#netzrückblick: EU-Datenschutz – „Zwischen Horror und ein bisschen besser“ (Max Schrems)

campact via flickr (CC BY-NC 2.0)

Zum Auftakt des Jahresrückblicks werfen wir einen Blick auf die Ereignisse des vergangenen Jahres im Bereich Datenschutz.

Hierbei geht es besonders um die EU-Datenschutz-Grundverordnung und das Safe-Harbor-Urteil. Dazu haben wir ein Interview mit Max Schrems geführt, auf dessen Klage hin der Europäische Gerichtshof das Safe-Harbor-Abkommen für rechtswidrig erklärt hat.

Statt eines Jahresrückblicks in Buchform gibt es dieses Jahr jeden Tag im Dezember einen Artikel als Rückblick auf die netzpolitischen Ereignisse des Jahres. Das ist der erste Beitrag in dieser Reihe.

Faule Kompromisse im EU-Datenschutz?

Beherrschendes Thema war die EU-Datenschutz-Grundverordnung, die noch in diesem Jahr verabschiedet werden soll. Mit der Grundverordnung soll im Rahmen der EU-Datenschutzreform ein EU-weit geltendes Datenschutzrecht geschaffen werden. Dieses wird die sehr unterschiedlichen nationalen Regelungen vereinheitlichen und die bisher geltende Datenschutzrichtlinie von 1995 ersetzen.

Die genauen Inhalte der Verordnung (und die verwendeten Definitionen) sind dabei besonders wichtig, weil sie gravierende Auswirkungen auf den Umgang mit unseren Daten haben werden. Sei es bei der Bonitätsprüfung, dem Erstellen von Persönlichkeitsprofilen oder dem Adressenhandel: Die Verordnung regelt, welche persönlichen Informationen Unternehmen und Behörden sammeln und (Stichwort „Zweckbindung“) kombinieren dürfen. Datenschützer*innen fordern individuelle Einwilligungen für jede Datennutzung, während von Seiten der Wirtschaft – unter Berufung auf die Big-Data-Phrase – nach schwächeren Datenschutzregeln gerufen wird. Bundeskanzlerin Merkel hat sich dem jüngst angeschlossen und sagte, dass der „Datenschutz nicht die Oberhand über die wirtschaftliche Verarbeitung der Daten gewinn[en]“ dürfe.

Nachdem die Kommission bereits 2012 ihren Gesetzentwurf vorgelegt hatte, einigte sich das Europäische Parlament (EP) 2014 auf eine datenschutzfreundlichere Fassung, die aber von den Mitgliedstaaten im Ministerrat als zu restriktiv kritisiert wurde. Der Film „Democracy – Im Rausch der Daten“ hat diese Vorgänge aus intimer Perspektive dokumentiert.

Seit diesem Sommer verhandeln die drei EU-Institutionen im informellen Trilog-Verfahren über einen Kompromiss. Über den aktuellen Stand der hinter geschlossenen Türen stattfindenden Verhandlungen ist wenig bekannt. Max Schrems sagt im Interview, dass er einen faulen Kompromiss mit vielen Ausnahmeregelungen befürchte, deren genaue Auslegung die Gerichte für Jahrzehnte beschäftigen würde.

Safe, safer, Safe-Harbor. Not.

USA - Kein vermeintlich sicherer Hafen für Datenpakete mehr. CC BY-SA 2.0 via wikimedia/Oliver Ohm
Die USA – kein vermeintlich sicherer Hafen mehr für Daten. CC BY-SA 2.0 via wikimedia/Oliver Ohm

Dabei ist eigentlich alles klar: Datenschutz ist ein Grundrecht, das in Artikel 8 der EU-Grundrechtecharta festgeschrieben ist. Der Europäische Gerichtshof (EuGH) hat dies in den vergangenen zwei Jahren mehrmals bestätigt, zuletzt durch das Safe-Harbor-Urteil im Oktober.

Zuvor war es den Unternehmen durch die Safe-Harbor-Entscheidung der Kommission aus dem Jahr 2000 erlaubt, personenbezogene Daten in die USA zu übertragen, wenn US-Unternehmen zusicherten, die EU-Standards einzuhalten. Der EuGH stoppte diese Praxis auch unter dem Eindruck der Snowden-Leaks, welche die Massenüberwachung der US-amerikanische Geheimdienste enthüllten. So war es den US-Sicherheitsbehörden erlaubt, Daten einzusehen, wenn die nationale Sicherheit ihrer Meinung nach gefährdet war. Weil zuvor US-Recht über EU-Recht gestellt wurde, war es weder europäischen Bürger*innen noch Datenschützer*innen praktisch möglich zu überprüfen, was in den USA mit den Daten angestellt wurde.

Zwar stellt das Urteil eine schallende Ohrfeige für die EU-Kommission dar, doch feiert sie sich als Siegerin und plant ein Folgeabkommen, welches schnellstmöglich die entstandene Rechtslücke schließen soll. Neben dem eigentlich nur für die Kooperation zwischen den Polizei- und Sicherheitsbehörden gedachten „Umbrella Agreement“ zum transnationalen Datenaustausch zwischen Behörden, bietet sich auch noch das Freihandelsabkommen TTIP als möglicher Ersatz an.

