Der durschnittliche Technikgeek hat selten Anlass, auf das Treiben europäischer und deutscher Gerichte zu achten. Nur sehr selten durchbricht ein Gerichtsprozess unsere Wahrnehmungsschwelle, die vor allem auf „Crispy Content“ und „Dope Tech“ trainiert ist. Höchstens die juristischen Patentkämpfe zwischen Apple und Samsung oder das Kartellverfahren gegen Google haben es in unseren Kreisen zu einer gewissen Berühmtheit geschafft. Anfang Oktober 2015 allerdings erschütterte ein Urteil die IT-Landschaft, dem kaum ein Titel gerecht wird: Paukenschlag? Jahrhunderturteil? Sensation? Egal wie man es beschreiben möchte, es betrifft unser liebstes Hobby um smarte Technik im Kern.

Die Rede ist von dem Urteil des Gerichtshof der Europäischen Union vom 6. Oktober 2015 (Pressemitteilung). Der EuGH (besser wohl als GHEU abgekürzt) ist die oberste Instanz, wenn es um Auslegungsfragen von EU-Recht geht. Immer dann, wenn ein Gericht in Europa unsicher ist, wie EU-Recht zu verstehen ist, fragt es den EuGH. Und auf eine dieser Fragen hat der EuGH nun eine Antwort gegeben, die das Leben jedes Technikfans verändern könnte.

Safe Harbor: Das Ende guter Versprechen

Seinen Anfang nahm das Ganze mit dem österreichischen Studenten Max Schrems. Der fühlte sich unwohl damit, dass Facebook seine Daten nicht nur in Europa, sondern auch beim Mutterkonzern in den USA verarbeitet. Seit den Enthüllungen von Edward Snowden fürchtete Max Schrems um die Geheimhaltung seiner Daten gegenüber amerikanischen Geheimdiensten. Nicht umsonst gilt Facebook schließlich als ausgesprochen beliebtes Ziel des NSA-Abhörprogramms „XKeyscore“. Mit diesen Bedenken wandte er sich an die irische Datenschutzaufsicht und brachte so einen Stein ins Rollen, der nun zu einer kaum absehbaren Lawine geworden ist.

Die irischen Datenschützer zeigten sich von diesen Beschwerden zunächst jedoch eher unbeeindruckt und teilten ihm mit, dass man dort keinerlei Handhabe gegen den Konzern-Datentausch zwischen Irland und USA habe. Anstatt sich seine Bedenken aber überhaupt anzuhören, wies man ihn mit der Begründung ab, seine Kritik sei albern und lästig (wörtlich: „frivolous and vexatious“). Die irische Datenschutzaufsicht stellte sich dabei schlicht auf den Standpunkt, dass die US-Zentrale von Facebook nach Safe Harbor zertifizert sei und wer nach Safe Harbor zertifiziert sei, der habe einen datenschutzrechtlichen Heiligenschein. Safe Harbor selbst ist nichts anderes als eine Ansammlung von Selbstverpflichtungen, die – sofern sich ein US-Unternehmen diesen unterwirft – zur Folge haben, dass die Weitergabe von Daten in die USA zulässig ist; Gewissermaßen das Datenschutz-Äquivalent zum Bio-Gütesiegel.

Max Schrems allerdings hielt von diesen Safe Harbor Grundsätzen nicht viel und beschwerte sich über die Untätigkeit der irischen Datenschützer bei einem irischen Gericht. Die irischen Richter hörten sich daraufhin an, welche Rechtfertigungen die irische Aufsichtsbehörde für ihre Untätigkeit vortrug, fanden die Ausführungen aber wenig überzeugend. Weil es dabei aber auch um eine bisher ungeklärte Frage um die Auslegung von EU-Recht ging, fragten sie beim bereits genannten EuGH nach. Die Richter wollten wissen, ob es wirklich sein könne, dass eine Datenschutzbehörde völlig untätig bleibt, weil ein Unternehmen sich den Safe Harbor Grundsätzen verpflichtet.

