Daten europäischer Nutzer auf US-Servern als Zankapfel

Während der Datenschutz in der EU als ein hohes Gut gilt, spielt er in den USA eine eher untergeordnete Rolle – insbesondere, wenn US-Behörden sich bedroht sehen, etwa durch Spionage. In solchen Fällen wird schnell auf vermeintlich konspirative personenbezogene Daten zugegriffen, was nicht zuletzt der Whistleblower Edward Snowden im Jahr 2013 eindrucksvoll offenlegte. In Europa dagegen soll die Datenschutz-Grundverordnung einen selbstbestimmten Umgang mit den eigenen Daten garantieren: Bevor wir irgendein Angebot nutzen können, müssen wir den Datenschutzregeln des jeweiligen Unternehmens zustimmen – wie ernst das Unternehmen unsere Einstellungen allerdings nimmt, ist eine andere Frage.
 

Facebook soll Bußgeld zahlen

Diese ungleiche Rechtslage ist vor allem für soziale Medien ein großes Problem, da sie ihre Server größtenteils in den USA stationiert haben. Wenn also europäische Nutzer über Facebook, Instagram oder Twitter kommunizieren, ist es kaum zu vermeiden, dass ihre Daten früher oder später auch auf amerikanischen Servern landen. Das verstößt aufgrund des Zugriffsrechts der USA auf diese Daten aber eindeutig gegen die Datenschutz-Grundverordnung. In der Vergangenheit hat das zum Beispiel zu einem Bußgeld von 1,2 Milliarden Euro gegen den Facebook-Mutterkonzern Meta geführt. Allerdings hat die zuständige irische Data Protection Commission (DPC) das Bußgeld nicht aus eigenem Antrieb, sondern erst auf Druck des Europäischen Datenschutzausschusses verhängt (vgl. Gottberg 2023).

Facebook hat gegen das Bußgeld geklagt, der Ausgang ist offen, und das Verfahren wird sich vermutlich sehr lange hinziehen. Das Thema ist seit Jahren ein Ärgernis in den transatlantischen Beziehungen. Deshalb versuchen die EU und die USA immer wieder, das Problem mit Gesetzen aus der Welt zu schaffen, etwa mit dem Safe-Harbor-Abkommen oder dem Privacy Shield. Den Bemühungen liegt der Wunsch der EU zugrunde, den Europäern zu vermitteln, dass ihre Daten auch in den USA ausreichend geschützt sind.
 

DSGVO wird außer Kraft gesetzt

Kritiker sind allerdings der Meinung, die Datenschutz-Grundverordnung sei in den USA faktisch außer Kraft gesetzt, da US-Geheimdienste wie die NSA immer wieder Zugriff auf europäische Daten bekommen. Der österreichische Datenschutzaktivist Max Schrems, Mitgründer der Datenschutzorganisation NOYB, hat deshalb schon zweimal gegen die Vereinbarungen zwischen EU und USA vor dem EuGH geklagt und Recht bekommen: Das sogenannte Safe-Harbor-Abkommen wurde 2015 und der Privacy Shield 2020 gekippt.

Nun hat die EU-Kommission einen neuen, dritten sogenannten Angemessenheitsbeschluss erlassen, das Trans-Atlantic Data Privacy Framework. Allerdings ist diese Vereinbarung nach Ansicht Max Schrems alter Wein in neuen Schläuchen: „Wir hatten jetzt ‚Harbors‘, ‚Umbrellas‘, ‚Shields‘ und ‚Frameworks‘ – aber keine substanzielle Änderung des US-Überwachungsrechts. Die Presseerklärungen von heute sind fast eine wortwörtliche Kopie derer von vor 23 Jahren. Die bloße Behauptung, etwas sei ‚neu‘, ‚robust‘ oder ‚wirksam‘, reicht vor dem Gerichtshof nicht aus. Wir brauchten [sic!] eine Änderung des US-Überwachungsrechts, und die gibt es nicht.“ (NOYB 2023)

