Der Europäische Gerichtshof hat die Datenschutzbehörden gestärkt. Nun gibt es keine Ausreden mehr für lasche Kontrollen. Für Internet-firmen heißt es: Praxis überdenken

Papiertiger war einmal

d'Lëtzebuerger Land vom 30.10.2015

Der Grüne Claude Turmes war der einzige Luxemburger Europaabgeordnete, der die Abstimmung zum Telekommunikationspaket am Dienstag im Europaparlament kritisierte: Die neuen Vorschriften zur Netzneutralität werde es Telefonanbietern ermöglichen, „bevorzugte Sonderdienste im Internet einzuführen und zu verrechnen.“ Das Ergebnis werde ein „Zwei-Klassen-Internet sein, in dem die Firmen, die mehr bezahlen können, bevorzugt werden“, hieß es in einer Pressemitteilung kurz nach dem Votum. Etwas später trudelte die Stellungnahme der christlich-sozialen Europaabgeordneten Viviane Reding ein: Über die umstrittene Netzneutralität (siehe Kasten) verlor sie kein Wort, dafür lobte sie den Kompromiss zu den Roaming-Gebühren, die ab Mitte 2017 teilweise wegfallen sollen.

In Luxemburg selbst griff kein Parlamentarier die Entscheidungen aus Straßburg auf, nicht einmal emsige Twitterer wie der CSV-Abgeordnete Laurent Mosar. Was einmal mehr zeigt, wie es um die netzpolitische Kompetenz in der Abgeordnetenkammer bestellt ist. Ebenso verhalten war schon die politische Reaktion am Krautmaart zum sogenannten Facebook-Urteil des Europäischen Gerichtshofs (EuGH) am 6. Oktober ausgefallen. Die Richter in Luxemburg hatten entschieden, dass persönliche Daten europäischer Bürger nicht in die USA übermittelt werden können, solange der Datenschutz dort nicht gewährleistet ist.

Es ist ein weit reichendes Urteil: für Internetnutzer in Luxemburg und in Europa, für die Datenschutzbehörden, und für internationale Internetfirmen, die ihren Sitz in Luxemburg haben und Kundendaten nach Übersee transferieren. Die Zusicherung, man halte sich an das 2001 zwischen der EU und den USA unterzeichnete Safe-Harbor-Abkommen, reicht künftig nicht mehr aus. Die EuGH-Richter haben klar gestellt: ein Hafen ist nicht deshalb schon sicher, weil er als sicher definiert wird. Jede Person hat das Recht auf den Schutz der sie betreffenden personenbezogenen Daten, heißt es in Artikel 8 der Europäischen Grundrechtecharta. Dieser Schutz darf durch Abkommen wie Safe Harbor nicht unterlaufen werden. Es ist den Enthüllungen eines Edward Snowden zu verdanken, dass Nutzer von sozialen Netzwerken und anderen Internetdiensten überhaupt erfahren haben, dass amerikanische und andere Geheimdienste geradezu unbegrenzt persönliche Daten ausspähen und aushorchen – und das offenbar mit Wissen und Duldung der Internetriesen.

Was insbesondere in Deutschland für anhaltende Empörung sorgte, war in Luxemburg schnell wieder vergessen. Es war ein Österreicher, der inzwischen 28-jährige Jurist Maximilian Schrems, der von der hiesigen Datenschutzkommission CNPD verlangte, gegen Skype und Microsoft wegen mangelnden Datenschutzes vorzugehen. Seine Beschwerde richtete er damals an die Luxemburger Datenschützer, weil Skype hier seinen Sitz hat und laut Datenschutzverordnung die Hüter im jeweiligen Land zuständig sind. Doch die CNPD reagierte ziemlich handzahm: Außer Zeitungsberichten habe sie keine Elemente gefunden, die Aufschluss darüber gäben, dass der Datenschutz für europäische Bürger nicht gewährleistet waren, so ihre Haltung damals. Die Mühe zu überprüfen, ob das Safe-Harbor-Abkommen tatsächlich eingehalten wurde, machte sie sich gar nicht erst. Man habe keine Handhabe, das sei Aufgabe der Politik, so der damalige oberste Datenschützer, Gérard Lommel, gegenüber dem Land.