Das Jahr 2015 hat wieder einmal gezeigt: Es sind die Gerichte, die positive Entscheidungen für den Datenschutz fällen und die Grundrechte verteidigen. Demnächst werden sie sich wohl mit der EU-Datenschutz-Grundverordnung auseinandersetzen können. Seitens der EU-Kommission und der nationalen Regierungen sind wohl nur weitere Angriffe auf die informationelle Selbstbestimmung zu erwarten.

Interview mit Max Schrems

Max Schrems ist Initiator der Klage Europe v. Facebook. Hier spricht er über die Schwerpunkte zum Thema Datenschutz, die dieses Jahr besonders wichtig waren. Der österreichische Jurist ist neben seiner laufenden rechtlichen Auseinandersetzung mit Facebook auch an der langfristigen Planung für eine europäische NGO beteiligt, die Bürger*innen bei Datenschutzklagen organisatorisch und finanziell unterstützt.

Was sind aus deiner Sicht die wichtigsten Ereignisse in Sachen Datenschutz in diesem Jahr?

Max Schrems: Ich glaube, das spannendste wird die Datenschutzgrundverordnung und ihr abschließender Gesetzestext sein. Ende des Jahres soll sie kommen, aber wer weiß, was dann genau drinsteht. Natürlich war das Safe-Harbor-Urteil eines der großen Trümmer und die Vorratsdatenspeicherung ist fraglos auch noch spannend.

Was erwartest du dir von der Datenschutzgrundverordnung?

Max Schrems: Da kommt irgendetwas zwischen „Horror“ und „ein bisschen besser“ heraus. Es kommt wirklich auf die Details an, die am Ende hinein- und rausverhandelt werden. Da habe ich etwas Panik, dass man sich auf irgendetwas einigt, nur damit man sich geeinigt hat, aber das Ergebnis am Ende nicht durchsetzbar sein wird. Teilweise versucht man hier Lösungen mit einem generischen Text zu finden, mit dem jeder zufrieden sein soll. Ich sehe die große Gefahr darin, dass wir noch die nächsten fünfzehn Jahre lang zum EuGH pilgern werden müssen, um herauszufinden, was uns dieses Gesetz eigentlich sagen will.

Deine Befürchtung ist also, dass es ein fauler Kompromiss sein wird. Was sind deiner Meinung nach die zentralen Punkte in der Grundverordnung?

Max Schrems (Foto CC-BY-SA 2.0: via flickr/, Eleleleven)
Max Schrems (Foto CC-BY-SA 2.0: via flickr/, Eleleleven)

Max Schrems: Die Grundsatzfrage ist für mich, ob es ordentliche Strafen [Anm. d. Red: für Datenschutzverstöße] gibt, und wie diese gestaltet und umgesetzt werden. Die Iren wollen bei einem Absatz unbedingt das Wörtchen „können“ unterbringen, damit sie Strafen verhängen dürfen, wenn sie es wollen. Aber wenn Irland Strafen nach Gutdünken gestaltet und Deutschland derweil die ganze Zeit straft, haben wir genau den gleichen Effekt wie heute. Dann gibt es faktisch in dem einen Land eine Strafe und in einem anderen EU-Land eben nicht. Oft ist es eben nur ein kleines Wort, das so weitreichende Auswirkungen haben kann.

Ein anderer Aspekt ist das Prinzip der Datenminimierung. Hier sagt die Industrie, dass sie das Prinzip der Datenminimierung zugunsten von Big Data kippen will. Darunter verstehen sie, so viele Daten zu nutzen wie nur möglich. Aber allein aus grundrechtlicher Sicht ist jede Datensammlung ein Grundrechtseingriff, ergo muss das minimiert werden. Was nicht unbedingt notwendig ist, darf auch nicht gespeichert werden. Es bleibt spannend, ob die Lösungen am Ende gegen Artikel 8 verstoßen, weil sie den Vorgaben in der Grundrechtecharta nicht sorgfältig entsprechen.

Glaubst du, dass der europäische Datenschutz grundsätzlich gestärkt werden wird?

Max Schrems: Es wird eine Mittellösung geben. Die ursprüngliche Idee hinter der Verordnung ist gescheitert. Erstens wird nicht alles wie geplant vereinheitlicht, weil die Mitgliedstaaten viele nationale Ausnahmeregelungen eingebaut haben. Folglich wird es in allen Ländern ein Datenschutzbegleitgesetz geben müssen, um alles entsprechend zu implementieren. Zweitens ist noch unklar, wie durchsetzbar die Regelungen sein werden und wie sie konkret aussehen. Wenn in wesentlichen Punkten keine Einigung erzielt wird, sondern einfach ein generischer Kompromiss festgeschrieben wird, bringt das niemandem etwas.

