionen erwartbar. Zufriedenheit beim Kläger, dem österreichischen Datenschutzaktivisten Max Schrems. Alle anderen sagten, was Juristen in solchen Fällen immer sagen: erst mal in Ruhe das Urteil prüfen.
Inzwischen aber sind mehr als sechs Wochen vergangen, und klar geworden ist in der Zwischenzeit eigentlich nur, dass nach wie vor Unklarheit herrscht. Grundsätzlich ist es zwar immer noch möglich, Daten zwischen den USA und der Europäischen Union hin- und herzuschicken, das hat das Gericht ausdrücklich festgestellt. Aber: "Das Urteil legt Unternehmen riesige neue Lasten auf zu überprüfen, welche Datenschutzgesetze in anderen Ländern gelten. Das ist vor allem für kleinere Firmen ein Problem", sagt Cecilia Bonefeld-Dahl, die Generaldirektorin von "Digital Europe", einem Verband, in dem sich nach eigenen Angaben 35 000 Unternehmen zusammengeschlossen haben. Auch die Deutsche Industrie- und Handelskammer fordert, die Unternehmen bräuchten dringend eine neue rechtliche Basis. Ein Nachfolgeabkommen, das "jedoch länger halten muss als das Privacy Shield", wie es in einer Stellungnahme heißt.
Die Wirtschaft braucht klare Vereinbarungen für den Transfer von Daten
Es ist aber nicht einmal klar, ob ein neues Abkommen überhaupt möglich wäre. Das Gericht bemängelte in seinem Urteil zum einen, dass das amerikanische Recht keinen ausreichenden Schutz vor Zugriff auf Daten durch die US-Behörden vorsieht. Zum anderen fehlte EU-Bürgern, anders als Nutzern in den USA, ausreichender Rechtsschutz gegen solche Zugriffe.
Das zweite Argument ließe sich womöglich aus dem Weg räumen, entsprechende Ideen schössen gerade aus dem Boden wie "Pilze nach dem Regen", sagt einer, der mit den Gesprächen zwischen der EU und den USA vertraut ist. Dem ersten Argument aber ist schwieriger beizukommen. Viele Experten glauben, dass die USA ihre Überwachungsgesetze ändern müssten, bevor ein neues Abkommen ausgehandelt werden könnte - wie realistisch das ist, dürfte wesentlich vom Ausgang der US-Präsidentenwahl abhängen. "Wir haben nie ein Geheimnis daraus gemacht, dass wir uns in den USA ein Gesetz wünschen würden, das ähnliche Schutzmechanismen enthält wie die Datenschutzgrundverordnung", sagte EU-Kommissarin Vĕra Jouróva nach der Urteilsverkündung. "Aber wir können nicht zaubern und die US-Gesetze von hier aus ändern." Die EU-Kommission hat im August jedenfalls bereits Sondierungsgespräche mit der US-Seite aufgenommen.
Unternehmen, die auf Datentransfers in die USA angewiesen sind, können auf das Ergebnis dieser Gespräche nicht warten: Sie brauchen auch in der Zwischenzeit Rechtssicherheit. Max Schrems hat mit seiner Organisation "Noyb" (kurz für none of your business) bereits 101 Beschwerden in allen EU-Ländern erhoben, gegen Firmen, die weiterhin auf amerikanische Datenanalysedienste wie Google Analytics setzen - die entsprechende Noyb-Webseite ist passend zur Zahl mit Dalmatinern illustriert. Bei den 101 soll es aber nicht bleiben: Noyb will den Druck auf EU- und US-Unternehmen langsam erhöhen, um sie dazu zu bringen, die Rechtsgrundlagen für ihre Datentransfers zu prüfen und überarbeiten.
Dieses Vorgehen wirft neue Risiken auf, glaubt man bei Digital Europe: "Die Durchsetzung kompliziert die Dinge zusätzlich, weil unterschiedliche Datenschutzbehörden das Urteil unterschiedlich interpretieren könnten", sagt Cecilia Bonefeld-Dahl.
Gleichzeitig könnte Schrems' Strategie dazu führen, dass genau das nicht passiert. Denn er hat seine 101 Beschwerden gegen Firmen aus allen EU-Ländern erhoben, in Deutschland etwa gegen die Webseiten des Paysenders Sky und TV Spielfilm oder Chefkoch.de. Für Verfahren, die mehrere EU-Länder betreffen, gibt es den Europäischen Datenschutzausschuss, der für ein abgestimmtes Vorgehen der verschiedenen nationalen Datenschutzbehörden sorgen soll. Kurz nach dem Urteil hat dieser bereits eine erste Handreichung für Unternehmen herausgegeben, ausführlicheres Material soll einem Sprecher der EU-Kommission zufolge schon "bald" zur Verfügung stehen. Gleichzeitig werden derzeit jene Standardklauseln an das neue Urteil angepasst, die Firmen auch nach dem EuGH-Urteil weiter nutzen können - allerdings nur nach einer eingehenden Risikobewertung im Einzelfall. Diese würde erst durch ein neues Abkommen hinfällig.
Für die Abgeordnete Birgit Sippel, die sich für die SPD im EU-Parlament mit Datenschutzthemen befasst, könnte Schrems' Beschwerdewelle aber noch andere Vorteile haben: "Es ist das einzige Instrument, um Unternehmen zu ermutigen, auch selbst Druck auf die US-Regierung zu machen", sagt Sippel. Nur so würde dort verstanden, dass klare Vereinbarungen auch für die Wirtschaft wichtig sind, und nicht nur für "verwirrte Datenschützer".