Der EuGH nahm sich der Sache also an und fällte das seitdem als „Safe Harbor Urteil“ bekannte Grundsatzurteil. Er beantwortete aber nicht nur die vorgelegte Frage des irischen Gerichts, sondern nahm den Fall zum Anlass, um sich einmal ganz grundsätzlich über den Datenschutz außerhalb Europas zu äußern. Und dabei ließ der EuGH eine wahre Bombe platzen.

Zuvor muss man bei dieser Gelegenheit aber mit dem Irrglauben aufräumen, das Ganze hätte besonders viel mit Facebook zu tun. Klar, Ausgangsfall war eine Beschwerde von Max Schrems über Facebook, aber der hätte sich auch genauso gegen die Datenweitergabe von Dropbox, Apple oder Twitter wenden können. Alle diese Konzerne haben Unternehmen in Deutschland, Irland oder sonstigen Teilen Europas und senden Daten an ihre US-Mutterunternehmen. Der EuGH hat weder darüber geurteilt, ob Facebook die Daten seiner Nutzer besonders gut oder schlecht schützt, ob die dortigen Privatssphäre-Einstellungen ausreichen oder ob Facebooks Nutzertracking zulässig ist. All diese Fragen sind zwar aktuell ebenfalls in Deutschland, Belgien und andernorts vor Gericht, aber mit dem Safe Harbor Urteil haben sie wenig zu tun. Stattdessen geht das Safe-Harbor-Urteil sogar deutlich darüber hinaus.

Was hat Safe Harbor mit deinem Smartphone zu tun?

Das Safe-Harbor-Urteil hat nicht weniger zur Folge, als dass über Nacht jede Datenübermittlung in die USA zum No Go erklärt wurde. Und damit wären wir auch direkt bei mir, dir und unseren Smartphones: Jede App, jedes Betriebssystem, jeder Dienst, den wir nutzen, sendet unentwegt Daten an US-Server, US-Unternehmen und US-Diensteanbieter. Würde man alle Apps, Funktionen und Techniken in einem Smartphone deaktiveren, die auf einen Datentransfer in die USA angewiesen sind, würde von dem „Smart-“ im Smartphone nicht viel übrig bleiben! Genau das ist aktuell aber – jedenfalls wenn man das Urteil des EuGH liest – ein sehr reales Szenario. Das Kernargument der dortigen Richter war dabei, dass allein die Existenz von Gesetzen,

die es den Behörden gestatten, generell auf den Inhalt elektronischer Kommunikation zuzugreifen, den Wesensgehalt des Grundrechts auf Achtung des Privatlebens verletzt.

– Randziffer 94 des Urteils

Nun gibt es mit Blick auf alles, was seit 2013 über die Tätigkeit der NSA bekannt ist, kaum jemanden, der nicht eins und eins zusammenzählt. In unerhörter Deutlichkeit hat der EuGH damit im Grunde sogar in Frage gestellt, ob die USA überhaupt als Rechtsstaat zu bezeichnen sind. Das Ende vom Lied ist nun, dass jedenfalls die Safe Harbor Grundsätze ungültig sind. Alle Unternehmen, die sich bisher auf Safe Harbor verlassen haben, um die Daten aus unseren Smartphones in den USA verarbeiten zu dürfen, müssen sich nun nach Alternativen umschauen. Die Liste von Unternehmen, die bisher auf die Safe Harbor Grundsätze gesetzt haben, liest sich im Übrigen wie ein Whoiswho der Technikszene: Google, Microsoft und AMD sind genauso dabei wie Apple, Motorola oder Sony America (recherchieren könnt ihr das hier). Mit dem Wegfall von Safe Harbor müssen all diese Unternehmen auf andere rechtliche Konstruktionen ausweichen, um die Verarbeitung unserer Daten in den USA zu ermöglichen.