Max Schrems gab sich damit nicht zufrieden, er zog vors Verwaltungsgericht. Parallel hatte er zudem Beschwerde gegen Facebook bei der irischen Datenschutzbehörde eingelegt, Facebook hat seinen europäischen Sitz in Irland. Auch dort rührten sich die Datenschützer kaum: Die Beschwerde sei „frivolous“, unanständig, befanden die irischen Datenschützer und gaben Kritikern, die monieren, dass einige nationale Datenschutzbehörden offenbar mehr Standortpolitik für Unternehmen betreiben als wirklich gegen Datenmissbrauch vorzugehen, neue Nahrung. Auch in Irland strengte Schrems eine Klage an – und erzielte insofern einen Teilerfolg, als die irischen Richter die Frage dem Europäischen Gerichtshof zur Prüfung vorlegten.

Was die genauen juristischen und technischen Auswirkungen des EGH-Urteils für die Unternehmen sind, darüber zerbrechen sich Experten nun die Köpfe. Sicher ist: So weiter gehen wie bisher kann es nicht. Für die Luxemburger CNPD stellt das Urteil eigentlich einen Fingerzeig dar, sich stärker als bisher um den Datenschutz von Nutzern zu kümmern. Auch wenn Georges Wantz, ständiges Mitglied der Datenschutzkommission, eine solche Lesart gegenüber dem Tageblatt nicht gelten lassen wollte und sich durch das Urteil vielmehr bestätigt sieht. Aber die Luxemburger haben sich in der Vergangenheit oft weggeduckt, wenn es um klare Positionen gegenüber den Snowden-Enthüllungen ging.

Die zögerliche Haltung europäischer Datenschutzbehörden bestätigt übrigens auch die US-Datenschützerin Jessica Rich der Federal Trade Commission, die über Safe Harbor wachen soll: Sie habe nur vier Beschwerden von EU-Datenschützern wegen Verstößen das Abkommen erhalten, sagte Rich vergangene Woche in Brüssel. Das Zögern setzte sich auf politischer Ebene fort. In einem Land-Interview vom August 2013 kündigte die damalige EU-Grundrechte-Kommissarin Viviane Reding eine Prüfung von Safe Harbor durch die Europäische Kommission an. Aber erst im März 2014 stimmten die Europaabgeordneten für eine Aussetzung des Abkommens, die Kommission versprach, es neu mit den US-Amerikanern zu verhandeln.

Diese Verhandlungen sollten eigentlich diesen Herbst abgeschlossen werden. Doch nach dem Urteil des EuGH scheint nicht einmal mehr sicher, dass ein neues Safe Harbor 2 den verlangten adäquaten Schutz bieten kann. Eine Ursache dafür ist, dass die USA die nationale Sicherheit über alles stellen und es außerdem für EU-Bürger im US-Rechtssystem keine Möglichkeit gibt, gegen vermutete Verletzungen des Datenschutzes zu klagen. Weshalb Netzpolitiker wie der EU-Grüne Jan-Phillipp Albrecht davon ausgehen, dass auch ein Safe Harbor plus die Probleme nicht lösen kann. EU-Justizkommissarin Vera Jourova hält aber an ihren Plänen für ein verbessertes Abkommen mit den USA fest und will Einzelheiten dazu im Januar vorstellen.

Doch selbst wenn es ein neues Abkommen geben sollte: Die EuGH-Richter stellten klar, dass die Kommission nicht ermächtigt ist, die Befugnisse der unabhängigen nationalen Datenschutzbehörden zu beschränken. Das heißt, die CNPD ist, wie ihre Kollegen in anderen EU-Ländern, gehalten, sich künftig selbst ein Bild davon zu machen, ob die Daten von EU-Bürgern bei einem Transfer ins Ausland ausreichend geschützt sind oder nicht. Sind sie es nicht oder deutet etwas darauf hin, dass ein ausländischer Geheimdienst in der Internet-Schnittstelle sitzt, dürfen Unternehmen die Daten nicht mehr weiterleiten.

