Das Urteil der Richter am Europäischen Gerichtshof in Luxemburg bedeutet nicht das Ende des Datenaustausches im internationalen Geschäftsleben und schon gar nicht das Ende des Internets, wie das von manchen Netzaktivisten prophezeit wurde. Der Europäische Gerichtshof hat auf Betreiben des Datenschutz-Advokaten Max Schrems einerseits klargestellt: Standardisierte Vertragsklauseln, die die EU geprüft hat, sind sehr wohl dazu geeignet, die Weitergabe von persönlichen Daten an Unternehmen außerhalb Europas zu erlauben. Andererseits hat der EuGH aber erneut der EU-Kommission und den USA eine heftige Rüge erteilt.
Das Abkommen zwischen der Kommission und den USA zum Austausch von Daten, genannt Privacy Shield, ist nichtig, weil in den USA die Sicherheitsbehörden und zahlreiche Geheimdienste nach wie vor auf Daten von Facebook, Twitter, Google, Apple, Microsoft und aller anderen Daten verarbeitenden Unternehmen zugreifen können. Daten von EU-Bürgern seien gefährdet und die USA dürften nicht pauschal als Land mit sicherem Datenschutz behandelt werden.
Es ist schon das zweite Mal seit 2015, dass der Europäische Gerichtshof dieses vernichtende Urteil gesprochen hat. Damals brachte er "Safe Harbor" zu Fall, ein Datenaustausch-Abkommen, das sich nur in Nuancen von seinem Nachfolger "Privacy Shield" unterschied.
Die USA werden zum ordinären Drittstaat
Das Signal aus Luxemburg ist eindeutig: Nachdem Edward Snowden im Jahr 2013 die massenhafte Ausspionierung auch europäischer Bürger enthüllt hatte, haben weder die USA noch die EU-Kommission die richtigen Konsequenzen aus dem Skandal gezogen. Der Datenhunger der US-amerikanischen Geheim- und Sicherheitsdienste ist nach wie vor gewaltig. Das wird sich unter der Administration von Donald Trump auch nicht ändern, auch wenn die EU-Kommission jetzt neue Verhandlungen verspricht. Dass der nationalistische Präsident Trump auf europäischen Druck hin Gesetze und Methoden in den USA ändern lassen könnte, glaubt nun wirklich niemand.
In der EU hat sich seit dem ersten Urteil von 2015 einiges getan. Inzwischen ist die Datenschutz-Grundverordnung in Kraft getreten, ein im Weltmaßstab sehr umfängliches Datenschutzrecht. Nur die Schweiz, Japan, Kanada und einige wenige andere Staaten erreichen - nach Einschätzung der EU-Kommission - diesen europäischen Standard. Von dieser kurzen Liste der Länder mit adäquaten Bestimmungen werden die USA jetzt gestrichen. Sie werden ein ordinärer Drittstaat, in einer Reihe mit China, Indien, Brasilien und fast dem ganzen Rest der Welt.
Geschäfte zwischen Unternehmen und der Austausch von sensiblen Daten in diesen Drittstaaten bleiben auch nach dem Urteil aus Luxemburg möglich. Anbieter beispielsweise aus China oder den USA müssen vertraglich garantieren, dass sie nach europäischen Datenschutz-Vorgaben verfahren. Diese Standard-Klauseln gelten. Jeder Kunde muss entscheiden, ob er diesen Zusicherungen vertraut. Im praktischen Leben sind wir alle betroffen. Denn bei jeder Reisebuchung, bei jeder Bestellung im Internet werden persönliche Daten ins Reiseland oder das Land der Herstellung von Waren verschickt.
Europa braucht mehr Daten-Souveränität
Was mit diesen Daten dann passiert, kann man von Europa aus nur schwer nachvollziehen. Besonders China, ein kommunistischer Überwachungsstaat, greift Daten beliebig von chinesischen Unternehmen ab. Auch was in Russland oder der Türkei oder in anderen autokratischen Staaten mit persönlichen Daten geschieht, kann niemand kontrollieren. Trotzdem hat der Europäische Gerichtshof diese Handlungsgrundlage für wirtschaftliche Tätigkeit nicht beschnitten, denn das hätte zu einem Kollaps in vielen Bereichen der vernetzten Wirtschaft geführt.
Langfristig sollten die EU-Kommission und europäische Unternehmen darauf setzen, dass ihre Daten auf Servern in der EU verarbeitet werden, die europäischer Rechtssprechung unterliegen. Clouds und damit Daten-Souveränität sollte es vermehrt in der EU geben - nicht nur in den USA oder China. Erste Ansätze gibt es bereits. Die USA setzen übrigens ihrerseits auf mehr Kontrolle. Das Außenministerium in Washington prüft jetzt, der chinesischen Firma TikTok den Transfer von US-amerikanischen Nutzerdaten nach China zu untersagen und die Firma in den USA zu schließen.
Der Daten-Robin-Hood Max Schrems hat uns mit seinem zweiten Sieg vor dem EUGH gezeigt, dass beim Datenschutz international noch einiges im Argen liegt und das Thema weiter verfolgt werden muss. Gerade in der Corona-Pandemie sollte man das Problem nicht leichtfertig abtun, denn einige Staaten liebäugeln mit der Speicherung von Gesundheitsdaten, Gesichtserkennung, Bewegungsprofilen und Kontaktanalysen, die tief in persönliche Datenrechte eingreifen.