Im Gespräch mit dem Medienmagazin „Breitband“ ergänzte Schrems auf die Frage, wie Konzerne mit unseren Daten umgehen: „Bisher ist es so, dass die Unternehmen einfach – auf gut österreichisch – drauf scheißen. Also es weiß jeder, dass es nicht legal ist, aber es wird halt einfach gemacht. Die Datenschutzbehörden setzen es praktisch nicht durch, dass diese Datentransfers [nicht] weiter passieren und da gibt es praktisch keine Strafen. Dementsprechend ist es aktuell so eine Situation, wo eigentlich alle […] gelernt haben, einfach einen illegalen Zustand zu tolerieren und bis auf den EuGH dürften da auch alle fröhlich dabei sein. Das ist eigentlich unser Problem aktuell, dass wir höchstgerichtliche Rechtsprechung haben und die Kommission, aber auch die Datenschutzbehörden das nicht weiter beeindruckt.“ (Genzmer, Linß, im Gespräch mit Schrems 2023)
 

Verletzung des Datenschutzes betrifft Millionen

Auf die Frage, wie häufig es zu solchen Verletzungen des Datenschutzes kommt, ergänzt Schrems, dass es sich um Geheimüberwachungen handele, sodass die meisten Personen es nicht mitbekämen, wenn sie betroffen seien. Von Statistiken großer Unternehmen wüsste man, dass teilweise pro Halbjahr etwa 200 000 Accounts angezapft würden. Da ja in solchen Accounts mit verschiedenen Menschen kommuniziert würde, wären Millionen von solchen Datenschutzverstößen betroffen. (Vgl. ebd.)

Schrems vertritt die Meinung, dass diese Vorgänge auch nach amerikanischem Verfassungsverständnis rechtswidrig sind. Allerdings ist man in den USA der Auffassung, dass die Verfassungsrechte nur für US-Amerikaner gelten und nicht für Ausländer. Diese Sichtweise hat der EuGH bereits zweimal, 2015 und 2020, abgelehnt. Die EU-Kommission hatte zwei Jahre Zeit, die neue Regelung zu entwickeln, die Anfang der Woche vorgestellt wurde. Die Grundregel sei laut Schrems seit 1995, dass Daten die EU nur dann verlassen dürften, wenn garantiert werden könne, dass die Daten in diesen Drittstaaten gleich geschützt sind wie in Europa. Das sei in Ländern wie der Schweiz kein Problem, weil es dort ein ähnliches Datenschutzrecht wie in der EU gebe. Die US-Regierung hat aber schon im Jahre 2000 darauf gedrungen, eine Ausnahmeregelung in Anspruch zu nehmen, was praktisch das europäische Datenschutzrecht aushebele. (Vgl. ebd.)
 

Pingpong könnte fortgesetzt werden

Das Spiel könnte also noch einige Jahre so fortgesetzt werden: Die EU nimmt praktisch ihre alten Regelungen, formuliert sie ein wenig um, NGOs klagen dagegen, der EuGH setzt die Regelung wieder außer Kraft, und die EU macht im alten Stil weiter. Schrems sieht ein Grundproblem darin, dass angesichts des Internets mit seinem grenzüberschreitenden Datenverkehr nationale oder kontinentale Regelungen nicht mehr funktionieren: „Mit dem Angemessenheitsbeschluss können personenbezogene Daten ab sofort aus der EU in die USA fließen und sind angemessen geschützt, sagt die EU-Kommission. […] Langfristig wäre es natürlich intelligent und sinnvoll, dass wir ein globalisiertes, verbundenes Netzwerk haben, zumindest innerhalb der demokratischen Länder.“ (Ebd.) Der gegenwärtige Konflikt um vergleichbare Rechtsstandards, den es auch in vielen anderen Bereichen gibt, beispielsweise im Umgang mit Pornografie bereits innerhalb Europas, zeigt, dass weltumspannende gesetzliche Regelungen zwar sinnvoll wären, aber auch sehr unwahrscheinlich sind – wenigstens in absehbarer Zeit.

Quellen:

Genzmer, J./Linß, V. im Gespräch mit Schrems, M.: EU-US-Datenaustausch: Erneuter Beschluss, erneute Kritik. In: Breitband, 15.07.2023. Abrufbar unter www.deutschlandfunkkultur.de (letzter Zugriff: 21.07.2023)

Gottberg, J. v.: Facebook muss wegen Verstoßes gegen die Datenschutzgrundverordnung zahlen. In: mediendiskurs, 25.05.2023. Abrufbar unter mediendiskurs.online (letzter Zugriff: 21.07.2023)

NOYB, o. A.:Europäische Kommission gibt EU-US-Datentransfers 3. Runde beim EuGH. In: NOYB, 10.07.2023. Abrufbar unter noyb.eu (letzter Zugriff: 21.07.2023)