Im Zuge der Veröffentlichung der ersten Snowden-Dokumente wurde bekannt, dass US-Behörden mithilfe des PRISM-Programms die zentralen Rechner (und damit die Kundendaten) von allen größeren Internet-Firmen direkt anzapfen. Am 25. Juni 2013 beschwerte sich Max Schrems, Jurastudent und Gründer der Initiative „Europe v Facebook“, daher bei der irischen Datenschutzbehörde und verlangte von ihr eine Untersuchung. Die Behorde ist zuständig, weil sich viele US-Unternehmen aus Steuergründen in Dublin niedergelassen haben. Als sich diese jedoch weigerte, den ungehemmten Datentransfer von Millionen europäischen Facebook-Nutzern an die USA zu untersuchen und Schrem’s Forderung als „frivol und schikanös“ („frivolous and vexatious“) bezeichnete, ging er gegen die Untätigkeit der Datenschutzbehörde in Irland vor Gericht.
Am 18. Juni entschied nun der irische High Court, dass der Europäische Gerichtshof (EuGH) in dieser Sache entscheiden soll. Der Richter erkannte in seinem Urteil implizit an, dass eine kleine Datenschutzbehörde neben einer Fish-and-Chips-Bude in Dublin kein wirklicher Gegner für Giganten wie Facebook oder Google ist. Daher fragt er den EuGH in seinem Urteil (pdf), ob die Safe Harbor-Regeln mit Artikeln 7 und 8 der Grundrechte-Charta vereinbar sind (Paragraph 71, S. 33) und ob einzelne Datenschutzbehörden entscheiden können, ob Safe Harbor ein „angemessenes Datenschutzniveau“ gewährt (Paragraph 84, S. 36).
Wir haben Max Schrems zu den Einzelheiten des Urteils befragt:
netzpolitik.org: Was sind für dich die wichtigsten Punkte in diesem recht bizarr zu lesenden Urteil? Welche Fragen werden dem EuGH gestellt?
Das Urteil umgeht jede logische Konsequenz, weil auf mehreren Ebenen eigentlich der Fall zurück an die Datenschutzbehörde gehen sollte. Der Richter hat aber das Ding einfach zum EuGH bringen wollen. Was politisch auch durchaus sinnvoll ist.
Der Richter stellt eine sehr weite Frage, die auf die Gültigkeit des „Safe Harbor“ an sich abzielt. Dabei wird gefragt, ob ein Abkommen aus 2000, wegen den faktischen Veränderungen (9/11, Kampf gegen den Terror, NSA, PRISM) und wegen der Einführung der EU-Grundrechtecharta noch gültig sein kann.
Außerdem ist in der Frage verpackt, ob die Irische Behörde trotz einer weiteren Gültigkeit des Safe Harbour, eventuell im Einzelfall anders entscheiden kann. Dafür findet sich aber die Antwort schon in Artikel 3 des Safe Harbour: Das geht.
netzpolitik.org: Du beschwertes Dich auf Twitter, dass die Medien fehlerhaft über das Urteil berichteten. Was war da los?
Am Mittwoch hat Reuters erst falsch berichtet, dass wir „abgewiesen“ wurden und dann haben Journalisten probiert, aus dem Urteil viel rauszulesen das dort einfach nicht steht. Ich glaube, die meisten Journalisten hatten keine Ahnung, dass „Safe Harbor“ die Rechtsgrundlage für den Großteil des EU-US Datenaustausches ist. Wenn da dran gesägt wird, dann ist das viel heftiger als das „Recht auf Vergessen“ und zumindest wirtschaftlich viel heftiger als das Urteil zur Vorratsdatenspeicherung. Da kommt also ordentlich was auf uns zu.
netzpolitik.org: Was ist denn eigentlich die Safe-Harbor-Vereinbarung?
Safe Harbor ist eigentlich eine Entscheidung der EU-Kommission. Generell dürfen Daten nicht aus der EU ins Ausland geschickt werden, weil man dort eben den Datenschutz nicht sicherstellen kann. In den USA gibt es die Möglichkeit, dass sich Unternehmen „selbst verpflichten“, sich an eine verkrüppelte Version des EU-Datenschutzes zu halten. Das sind die „Safe Harbour“-Prinzipien. Dann dürfen diese Unternehmen EU-Daten erhalten, auch wenn es in den USA keinen Datenschutz in unserem Sinne gibt. Die Lösung ist aber stark kritisiert, weil es in der Praxis einfach kein echter Schutz ist.
netzpolitik.org: Was hat dieses Urteil mit dem jüngsten Urteil des EuGHs zur Vorratsdatenspeicherung zu tun?
PRISM ist natürlich noch viel heftiger als die Entscheidung zur Vorratsdatenspeicherung, weil bei PRISM auch die Inhaltsdaten abgesaugt werden und das weder eine zeitliche Einschränkung noch mit einer irgendwie rechtsstaatlichen Überprüfung. Auch geht es hier um Spionage und nicht mal Kriminalfälle.
netzpolitik.org: Warum ist es für Dich ein Sieg, dass Save Harbor nun vom EuGH geprüft wird?
