Das Urteil des Europäischen Gerichtshofs in der Sache Schrems gegen den Irischen Datenschutzbeauftragten wirkt weit über den eigentlichen Streitgegenstand hinaus. Der Irische Datenschutzbeauftragte muss der Frage nachgehen, ob Facebook Ireland die personenbezogenen Daten seiner Nutzer in die Vereinigten Staaten weitergeben darf. Er kann sich einer solchen Überprüfung nicht mit dem Hinweis darauf entziehen, dass die EU-Kommission in ihrer „Safe Harbor“-Entscheidung im Jahr 2000 den Vereinigten Staaten ein angemessenes Datenschutzniveau bescheinigt hat, soweit sich die Datenempfänger zu den „Grundsätzen eines sichern Hafens“ bekennen, wie dies seitdem mehr al 3000 US-Unternehmen getan haben.
Das höchste EU-Gericht hat festgestellt, dass die Safe-Harbor-Vereinbarung nicht den Anforderungen von Art. 7 und 8 der EU-Grundrechtecharta genügt, die die Grundrechte auf Datenschutz und Privatsphäre garantieren. Letztlich unbegrenzte Zugriffsmöglichkeiten von Geheimdiensten auf Daten europäischer Herkunft verletzten den Kernbereich der Grundrechte. Die sehr weit gehenden Befugnisse widersprächen zudem den grundlegenden Anforderungen an ein rechtsstaatliches Verfahren, denn Betroffene EU-Bürger hätten keinen Anspruch darauf, Auskunft über die Datenverarbeitung zu erlangen und die entsprechenden Zugriffe und die anschließende Datenverarbeitung gerichtlich überprüfen zu lassen. Das Safe Harbor Abkommen sei deshalb ungültig.
Für Facebook und die übrigen Unternehmen, die sich in den vermeintlich sicheren Hafen geflüchtet haben, bedeutet das Urteil zunächst, dass die Verarbeitung personenbezogener Daten, die aus der EU übermittelt wurden, nicht mehr der Vermutung unterliegen, sie würden in Übereinstimmung mit dem EU-Datenschutzrecht verarbeitet. Sie benötigen für den Datentransfers grundsätzlich die Genehmigung durch die zuständigen Datenschutzaufsichtsbehörden der EU-Mitgliedstaaten. Die Datenschutzbehörden dürfen diese Genehmigung nur erteilen, wenn der Datenempfänger -bezogen auf die jeweiligen Daten – ein angemessenes Datenschutzniveau gewährleistet. Dieser Nachweis dürfte insbesondere denjenigen Unternehmen schwer fallen, die an der Massenüberwachung durch US-Geheimdienste mitgewirkt haben.
Schwer vorstellbar ist, dass Facebook, Microsoft, Google & Co. einfach auf ein anderes Instrument „umschalten“ können, das die Angemessenheit des Datenschutzes garantieren soll, etwa auf die sog. „Standardvertragsklauseln“, die ebensowenig wie der „sichere Hafen“ vor staatlicher Überwachung schützen. Die vom EuGH formulierten Anforderungen sind auch auf sie anwendbar.
Auch die Änderung der Vertragsbestimmungen mit den Nutzern in der Weise, dass diese in die mögliche Überwachung durch die NSA und andere Behörden einwilligen, wäre keine Lösung. Zwar haben Betroffene grundsätzlich die Möglichkeit, in das Eingehen besonderer Risiken einzuwilligen,auch soweit diese den Umgang mit ihren Daten betreffen. Eine pauschale Einwilligung in staatliche Überwachung durch einen Drittstaat, verbunden mit dem Verzicht auf Rechtsschutz und auf das nach EU-Recht unabdingbare Auskunftsrecht bezüglich der eigenen Daten wäre jedoch unwirksam.
Wie könnte also eine Lösung aussehen?
Kurzfristig müssen die betroffenen Unternehmen – sowohl die Absender als auch die Empfänger personenbezogener Daten – dafür sorgen, dass die ihnen anvertrauten Daten nicht weiter Gegenstand der Massenüberwachung sind: Durch Kryptographie, Standortenscheidungen für Server und andere Netzkomponenten und ggf. durch Wechsel von Geschäftspartnern, etwa bei der Auftragsdatenverarbeitung oder bei der Erbringung sonstiger IT-Dienstleistungen.
Längerfristig besteht der einzige Weg darin, den in Art. 12 der UN-Menschenrechtserklärung, in der EU-Grundrechtecharta und in vielen Verfassungen demokratischer Staaten garantierten Grund- und Menschenrechte auf Privatsphäre und Datenschutz endlich global durchzusetzen. Die notwendigen Änderungen beschränken sich dabei nicht auf die Vereinigten Staaten, sie betreffen auch Europa, wo Geheimdienste auch der absurden Vorstellung folgen, möglichst alles zu wissen und deshalb alles und jeden zu überwachen, um damit vermeintlich mehr Sicherheit zu schaffen (was bekanntlich nicht einmal in autoritären Regimes jemals geklappt hat).
Nicht ein angeblich „überzogener“ Datenschutz gefährdet den Welthandel und die Informationsgesellschaft, sondern überbordende Massenüberwachung!
Mit freundlichen Grüßen, Peter Schaar