Nach jahrelangem, nervenzerfetzendem Tauziehen möchten EU-Kommission und Verbände das Thema Datenschutzabkommen endlich vom Tisch haben. I feel you. Der Präsident des Digitalbranchenverbands Bitkom, Ralf Wintergerst, lobte in der Tagesschau, dass nun eine "dreijährige Hängepartie zu Ende geht." Bei allem Verständnis für die armen geschundenen Nerven der Kommissionsmitglieder und der ebenso genervten Verbände: Ist das deren Ernst?

Die Spatzen pfeifen es von den Dächern, dass dieses Abkommen namens Data Privacy Framework komplett wertlos ist, aber die Damen und Herren spielen jetzt mal alle eine Runde "wenn ich die Probleme nicht sehe, sehen die Probleme mich auch nicht". Lieber Herr Wintergerst, die Tatsache, dass etwas endet, ist nicht wichtig, wichtig ist dagegen wie es endet. Vom Bitkom, dem Verband, der die Interessen der deutsche Informations- und Telekommunikationsbranche vertreten soll, hätte ich erwartet, dass dieser der EU-Kommission den wertlosen Vertrag um die Ohren haut.  

Was bisher geschah: Schrems I und Schrems II

Lasst mich zum besseren Verständnis mal die vergangene Zeit seit Schrems II zusammenfassen, wenn wir schnell sind, sind wir damit fertig, bevor Schrems III kommt.

Nach den letzten zwei Anläufen namens Safe Harbour (Schrems I) und Privacy Shield (Schrems II) ist die EU-Kommission vom EuGH losgeschickt worden, um endlich ein Datenschutzabkommen auszuhandeln, dass die anlasslose Massenüberwachung von EU-Personen durch die US-Geheimdienste beendet und einen Datenaustausch mit den USA ermöglicht. Wir erinnern uns alle noch an Edward Snowden und "PRISM" oder "Upstream"?

Ein Rückblick auf das Grundsatzproblem:

Der Datenschutz ist in den USA nicht auf unserem Niveau, das EU-Recht schreibt aber vor, dass Daten nur dann ins Ausland geschickt dürfen, wenn im jeweiligen Land ein gleichwertiger Schutz der Daten wie in der EU existiert. Dass der Datenschutz dort geringer ist als bei uns, ist übrigens nicht das einzige Problem. Denn für ausländische Personen gilt das US-Datenschutzrecht ohnehin nicht, die Daten von EU-Bürgern dürfen ausspioniert werden.

Die Gründe für das Scheitern der bisherigen Datenschutzabkommen

Die zwei wesentlichen Gründe für das Urteil des EuGH und das Scheitern von Safe Harbour und dem Privacy Shield sind:

1. Die oben erklärte Massenspionage hat der EuGH in Schrems II als unverhältnismäßig im Sinne von Artikel 52 der EU-Grundrechtecharta beurteilt.

2. Artikel 47 gibt EU-BürgerInnen das Recht vor einem unabhängigen Gericht zu klagen, wenn durch das Recht der EU garantierte Rechte oder Freiheiten verletzt worden sind. Der damals zur Verfügung gestellte Ombudsmann war kein unabhängiges Gericht.

Wie das neue Datenschutzabkommen diese Gründe beheben will

US-Präsident Joe Biden und die EU-Kommission haben nämlich ihre schelmischste Miene aufgesetzt und verkündet: "Wir bezeichnen die Massenspionage zukünftig einfach als verhältnismäßig".

Verstanden? Der EuGH sagt, die Überwachung ist unverhältnismäßig, also bezeichnen sie die unverändert stattfindende Überwachung einfach als verhältnismäßig. Und natürlich halten die USA etwas anderes für verhältnismäßig als die EU.

Die gesetzliche Grundlage für die Massenüberwachung, der Foreign Intelligence Surveillance Act, wurde in den USA nicht angefasst. Dieses Gesetz besteht unverändert.