Ein Meilenstein war sicherlich das von dir schon genannte Safe-Harbor-Urteil. Es gibt Stimmen, die nun einfach eine verbesserte Variante, eine Art Safe-Harbor 2.0 fordern. Wird das deiner Meinung nach im Rahmen der EuGH-Entscheidung überhaupt möglich sein?

Max Schrems: Ich glaube es ist unmöglich, aber es wird trotzdem getan werden. Bisher sieht es so aus, als plane die Politik das zu tun, aber die zuständigen Beamten haben keine Ahnung, wie das gehen soll. Völlig absurd war, wie sich die EU-Kommission hinstellte und erklärte, dass sie sich durch das Urteil bestätigt sieht. In dem Urteil und der Verhandlung ist die EU-Kommission fast acht Stunden lang von den Richtern verbal verprügelt worden. Sie hat das Umbrella-Agreement zwischen USA und EU als Ersatzvereinbarung genannt, aber das ist hier ungeeignet einzuspringen, denn es gilt nur für den Austausch von Daten im behördlichen Bereich. Wenn die Daten erstmal an Facebook gelangen, dann über den Atlantik fließen und in den USA wieder von Behörden abgegriffen werden, ist das Umbrella-Agreement überhaupt nicht anwendbar.

Warum hat es so lange gedauert, bis sich die Gerichte mit Safe-Harbor beschäftigt haben? Warum hat es dich gebraucht, um das anzustoßen?

Max Schrems: Dass Safe-Harbor nicht rechtskonform ist, war schon lange klar. Es war aber einfach politisch nicht gewollt, daran etwas zu ändern. In Brüssel und in Deutschland wird die transatlantische Freundschaft so weit übertrieben, dass man nicht einmal mehr Kritik äußern darf. Im privaten Bereich hat Safe-Harbor schlichtweg keinen Schutz gebracht. Wenn ich mich privat mit irgendeinem US-Unternehmen über meinen Datenschutz streiten müsste, hätte ich unter Safe-Harbor schon verloren, weil die Durchsetzung in den USA schon immer ein Witz war. In den 1990er Jahren haben die USA unglaublich Druck gemacht und ein Abkommen verlangt, ansonsten hätte sie die EU vor der WTO verklagt. Europa ist da eingeknickt. Hier brauchte es anscheinend einfach einen Bürger, der sich aufregt, und ein Gerichtsurteil.

Nun bist du mit dem von dir ausgelösten Urteil vielen Leuten gehörig auf die Füße getreten und hast auch Kritik bekommen. Wie war das für dich?

Max Schrems: Die Kritik hat mich nicht persönlich getroffen, da sie so unsubstanziert und dämlich war, dass es eher unterhaltsam war. Aus den USA kamen Stimmen, die das Urteil als Protektionismus verteufelt haben, der europäische Unternehmen schützen sollte – als ob das im Interesse der beteiligten Richter gewesen wäre. Eher problematisch war die große Öffentlichkeit, die in Österreich schon massiv war. Es ist schon skurril, zum Thema Datenschutz zu arbeiten und dann seine Privatsphäre ein Stück weit zu verlieren.

Wie geht es jetzt mit deiner Klage gegen Facebook weiter?

Max Schrems: Es gibt in Wien eben die Sammelklage gegen Facebook. Hier geht es aber zunächst um prozessrechtliche Fragen. Facebooks Strategie war zu behaupten, dass wir in Österreich überhaupt nicht gegen sie klagen könnten. Bei den Sammelklagen haben wir erstmalig eine etwas neue Version gewählt, die etwas steil ist, aber rechtlich funktionieren müsste. Nun müssen wir schauen, ob die Richter da nicht etwas zu sehr Bauchweh haben, und ob wir die Sache als Musterklage einbringen können. Das Grundproblem besteht wieder darin, dass die Richter diese Klagen loswerden wollen und sich für nicht zuständig erklären. Denn kein Richter will irisches Datenschutzrecht, kalifornisches Zivilrecht, österreichisches Verfahrensrecht und österreichischen Konsumentenschutz auf den Tisch und darin herumrühren. Entweder braucht es hier sehr motivierte Richter oder jemanden, der zwangsverpflichtet wird.

Im letzten Jahr waren Safe-Harbor und die EU-Datenschutz-Grundverordnung die großen Themen. Was wird 2016 im Datenschutzbereich wichtig werden?

Max Schrems: Es wird die Einordnung der Grundverordnung kommen, also um die genauen Details gehen. Das ist eine epochale Entscheidung, die uns die nächsten zehn bis fünfzehn Jahre beschäftigen wird. Spannend wird sicherlich auch, wie es nach den Anschlägen in Paris mit Überwachungsgesetzen weitergeht. Die werden wohl de facto nicht mehr dieses Jahr entschieden werden. Auch die Speicherung von Fluggastdaten (PNR) wird uns im nächsten Jahr begleiten, denke ich.

Vielen Dank an Nikolai Schnarrenberger für die Transkription des Interviews.

1 Ergänzungen

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.