Ende des Privacy Shield Digitaler Stacheldraht

Während man sich in den USA um den Umgang chinesischer Techfirmen mit Nutzerdaten sorgt, gibt es in Europa ähnliche Skepsis - mit Blick auf die USA. So entstehen mehr und mehr Grenzzäune im Netz.
Von Markus Becker, Brüssel
US-amerikanische Flagge und Europaflaggen vor der EU-Kommission in Brüssel

US-amerikanische Flagge und Europaflaggen vor der EU-Kommission in Brüssel

Foto: FRANCOIS LENOIR/ REUTERS

Ende Februar stieß Moritz Körner an eine Grenze. Der 29-jährige Europaabgeordnete der FDP war nach Washington gereist und traf dort zusammen mit Delegierten anderer Fraktionen einige Vertreter des US-Kongresses, des Justiz-, Außen- und Heimatschutzministeriums und des FBI. Es ging um elektronische Kommunikation, den Kampf gegen den Terrorismus - und vor allem um den Schutz persönlicher Daten .

"Eine Art Schlüsselmoment" sei das gewesen, sagt Körner. Der Trip habe ihm die Augen geöffnet - und was er sah, habe ihm nicht gefallen. "Knallhart" hätten die Amerikaner auf ihren Positionen beharrt. Die Besucher aus Brüssel hätten sie mitunter wie Bittsteller behandelt. Ein Vertreter des Justizministeriums habe sogar vor einem Handelskrieg gewarnt, sollte der Europäische Gerichtshof das erst 2016 in Kraft getretene "Privacy Shield"-Datenschutzabkommen kippen.

Genau das ist Mitte Juli eingetreten - mit potenziell weitreichenden Folgen.

US-Unternehmen müssten Kundendaten herausgeben

Schon vor seiner USA-Reise hatte sich Körner darüber geärgert, wie sehr er als europäischer Internetnutzer amerikanischen Unternehmen ausgeliefert sei, was den Umgang mit seinen Daten anging. In einer Art Selbstversuch hatte er als Privatperson an vier verschiedene Firmen mit Sitz in den USA geschrieben, alle zertifiziert für den "Privacy Shield".

Unter anderem wollte er wissen, welche persönlichen Daten die Firmen erheben und mit wem sie diese Daten teilen. Zudem fragte er nach, wie er am besten anfragt, welche Daten über ihn gespeichert sind.

In mehreren Fällen bekam er erst nach Monaten Antwort, die Schriftwechsel liegen dem SPIEGEL vor. Und die Antworten waren dürftig: Man speichere gar keine persönlichen Daten, antworteten die einen, eine andere Firma schickte nach sechsmonatigem Hin und Her einen Link zur Privatsphären-Erklärung auf ihrer Website.

Als Bürger müsse man "seinen Rechten nachlaufen", befand Körner. Und oft ist nicht einmal klar, welche Rechte Nutzer aus der EU in den USA haben, denen sie nachlaufen könnten. Das ist einer der Gründe, warum der EuGH den Privacy Shield Mitte Juli mit sofortiger Wirkung für nichtig erklärte: EU-Bürger hätten in den USA keinen rechtlichen Schutz, der dem in der EU gleichkomme, kritisierten die Luxemburger Richter . Zudem gehe das Datensammeln der US-Geheimdienste weit über das absolut Notwendige hinaus. Auch seien amerikanische Unternehmen "ohne Einschränkung" verpflichtet, Kundendaten herauszugeben, da die Sicherheitsgesetze in den USA nun einmal Vorrang vor einem Übereinkommen mit der EU hätten.

"Stattdessen sollten EU und USA zusammenrücken"

Die Furcht, dass IT-Unternehmen Nutzerdaten an die Regierung weitergeben könnten, ist in den USA eigentlich durchaus bekannt: in Bezug auf China. Trump will etwa die chinesische Videoplattform TikTok entweder verbieten oder das US-Geschäft von Microsoft übernehmen lassen. Seine Begründung: TikTok sammle enorme Mengen an Nutzerdaten - was der chinesischen Regierung ermöglichen könne, US-Amerikaner auszuspionieren.

"Aber wenn die USA das Gleiche mit Daten von EU-Bürgern machen, soll das in Ordnung sein?", fragt Körner. Es sei nicht ohne Ironie, dass die EU gegen Facebook oder Twitter mit ähnlichen Argumenten vorgehen könnte, wie Trump sie gegen TikTok einsetzt. "Stattdessen sollten EU und USA aber zusammenrücken, um gemeinsam seine Datenschutz-Werte gegen China zu verteidigen."

Moritz Körner

Moritz Körner

Foto: S.H. Schroeder

Doch um ebendiese Datenschutz-Werte wird weiter gerungen. Überraschend kam das Urteil des EuGH dabei nicht. Schon 2015 hatten die Richter mit nahezu identischen Argumenten das "Safe Harbor"-Übereinkommen zwischen Brüssel und Washington für ungültig erklärt . Diesmal aber fiel die Klatsche noch härter aus. Denn der EuGH hat nicht nur den Privacy Shield zerstört, sondern die wichtigste Alternative womöglich gleich mit: die sogenannten Standardvertragsklauseln.

