Nach dem Safe-Harbour-Urteil: Der machtlose Sieger Datenschutz
Es ist ein Urteil, das an Klarheit nichts zu wünschen übrig lässt. Am 6. Oktober haben die Richter des Europäischen Gerichtshofes (EuGH) der Grundlage des Austauschs personenbezogener Daten zwischen der Europäischen Union (EU) und Unternehmen in den USA eine endgültige Absage erteilt. Das massenhafte, anlasslose Sammeln aller persönlichen Nutzerdaten und die uneingeschränkte Zugriffsmöglichkeit staatlicher Behörden auf diese Daten ist mit dem System des Datenschutzrechts in der EU nicht vereinbar.
Das Urteil vom 6. Oktober setzt den vorläufigen Schlusspunkt hinter den jahrelangen Streit um Facebooks Umgang mit den sensiblen Daten seiner Nutzer. Angestoßen wurde es durch den Österreicher Max Schrems. Er hatte 2011 von Facebook verlangt, ihm alle über ihn auf Servern des Unternehmens gespeicherten Daten mitzuteilen; eine Beschwerde bei der zuständigen irischen Datenschutzbehörde folgte. Im Anschluss an die Enthüllungen Edward Snowdens erhob Schrems Klage vor irischen Gerichten, was schließlich zum Vorlagebeschluss an den Luxemburger Gerichtshof führte.
Vorläufiger Schlusspunkt – und dann?
Das Urteil des EuGH rüttelt am Fundament des transatlantischen Datenaustauschs, der sogenannten Safe-Harbour-Regelung. Sie gestattete US-amerikanischen Unternehmen, sich beim US-Handelsministerium die Einhaltung von Datenschutzvorgaben bestätigen zu lassen. Nur auf diese Weise konnte die EU die Vereinigten Staaten als Land einstufen, das den persönlichen Daten europäischer Bürger ein „angemessenes Schutzniveau“ bietet. Ohne diese Voraussetzung hätten die Daten überhaupt nicht auf Servern auf US-amerikanischem Boden gespeichert werden dürfen.
Damit ist nun erst einmal Schluss. Die USA, so entschieden die Richterinnen und Richter des EuGH, ist alles andere als ein sicherer Hafen für europäische Daten. Das gesamte, im Jahr 2000 per Kommissionsentscheidung ins Leben gerufene Safe-Harbour-Arrangement ist hinfällig angesichts der Praxis amerikanischer Behörden und Geheimdienste, sich jederzeit und ohne besonderen Anlass Zugriff auf die Daten zu verschaffen.
Der Gerichtshof bestätigte mit seiner Entscheidung im Grunde nur, was die meisten auch vor Snowdens Enthüllungen längst ahnten: Die intimen Details über uns, die wir täglich mehr oder minder freiwillig im Internet preisgeben, sind nicht vor unerwünschtem Zugriff geschützt. Die Speicherung und Verarbeitung unserer Daten haben wir irgendwann der eigenen Regierung, Internet- und Kommunikationsunternehmen – durch Einwilligung in undurchdringliche allgemeine Geschäftsbedingungen und rätselhafte Datenschutzerklärungen – grundsätzlich gestattet.
Snowden bestätigte lediglich unser vages Unbehagen, es würden wohl vor allem die Geheimdienste sein, die durch ihre Sammelwut jegliches Gefühl von Schutz unterminieren. Wenn wir ehrlich sind, vermochte uns vielleicht nur das Ausmaß des Orwellschen Panopticons, das von NSA und Co. errichtet worden ist, zu überraschen. Safe Harbour also ist zu verwerfen: Die anlasslose Massenüberwachung der Internetkommunikation durch die amerikanischen Geheimdienste ist „inhärent rechtswidrig“, wie Generalanwalt Yves Bot in seinem Abschlussgutachten zutreffend formulierte.
Das Urteil des EuGH ist in der Tat „eine Sensation“ und „grundstürzend“, wie ein euphorischer Heribert Prantl in der „Süddeutschen“ kommentierte. So weit, so gut. Die Frage ist nur: Was tun mit dieser Erkenntnis?
Daten auf riskanten Reisen
Der NSA-Skandal hat gezeigt, dass persönliche Daten immer dann besonders gefährdet sind, wenn sie Grenzen überqueren. Wegen der technischen Infrastruktur des Internets tun sie das die ganze Zeit – selbst dann, wenn ich eine E-Mail von Hamburg nach München verschicke, kann sie dabei über die USA geleitet werden.
Hier tritt das Dilemma des überkommenen Datenschutzrechts zutage: Es gründet auf der Prämisse, dass persönliche Daten dort geschützt werden müssen, wo sie gespeichert werden, etwa von einem Unternehmen zum Zweck der Verarbeitung. Dort muss es für die Daten einen „sicheren Hafen“ geben.