Damit kommt nicht nur Safe Harbour, sondern die ganze PRISM- und NSA-Sache vor den EuGH. Das ist natürlich super, weil der EuGH soeben entschieden hat, dass eine die VDS illegal ist. Damit steigt auch der Druck auf die USA endlich den Europäern einen ordentlichen Schutz zu geben. Im Vergleich zu den anderen Überwachungsprogrammen ist hier direkt ein wirtschaftliches Interesse in den USA gefährdet: Der freie Datenverkehr mit der EU. Das könnt ein guter Hebel sein um etwas weiterzubekommen.
netzpolitik.org: Würden mit einer Überarbeitung oder Aufhebung von Safe Harbor, wie jüngst vom EU-Parlament gefordert, alle Probleme gelöst?
Kommt immer auf den Inhalt an. Wir werden immer einen unterschiedlichen Zugang zu Datenschutz in der EU und den USA haben, das muss man irgendwie überbrücken wenn man das Netz nicht in der Mitte zerschneiden will. Ich denke nur, dass dabei beide aufeinander zugehen müssen. Bisher wird diese Lücken nur dadurch überbrückt, dass die Europäer ihre Grundrechte faktisch nicht durchsetzen. Das kann es dauerhaft nicht sein.
netzpolitik.org: Welche Antworten sind nun vom EuGH zu erwarten? Die Frage, die das irische Gericht dem EuGH stellt, lässt die Antwortmöglichkeiten ja sehr offen – es könnte zu einem nichtssagendem Urteil genauso gut wie zu einem Öffenen der Büchse der Pandora kommen.
Meine Glaskugel hat sich noch nicht entschieden. Generell, wenn man die bisherigen Entscheidungen und die Gesetze ansieht würde ich am ehesten drauf wetten, dass der EuGH sagt, dass man nach Artikel 3 des Safe Harbour im Einzelfall den Datenfluss stoppen kann und das damit wieder bei der irischen Behörde landet.
Die EU Kommission wird sicher auch eher in die Richtung argumentieren. Keiner der Staaten wird argumentieren, dass Safe Harbour an sich rechtswidrig ist, da wird vermutlich das wirtschaftliche Interesse am Datenfluss in die USA groß sein. Und der EuGH hat auch schon mit der Vorratsdatenspeicherung und dem Urteil zu Google vs Spanien seine Exempel statuiert.
netzpolitik.org: Was könnt ihr jetzt als nächstes tun? Möchtest Du dem EuGH noch detailliertere Fragen oder Erläuterungen nachreichen?
Wir werden uns noch viel einbringen. Die Frage an den EuGH ist auch jetzt erst mal vom Gericht „vorgeschlagen“. Wir können noch einen Antrag stellen das irgendwie anders zu formulieren, aber ob das so kommt, hängt vom Richter ab. Das prüfen wir alles derzeit. Leider hatten wir für diesen Fall nichts in der Schublade, weil es wirklich nicht zu erwarten war.
Ich muss mich auch noch mal tiefer in den Safe Harbor und die Kritik daran einlesen. Bisher war unser Fall ja auch im Rahmen von Safe Harbor lösbar. Wenn nun das ganze Ding an sich am Prüfstand steht, dann muss man eventuell weiter ausholen. Es kann gut sein, dass ich am Ende der einzige bin, der Kritik an Safe Harbor an sich vorbringen könnte, damit hat man die Verantwortung, das genauer anzusehen. Die Staaten und die EU werden ja eher weniger Interesse haben, Safe Harbour ganz zu killen. Ob diese Kritik immer zu hundert Prozent juristisch korrekt ist und was die realistischen Alternativen sind, muss ich mir auch noch genauer ansehen. Dass Safe Harbor immer schon ein Witz war, ist glaube ich allen klar. Die Frage ist eher, ob man eine realistische Alternative hat. Da kommt politische Überzeugung mit dem Realismus in Konflikt.
netzpolitik.org: Was plant Europe-v-Facebook als nächstes?
Urlaub.
netzpolitik.org: Wie kann man Euch unterstützen?
Wir haben eine Spendenseite unter crowd4privacy.org wenn wir das Geld nicht brauchen bekommt man es sogar wieder zurück. So wie es aussieht brauchen wir aber derzeit eher mehr…
Vielleicht sollten wir endlich erkennen das uns Regierungen, Parteien und Gerichte nicht helfen werden ? Alle diese Staatlichen Einrichtungen vertreten eben ihre eigenen Interessen oder machen einfach nur ihren Dienst nach bürrokratischen Regeln.
Vielleicht solltet ihr aufhören zu glauben diese würden in irgendeiner Weise die Allgemeinheit vertreten.
> Das ist natürlich super, weil der EuGH soeben entschieden hat,
> dass eine die VDS illegal ist.
Ist dieser Satz richtig?
(was sollte hier eigentlich ausgesagt werden?)
[Kein Trollversuch – ich versuche nur den Satz zu verstehen…]
> Das könnt ein guter Hebel sein um etwas weiterzubekommen.
…um etwas weiterzukommen?
> Bisher wird diese Lücken nur dadurch überbrückt,
> dass die Europäer ihre Grundrechte faktisch nicht durchsetzen.
Bisher wird diese Lücke,… oder bisher werden diese Lücken…?
Diese Sätze findet man (vermutlich) über STRG+F,
es wäre schön, wenn die Fehler nochmal korrigiert werden. Sofern es sich um Fehler und nicht künstlerische Freiheit oder schwierig formulierte Sätze handelt.
(In letzter Zeit sind hier viele Artikel mit vielen Fehlern aufgetaucht, das ist schade)