Von Feigenblättern und nutzlosen Schutzschilden

Es war ein Déjà-vu für Daten­schützer: Derselbe Kläger, Max Schrems, klagt erneut gegen Facebook und im Ergebnis kippt der Europäische Gerichtshof die zentrale Rechtsgrundlage für den Export von Daten über den Atlantik. Wie 2015 dem Safe-­Harbor-Abkommen erklärt ein merklich verstimmter EuGH im Juni 2020 auch dessen fast identischem Nachfolger, dem Privacy Shield, das Aus. Auch wenn das Urteil keineswegs überraschend kommt, vorbereitet ist kaum ein Unternehmen auf die erheblichen Folgen der Entscheidung.

Von den großen US-Cloud-Anbietern über Microsoft und Apple, erhebliche Teile der Werbebranche bis zu Facebook oder Google: Überall werden personenbezogene Daten europäischer Bürger in mehr oder weniger großem Umfang in die USA exportiert. Und dort genießen sie praktisch keinen Schutz vor den all­umfassenden Zugriffsbefugnissen der diversen amerikanischen Behörden. Hieran hat auch der Privacy Shield nichts geändert. Dieser bot von Anfang an ein von der EU-Kommission eilig verabschiedetes Feigenblatt, bei dem sich US-Unternehmen in ein Verzeichnis eingetragen haben – und das war es im Prinzip in Sachen Datenschutz.

Kurzfristige Wege aus der Abhängigkeit der hiesigen Unternehmen von amerikanischen Produkten sind trotz der nach der EuGH-Entscheidung schwierigen Rechtslage nicht in Sicht. Es ist daher zwar möglicherweise formaljuristisch korrekt, praktisch aber völlig weltfremd, wenn die Berliner Datenschutzbeauftragte Maja Smoltczyk in der Folge des Urteils die Firmen aufruft, umgehend zu Dienstleistern in der EU oder in einem Land mit angemessenem Datenschutz­niveau zu wechseln. Dieser Aufforderung nachzukommen würde nicht weniger bedeuten, als sofort das Internet auszuschalten. Schließlich ist es ohne amerikanische Unternehmen nicht nutzbar, übrigens auch nicht ohne deren Browser.

Trotzdem liegt Frau Smoltczyk nicht falsch, wenn sie die „Stunde der digitalen Eigenständigkeit Europas“ ausruft. Das muss mittel- und langfristig die Vorgabe der hiesigen Politik und Wirtschaft sein, insbesondere hinsichtlich der digitalen Kronjuwelen wie beispielsweise Gesundheits- oder Forschungsdaten. Denn spätestens seit der Ära Trump leben wir in einer digitalen Welt, die nicht zusammenwächst, sondern sich zunehmend spaltet.

Was dies bedeuten kann, hat man etwa in Venezuela beobachten können. Buchstäblich im letzten Augenblick stoppt dort Adobe die angedrohte Deaktivierung aller Benutzerkonten für seine Dienste, die vom US-Präsidenten angeordnet wurde. Ob der erfolgreiche chinesische Dienst TikTok in den USA ähnlich glimpflich wegkommen wird, darf bezweifelt werden. Und es ist keineswegs unwahrscheinlich, dass ein wiedergewählter Präsident Trump solche Wildwest-Methoden auch gegen europäische Unternehmen anwenden könnte.

Hiergegen hilft vor allem europäische Einigkeit, auch im Bereich Datenschutz. Denn einer der vermeintlich erfolgversprechendsten Ansätze der DSGVO war es, dass sie in der Theorie auch US-amerikanische Unternehmen regulieren soll, die ihre Produkte europäischen Bürgern anbieten. Wenig überraschend sitzen deren europäische Ableger aber fast alle in Irland – wo sie nicht nur niedrige Steuern, sondern auch eine faktisch tatenlose Datenschutzbehörde vorfinden. Solange Facebook, Apple, Google und Co. hier weiter folgenlos persönliche Informationen der hiesigen Nutzer sammeln, aggregieren und in ihr Heimatland weiterleiten können, verkommt der europäische Datenschutz zur Farce.

Das Schlimmste, was man dem digitalen Europa derzeit antun könnte, ist ein „Weiter so!“. Die Europäische Kommission kündigte bereits Verhandlungen mit den USA über neue Vereinbarungen an. Es steht zu befürchten, dass ein neues Feigenblatt-Abkommen geschlossen wird, vielleicht ein „Safe Shield“ oder ein „Privacy Harbor“. Ein neues Abkommen muss allerdings zwingend die Rechte der EU-Bürger berücksichtigen und nicht deren Daten schutzlos stellen. Ist dies nicht möglich, so wird es höchste Zeit für eine digitale Emanzipation Europas.

Joerg Heidrich

ist Justiziar und Datenschutzbeauftragter von Heise Medien und als Rechts- und Fachanwalt für IT-Recht in Hannover tätig (recht-im-internet.de).