Was aber, wenn die Kabel, durch welche die Daten reisen, von Geheimdiensten angezapft werden? Nichts anderes tut der britische Geheimdienst GCHQ an den gewaltigen transatlantischen Unterseekabeln, die an der englischen Westküste im Meer verschwinden und beinahe den gesamten transkontinentalen Datenverkehr durchleiten. Was hilft es also, die Häfen sicherer zu machen, wenn der Datenschutz schon auf stürmischer See untergeht?
Zunehmende Tendenz zur Abschottung
Als Reaktion auf die Massenüberwachung gibt es eine zunehmende Tendenz, Daten gleich ganz am Reisen zu hindern. Für die Idee des Internets als globales Forum für den Austausch von Kultur, Wissen, An- und Einsichten ist dieser Ansatz fatal. Ein streng kontrolliertes Gebilde von einander mehr oder weniger abgeschotteter nationaler Netzwerke kann niemand ernsthaft in Erwägung ziehen, der sich die Lage der Bürgerrechte in Staaten wie China oder dem Iran anschaut. Dort ist dieses Modell längst Realität.
Der globale Datenverkehr muss gewährleistet werden. Das Internet braucht keine lokale Fragmentierung, sondern das fragmentierte Datenschutzrecht muss globalisiert werden. Überregionale Bemühungen wie die europäische Datenschutzreform sind wichtig und notwendig. Langfristig aber können unsere persönlichen Daten nur geschützt werden, wenn dem Internet als transnationalem Raum ein ebenso globales Rechtsregime zur Seite gestellt wird.
Zwar setzt sich auf internationaler Ebene immer mehr die Erkenntnis durch, dass der völkerrechtliche Datenschutz ausgebaut werden muss. Ansätze wie die von Brasilien und Deutschland 2014 in die UN-Generalversammlung eingebrachte Resolution zur Privatheit im Digitalen Zeitalter werden weithin begrüßt. Mit der Ernennung des Maltesers Joseph Cannataci zum UN-Sonderberichterstatter für Datenschutz im Juli dieses Jahres ist das Thema nun immerhin auf der Agenda der Vereinten Nationen dauerhaft präsent.
Dennoch: Bis auf Weiteres bleibt der Schutz privater Daten auf internationaler Ebene nur schwach, verstreut über eine Vielzahl kaum verbundener rechtlicher Regelungen, und vor allem kaum mit belastbaren Durchsetzungsmechanismen ausgestattet. Entscheidender noch sind konträre Rechtsauffassungen zwischen den Akteuren. So beharren die USA auf dem offen formulierten Standpunkt, das passive Sammeln von Daten – ohne diese zu manipulieren, zu zerstören oder für Zwecke der Industriespionage zu nutzen – sei durch das Völkerrecht nicht verboten.
Daher versprach die Regierung in Washington – zur Beruhigung der Gemüter im Nachgang der Snowden-Enthüllungen – auch lediglich Nachbesserungen in Bezug auf Verarbeitung und Analyse personenbezogener Daten durch die Geheimdienste. Von einer Einschränkung des Sammelns ist bis heute nicht die Rede gewesen.
Datenschutz neu denken
Grund für die exzessive Sammelwut ist in den Prämissen von Big Data zu suchen: Die Annahme, dass menschliche Handlungen vorhersagbar werden, wenn nur die verfügbare Datenmenge groß genug ist. Das Rad der Technik wird sich kaum zurückdrehen lassen. Ein globales Datenschutzrecht muss diesen Paradigmenwechsel ernst nehmen, der traditionelle Grundprinzipien wie die Datensparsamkeit und die Zweckbindung infrage stellt. Datenschutz muss neu gedacht werden.
Wegen so grundlegender Meinungsverschiedenheiten über Datenschutz und den Schutz der Privatsphäre scheint die Aussicht auf ein umfassendes völkerrechtliches Vertragswerk zurzeit verschwindend gering. Andererseits war auch ein anderer globaler, transnationaler Raum bis vor wenigen Jahrzehnten in großen Teilen kaum reguliert: Von der ersten Seerechtskonferenz der Vereinten Nationen bis zum Abschluss des Seerechtsübereinkommens vergingen 26 Jahre. Manche Dinge brauchen ihre Zeit.
Max Schrems hat gezeigt, dass wir gegen den Umgang von Wirtschaft und Geheimdiensten mit unseren persönlichen Daten nicht völlig machtlos sind. Und mit seiner Entscheidung hat der EuGH die falsche Illusion berichtigt, es gäbe heute in den USA sichere Datenhäfen. Die richtigen Schlüsse aus dem Urteil aber müssen erst noch gezogen werden.
Dieser Artikel ist auch im Magazin „Das Netz – Jahresrückblick Netzpolitik 2015/16“ veröffentlicht. Das Magazin ist gedruckt, als E-Book und online erschienen.
Was sagen Sie dazu?