Das bedeutet eine Menge Arbeit für die Datenschützer. Geschätzte 4 400 US-Unternehmen übermitteln Kundendaten auf der Grundlage der Safe-Harbor-Regelung von Europa in die USA. Das Wirtschaftsministerium führt keine Statistiken, doch hierzulande sollen es laut Thierry Lallemang von der CNPD um die 400 bis 500 Firmen sein, darunter Internetriesen wie Amazon, Skype, Microsoft und andere. Am 15. Oktober verständigten sich Europas Datenschützer im Rahmen ihrer Arbeitsgruppe Artikel 29 darauf, betroffenen Unternehmen einen Brief zu schreiben, in dem sie auf die Folgen des EuGH-Urteils hinweisen. Ein solcher Brief ist auch in Luxemburg in Arbeit, er soll demnächst verschickt werden.

Nicht nur für Firmen, die ihre Daten auf der Grundlage von Safe Harbor übermitteln, bedeutet das, ihre Praxis zu ändern, denn das EuGH-Urteil stellt indirekt auch Übermittlungsalternativen, wie zum Beispiel Standardvertragsklauseln oder verbindliche Unternehmensregelungen, die den Export von persönlichen Daten ins Ausland regeln, in Frage. Deutsche Datenschützer empfehlen daher, „darüber nachzudenken, personenbezogene Daten künftig nur auf Servern innerhalb der EU zu speichern“, eine Alternative, die Thierry Lallemang ebenfalls für „die sicherste“ hält. Luxemburg verfügt über leistungsstarke Datenzentren. Entsprechende Initiativen in diese Richtung sind bisher aber nicht bekannt.

Damit sich die jeweiligen Unternehmen umstellen können, einigten sich die EU-Datenschutzbehörden darauf, für eine Übergangszeit, in der die Auswirkungen genau geprüft werden sollen, Datentransfers, die über andere Wege als Safe Harbor übermittelt werden, zunächst nicht zu beanstanden. Gleichzeitig wollen sie aber keine neuen Genehmigungen für solche Datentransfers in die USA mehr erteilen.

Das Urteil hat die Kompetenzen der Datenschutzbehörden gestärkt. Sie sind angehalten, sich künftig um einen wirksamen Schutz zu kümmern. Dass die Rolle der Datenschutzbehörden sich ändern wird, ist allerdings schon länger geplant: Mit der neuen Datenschutzverordnung, die die EU-Kommission derzeit verhandelt, soll ihre Rolle gestärkt werden. Die Gruppe Artikel 29 fordert überdies, ein Klagerecht gegen Unternehmen und Behörden, die gegen den Datenschutz verstoßen.

Der EuGH hat noch etwas unterstrichen: Der allgemeine Zugang zu Inhalten elektronischer Kommunikation verstößt gegen das EU-Grundrecht auf Privatsphäre. Das massenhafte anlasslose Ausspähen von persönlichen Daten ist unverhältnismäßig. Das muss, neben britischen und deutschen Geheimdiensten, die ebenfalls die Kommunikation von EU-Bürgern ausspähen, auch den Luxemburger Justizminister interessieren, der auf europäischer Ebene die Verhandlungen zur Vorratsdatenspeicherung leitet. Im Ministerium werden derzeit die Folgen des EuGH-Urteils überprüft, das Safe Harbor-Abkommen selbst sei Sache der EU-Kommission, so Justizsprecher Jeannot Berg.

Auch im Wirtschaftsministerium will man die Prüfung des Urteils abwarten, bevor man sich näher äußert. Staatssekretärin Francine Closener (LSAP) betonte gegenüber dem Land, fest stehe, dass die Richter „die Rolle der Regulatoren gestärkt“ haben. Sie sieht die Entwicklung positiv: „Digitalisierung und Big Data können nur funktionieren, wenn wir den Kunden im Gegenzug die Sicherheit geben können, dass ihre Daten nicht missbraucht werden.“

Ines Kurschat
© 2017 d’Lëtzebuerger Land