Nun herrscht Rechtsunsicherheit

Unter den von der EU-Kommission vorgegebenen Verträgen verpflichten sich Firmen zur Einhaltung von Datenschutzstandards. Die Standardvertragsklauseln sind die meistgenutzte Basis für den Datenaustausch zwischen der EU und anderen Staaten  - und damit noch wichtiger als Privacy Shield es war.

Der EuGH hat die Klauseln nun zwar für weiterhin gültig erklärt - aber zugleich klargestellt, dass sie den strengen Anforderungen der EU-Datenschutzgrundverordnung (DSGVO) genügen müssen. Tun sie das nicht, müssen die zuständigen Behörden in den EU-Staaten die Übermittlung in Länder außerhalb der EU stoppen .

Damit stehen die Standardvertragsklauseln, so die in der Branche verbreitete Befürchtung, ebenfalls vor dem Aus. "Die Aufsichtsbehörden können kaum zu dem Schluss kommen, dass der Datenschutz in USA ausreichend ist", sagt Rebekka Weiß vom Branchenverband Bitkom. "Denn genau das spricht der EuGH den USA in seinem Urteil ab." Nun herrsche "massive Rechtsunsicherheit" sowohl für jene fast 5400 Firmen und Organisationen , die am Privacy Shield teilgenommen haben, als auch für die vielen anderen, die Standardvertragsklauseln nutzen .

Eine zügige Einigung gilt als ausgeschlossen

Die EU-Kommission versucht nun zu retten, was zu retten ist. Schon seit einiger Zeit arbeitet sie an der Modernisierung der Standardvertragsklauseln . Das EuGH-Urteil habe dafür "wertvolle Hinweise" geliefert, wie es beschönigend aus der Behörde heißt. Auch wollen Brüssel und Washington nun einen dritten Anlauf für ein Datenschutzabkommen wagen. Man habe damit begonnen, die Möglichkeiten für einen "erweiterten Privacy Shield" auszuloten, heißt es in einer Erklärung  von EU-Justizkommissar Didier Reynders und US-Handelsminister Wilbur Ross.

In Brüssel ist man schon froh, dass die US-Regierung nach dem EuGH-Urteil besonnen geblieben ist und Präsident Donald Trump keine Twitter-Breitseiten abgefeuert hat - zumindest bisher. Die Gespräche über ein Nachfolgeabkommen verliefen sachlich und konstruktiv, sagt ein Kommissionsbeamter. Allerdings gilt eine Einigung bis zur US-Präsidentschaftswahl ohnehin als nahezu ausgeschlossen. Und das zentrale Problem wird auch danach noch existieren: die Datensammelwut der US-Geheimdienste und die Machtlosigkeit der betroffenen Nicht-Amerikaner.

Dass die USA die Befugnisse der Geheimdienste beschneiden, um europäische Datenschutzforderungen zu erfüllen, glaubt in Brüssel kaum jemand - selbst dann nicht, wenn Joe Biden die Wahl gewinnen und im Januar ins Weiße Haus einziehen sollte.

Die Balkanisierung des Internets schreitet voran

Das gilt auch für Körner. Bei den Gesprächen in Washington hätten Behördenvertreter und Politiker "nicht den Hauch von Bereitschaft" gezeigt, Europäern die gleichen Datenschutzrechte einzuräumen wie Amerikanern, sagt der FDP-Mann. Sollte die US-Regierung nicht auf die EU zugehen, bleibt Internetunternehmen am Ende womöglich nur noch ein Ausweg: Personenbezogene Daten nicht mehr in den USA, sondern in der EU zu lagern.

Große US-Konzerne haben damit längst begonnen. Google etwa bietet inzwischen Cloud-Standorte  in Deutschland, Belgien, Finnland, Großbritannien, der Schweiz und den Niederlanden an. Auch Microsoft hat im vergangenen Herbst seine deutschen Rechenzentrumsregionen in Betrieb genommen.

Dabei hatte der Konzern aus Redmond erst vor zwei Jahren seine "deutsche Cloud" eingestellt  - mangels Kundeninteresse. Das mag auch an den höheren Preisen und eingeschränkter Funktionalität gelegen haben. Das drohende Chaos um die Rechtsgrundlage für den transatlantischen Datenverkehr, so scheint man in Redmond zu glauben, könnte die deutsche Cloud jetzt wieder attraktiv machen.

Deutscher Kunde, deutsche Daten, deutsches Rechenzentrum - das ist nach Angaben von Microsoft-Mitarbeitern das erklärte Ziel. Man hänge das nicht an die große Glocke - aber es sei mittlerweile ein wichtiges Verkaufsargument.

Und somit schreitet die sogenannte Balkanisierung des Internets stetig voran. Es wird mehr und mehr versucht, auch im eigentlich weltumspannenden Internet Ländergrenzen einzurichten, Daten und Dienste mit digitalem Stacheldraht einzuhegen.

Selbst TikTok ist dabei, sich in Europa einzurichten . Die Aufsicht über die Daten europäischer TikTok-Nutzer führt seit Juni bereits die zuständige Behörde in Irland. 2022 will das Unternehmen in Irland auch ein Rechenzentrum eröffnen.

Die Wiedergabe wurde unterbrochen.