Im Zuge der Veröffentlichung der ersten Snowden-Dokumente wurde bekannt, dass US-Behörden mithilfe des PRISM-Programms die zentralen Rechner (und damit die Kundendaten) von allen größeren Internet-Firmen direkt anzapfen. Am 25. Juni 2013 beschwerte sich Max Schrems, Jurastudent und Gründer der Initiative „Europe v Facebook“, daher bei der irischen Datenschutzbehörde und verlangte von ihr eine Untersuchung. Die Behorde ist zuständig, weil sich viele US-Unternehmen aus Steuergründen in Dublin niedergelassen haben. Als sich diese jedoch weigerte, den ungehemmten Datentransfer von Millionen europäischen Facebook-Nutzern an die USA zu untersuchen und Schrem’s Forderung als „frivol und schikanös“ („frivolous and vexatious“) bezeichnete, ging er gegen die Untätigkeit der Datenschutzbehörde in Irland vor Gericht.

Am 18. Juni entschied nun der irische High Court, dass der Europäische Gerichtshof (EuGH) in dieser Sache entscheiden soll. Der Richter erkannte in seinem Urteil implizit an, dass eine kleine Datenschutzbehörde neben einer Fish-and-Chips-Bude in Dublin kein wirklicher Gegner für Giganten wie Facebook oder Google ist. Daher fragt er den EuGH in seinem Urteil (pdf), ob die Safe Harbor-Regeln mit Artikeln 7 und 8 der Grundrechte-Charta vereinbar sind (Paragraph 71, S. 33) und ob einzelne Datenschutzbehörden entscheiden können, ob Safe Harbor ein „angemessenes Datenschutzniveau“ gewährt (Paragraph 84, S. 36).

Wir haben Max Schrems zu den Einzelheiten des Urteils befragt:

netzpolitik.org: Was sind für dich die wichtigsten Punkte in diesem recht bizarr zu lesenden Urteil? Welche Fragen werden dem EuGH gestellt?

Das Urteil umgeht jede logische Konsequenz, weil auf mehreren Ebenen eigentlich der Fall zurück an die Datenschutzbehörde gehen sollte. Der Richter hat aber das Ding einfach zum EuGH bringen wollen. Was politisch auch durchaus sinnvoll ist.

Der Richter stellt eine sehr weite Frage, die auf die Gültigkeit des „Safe Harbor“ an sich abzielt. Dabei wird gefragt, ob ein Abkommen aus 2000, wegen den faktischen Veränderungen (9/11, Kampf gegen den Terror, NSA, PRISM) und wegen der Einführung der EU-Grundrechtecharta noch gültig sein kann.
Außerdem ist in der Frage verpackt, ob die Irische Behörde trotz einer weiteren Gültigkeit des Safe Harbour, eventuell im Einzelfall anders entscheiden kann. Dafür findet sich aber die Antwort schon in Artikel 3 des Safe Harbour: Das geht.

netzpolitik.org: Du beschwertes Dich auf Twitter, dass die Medien fehlerhaft über das Urteil berichteten. Was war da los?

Am Mittwoch hat Reuters erst falsch berichtet, dass wir „abgewiesen“ wurden und dann haben Journalisten probiert, aus dem Urteil viel rauszulesen das dort einfach nicht steht. Ich glaube, die meisten Journalisten hatten keine Ahnung, dass „Safe Harbor“ die Rechtsgrundlage für den Großteil des EU-US Datenaustausches ist. Wenn da dran gesägt wird, dann ist das viel heftiger als das „Recht auf Vergessen“ und zumindest wirtschaftlich viel heftiger als das Urteil zur Vorratsdatenspeicherung. Da kommt also ordentlich was auf uns zu.

netzpolitik.org: Was ist denn eigentlich die Safe-Harbor-Vereinbarung?

Safe Harbor ist eigentlich eine Entscheidung der EU-Kommission. Generell dürfen Daten nicht aus der EU ins Ausland geschickt werden, weil man dort eben den Datenschutz nicht sicherstellen kann. In den USA gibt es die Möglichkeit, dass sich Unternehmen „selbst verpflichten“, sich an eine verkrüppelte Version des EU-Datenschutzes zu halten. Das sind die „Safe Harbour“-Prinzipien. Dann dürfen diese Unternehmen EU-Daten erhalten, auch wenn es in den USA keinen Datenschutz in unserem Sinne gibt. Die Lösung ist aber stark kritisiert, weil es in der Praxis einfach kein echter Schutz ist.