Von Papageien und Zoowärtern

Da allen Beteiligten noch der Schelm im Nacken steckte, haben sie noch einen lustigen Papagei erfunden, ihm den Namen "Gerichtshof" gegeben und als Wärter für den Papagei noch einen CLPO (Civil Liberties Punishment Officer*) erfunden.

Jedes Mal, wenn jetzt EU-Bürgerinnen mit einer Klage kommen, antwortete der Papagei Folgendes:

"Ohne zu bestätigen oder zu leugnen, dass der Beschwerdeführer Gegenstand von Aktivitäten des US-Signalnachrichtendienstes war, wurden bei der Überprüfung entweder keine erfassten Verstöße festgestellt, oder das Datenschutzüberprüfungsgericht hat eine Feststellung getroffen, die angemessene Abhilfemaßnahmen erfordert."

"Gerichtshof ist brav!" Krächz. Kopf tätschel.

EU-Parlament lehnte mit Resolution Datenschutz-Abkommen ab

Das EU-Parlament hat mit einer Resolution den ganzen Blödsinn eigentlich abgelehnt, aber da diese durch Bürgerinnen gewählte Institution ja nichts zu melden hat, hat die EU-Kommission dann trotzdem unterschrieben.

"Grotesk!", so der EU-Abgeordneten Möritz Körner von der FDP zu diesem Thema. Oder fragen wir gleich den Datenschutzaktivisten Max Schrems: "Man sagt, die Definition von Wahnsinn ist, dass man immer wieder das Gleiche tut und dennoch ein anderes Ergebnis erwartet."

Das tritt nach meiner Kenntnis ... ist das niemals, unmöglich

Inmitten dieses ganzen Irrsinns freut sich der Bitkom: "Unternehmen erhalten damit grundsätzlich wieder Rechtssicherheit, wenn sie personenbezogene Daten zwischen der EU und den USA transferieren müssen. Vor allem kleine und mittelständische Unternehmen profitieren davon, dass künftig keine Einzelfallprüfungen mehr notwendig sind."

Schrems steht in den Startlöchern und wird Klage einreichen, und ich prognostiziere, die RichterInnen werden das wertlose Datenschutzabkommen für ungültig erklären. Der Aktivist schätzt, dass Ende 2023 bis Anfang 2024 das Abkommen vom Gericht schon vorläufig aufgehoben worden sein könnte. Der gesamte Prozess könnte wieder rund zwei Jahre dauern.

Versprechen der Rechtssicherheit ist trügerisch und gefährlich

Für Unternehmen bedeutet das, dass sie sich nicht auf die versprochene Rechtssicherheit verlassen können. Jeder Prozess, der einen Datentransfer in die USA auslöst oder einen Datentransfer zu einem Unternehmen, das der US-Jurisdiktion unterliegt oder einen Mutterkonzern hat, welcher ihr unterliegt, muss auf den Prüfstand gestellt werden. Denn sobald das Abkommen gekippt wurde, ist die Einzelfallprüfung wieder auf dem Tisch. Deshalb sollten die Prüfungen sicherheitshalber lieber fortgeführt werden.

EU-Kommission verspielt Chance auf Änderungen und beschädigt Wirtschaft

Ende des Jahres müssen die USA den Foreign Intelligence Surveillance Act verlängern, das wäre die Chance für echte Änderungen gewesen. Denn ohne eine gesetzliche Änderung der Massenüberwachung von EU-Bürgern wird kein Abkommen funktionieren. Die Chance, diese Änderung zu bewirken, hat die EU-Kommission zum Schaden der gesamten EU-Wirtschaft verpasst.

Mehr zum Thema

• Ein umfangreicher rechtliche Ratgeber zum Thema EU-US Datenschutzabkommen (Trans-Atlantic Data Privacy Framework) findet sich bei Rechtsanwalt Dr. Thomas Schwenke.