Jahrelang konnten Facebook und andere Unternehmen unkompliziert Daten aus Europa in die USA transferieren. Aufgeschreckt durch die Enthüllungen von Edward Snowden schauen europäische Datenschützer aber seit einiger Zeit genauer hin. Ohne Aussicht auf Erfolg.

Mitte September schickt eine Anwältin von Facebook der irischen Datenschutzbehörde einen Brief. In einer eidesstaatlichen Erklärung lässt der Social-Media-Gigant mitteilen, es sei nicht klar, wie Facebook und Instagram in Europa weiter bestehen könnten. Nur ein paar Tage später rudert Facebook aber schon wieder zurück. Manager Nick Clegg sagt, die Einstellung des Europa-Geschäfts sei nicht der Plan.

Dieses Hickhack war der bisherige Höhepunkt im Säbelrasseln zwischen Facebook und den irischen Datenschützern. Es geht um den Datenabfluss aus Europa in die USA. "In meinen Augen ist es politischer Druck, der da erzeugt wird. Facebook hat ja auch eine enorme wirtschaftliche Macht hier in Europa, viele Unternehmen vermarkten ihre Produkte oder Dienstleistungen bei Facebook. Und bisher ist es ja so gewesen, dass sich Facebook auf verschiedene Rechtsgrundlagen berufen konnte, um die Daten in die USA übermitteln zu können", sagt Dennis-Kenji Kipker, Jurist und Spezialisit für internationale Cybersicherheit, im ntv-Podcast "Wieder was gelernt".

Eine Rechtsgrundlage war der sogenannte "Privacy Shield", ein EU-Gesetz, das so viel wie privater Schutzschild bedeutet. Im Juli hat der Europäische Gerichtshof die Datenschutzregelung aber für ungültig erklärt. Europa habe keine wirksame Möglichkeit, gegen eine Überwachung durch die US-amerikanische Regierung vorzugehen, lautete die Begründung. Seitdem dürfen Unternehmen wie Facebook keine persönlichen Daten ihrer europäischen Nutzer mehr in die USA weiterleiten.

Damit hat der EuGH bereits die zweite Regelung zum Datenverkehr zwischen Europa und den Vereinigten Staaten gekippt. Genau wie die Vorgänger-Regelung "Safe Harbor", die 2015 von Europas höchsten Richtern beanstandet wurde. Beide Abkommen können die europäischen Standards nicht garantieren, weil dank amerikanischer Gesetzgebung die US-Sicherheitsbehörden weiter auf die Daten zugreifen dürfen. Ausschlaggebend für die EuGH-Urteile waren in beiden Fällen Beschwerden von Max Schrems, einem Datenschutzaktivisten aus Österreich, und seinem Verein Noyb. "Schrems ist mit seiner Organisation der zentrale Akteur, der diese ganzen Themen angestoßen hat. Er ist auch derjenige, der schon ganz früh gegen Facebook selbst vorgegangen ist, indem er als einer der Ersten umfassende Auskunftsansprüche gegenüber Facebook Irland geltend gemacht hat", blickt Kipker zurück.

Abkommen halten vor Gericht nicht stand

Das "Safe-Harbor"-Abkommen hatte die Europäische Union im Jahr 2000 beschlossen, es hielt 15 Jahre lang. Die "Privacy Shield"-Regelung hatte nicht einmal vier Jahre Bestand. Überraschend kam das nicht, sagt Datenschutzexperte Kipker: "Insbesondere die Snowden-Enthüllungen 2013 haben ja gezeigt, dass die US-Sicherheitsbehörden und Nachrichtendienste ganz erhebliche Zugriffe auch auf die Datenbanken großer Konzerne wie Facebook haben. Und das kann natürlich nicht einem europäischen Datenschutzniveau entsprechen."

Aber, egal was die EU macht: Die US-Überwachungsgesetze erlauben es den Geheimdiensten weiterhin, auf private Daten zuzugreifen. Daran ändert kein "Safe Harbor" und kein "Privacy Shield" etwas.

Zugleich ist es dann auch kein Wunder, dass sich Facebook von den europäischen Datenschutz-Aufsichtsbehörden verfolgt sieht und das europäisch-amerikanische Daten-Durcheinander satt hat. Die EU erlässt Regeln für den Datenverkehr mit den USA, die Unternehmen halten sich daran, dann wird vor dem EuGH wieder alles kassiert, weil die Unternehmen sich auch an die amerikanischen Regeln halten müssen. Stattdessen schließt man notgedrungen Übergangslösungen wie Standardvertragsklauseln. "Wie es der Name sagt, sind das Standardverträge, die von der EU-Kommission zur Verfügung gestellt werden. Und die werden zwischen den Teilen eines Unternehmens geschlossen", erklärt Kipker, dass in diesem Beispiel ein Vertrag zwischen Facebook in den USA und Facebook in Irland zustande kommt.

"Datenschutz wird ausgehöhlt"

Was aber passiert, wenn auch diese Tür geschlossen wird? Der Europäische Gerichtshof hat sich zu den Standardvertragsklauseln in seiner jüngsten Entscheidung vage gehalten. Laut der Richter können diese zwar weiterhin unter bestimmten Voraussetzungen für die Übermittlung personenbezogener Daten verwendet werden.

In der Praxis müssen Unternehmen ihren internationalen Datenfluss zwischen der EU und den USA aber neu bewerten, schätzt die Gesellschaft für Datenschutz und Datensicherheit die Rechtslage ein. Das sei mit einem "enormen Aufwand verbunden", sagt Kipker und stellt heraus, dass sich "Unternehmen höchstwahrscheinlich eine Datenübermittlung für jeden Einzelfall legitimieren lassen" müssten, sollten auch Standardvertragsklauseln von den EuGH-Richtern verboten werden. Das wäre natürlich extrem aufwendig. Deshalb wählen viele Unternehmen die für sie einfachste Lösung: Sie machen einfach weiter wie bisher.

"Auf dem Papier erhöhen wir das Datenschutzniveau. Aber wenn dann auch ohne Rechtsgrundlage weiter Daten übermittelt werden und die Datenschutzbehörden das tolerieren, wird der Datenschutz durch solche Gerichtsentscheidungen letztlich ausgehöhlt." Aus diesem Grund hält der Cybersicherheits-Experte "diesen Kreuzzug, der momentan insbesondere gegen Facebook geführt wird, für höchst bedenklich".

Auf den ersten Blick positive Regeln und Urteile für den Datenschutz können leicht zum Bumerang werden, ist sich Dennis-Kenji Kipker sicher. EU und USA schließen nacheinander Abkommen zum transatlantischen Datenverkehr. Die halten dem Europäischen Gerichtshof nicht stand, doch die großen Unternehmen wie Facebook machen weiter wie bisher, weil sie sich gegängelt fühlen und Datenschutzbehörden keine Sanktionen ausstellen. Das Ergebnis: Mehr Datenschutz gibt es nur auf dem Papier, nicht in der Realität.

Alle Folgen von "Wieder was gelernt" finden Sie in der ntv-App, bei Audio Now, Apple Podcasts und Spotify. Für alle anderen Podcast-Apps können Sie den RSS-Feed verwenden. Kopieren Sie die Feed-URL und fügen Sie "Wieder was gelernt" einfach zu Ihren Podcast-Abos hinzu.

"Wieder was gelernt" ist ein Podcast für Neugierige: Warum können ausgerechnet Busse unsere Verkehrsprobleme am besten lösen? Welche Staaten entscheiden die US-Wahl? Kann Geld Impfskeptiker überzeugen? Hören Sie rein und werden Sie dreimal die Woche ein bisschen schlauer.