Aber nicht bloß diese großen Unternehmen, stehen jetzt auf dem Schlauch. Jeder Entwickler, der die Google Maps API einbindet, jeder Webseitenbetreiber, der amerikanische Werbe-Tracking-Dienste nutzt und jedes Unternehmen, das eine App für seinen Kunden anbietet, muss jetzt überlegen, auf welcher Grundlage deine und meine Daten noch über den Atlantik geschickt werden dürfen. Der EuGH hat damit in einem Handstreich quasi die transatlantische Datenader gekappt, die europäische Kunden und US-amerikanische Dienste verbunden und gegenseitig am Leben erhalten hat.

Natürlich versuchen jetzt viele Unternehmen auf andere rechtliche Konstuktionen auszuweichen. Die einen schreiben vielleicht neue Klauseln in ihre Nutzungsbedingungen hinein, in denen sie sich das Recht einräumen lassen, unsere Daten auch unter ständiger Zugriffsgefahr der NSA verarbeiten zu dürfen. Die anderen versuchen, sich direkt eine Einwillung einzuholen, mit der man sich absegnen lässt, dass wir Nutzer damit einverstanden wären, dass unsere Daten in den USA jederzeit anlasslos durchleuchtet werden. Das Problem an all diesen Ausweichlösungen: Kein Vertrag, keine Einwilligung und kein sonstiges Konstrukt ändert etwas daran, dass allein die Existenz der US-Zugriffsrechte ein Verstoß gegen wesentliche europäische Grundrechte darstellt. Dementsprechend steht aus Sicht vieler deutscher und europäischer Datenschutzbehörden aktuell so ziemlich alles auf dem Prüfstand, was als Alternative für Safe Harbor herhalten könnte. So sehr die Juristen derzeit ihre Kreativität bemühen, so sehr liegt das Problem eben nicht in der gekonnten Formulierung neuer Nutzungsbedingungen oder Einwilligungserklärungen. Das Problem liegt in den USA. Solange dort Gesetze exisiteren, die eine vom EuGH so kritisierte Massenüberwachung ermöglichen, solange muss jede Datenverarbeitung bei US-Unternehmen oder -Konzernmüttern als Verletzung wesentlicher europäischer Grundwerte angesehen werden.

Kollission der Grundwerte oder: Zurück in die Steinzeit?

Müssen wir also demnächst alle unsere Twitteraccounts löschen, unsere Smartphones abschalten und stattdessen Siemens-Handy, meinVZ und Threema nutzen? Das hängt davon ab, wie ernst es uns Europäern mit unseren Grundwerten ist. Es kollidieren erstmal in aller Deutlichkeit zwei Wertesysteme, die aktuell unvereinbar scheinen. Unser Wertesystem schließt, so der EuGH, eine anlasslose Überwachung kategorisch aus, während die USA sie bisher noch dulden. Solange sich die amerikanische Gesetzeslage nicht ändert, macht es allein die Existenz entsprechender Geheimdienstbefugnisse fast unmöglich, in einem solchen Land Daten verarbeiten zu lassen.

So bleibt deutschen und europäischen Unternehmen derzeit tatsächlich wenig anderes übrig, als ihre Leistungen in Zukunft ohne Einbeziehung von US-Servern, US-Schnittstellen, US-Clouddiensten oder US-Apps anzubieten. Was aktuell fast wie Wahnsinn erscheint, ist dabei im Grunde aber nichts Neues. Waffenexporte in Kriegsländer? Ausbeutung von Sklavenarbeitern in Asien? Import bedrohter Tierarten? Alle diese – teilweise sehr lukrativen – Geschäftszweige bleiben deutschen Unternehmen verwehrt. Und trotdem haben wir Kunden uns doch längst daran gewöhnt, dass man im Supermarkt nun einmal kein Tigerfleisch kaufen kann. Tierschutz, Umweltschutz oder Arbeitsschutz sind allesamt die Folge von europäischen Grundwerten wie Freiheit, Gleichheit und Schutz der Natur. Warum sollte dies bei den Grundrechten auf Privatheit und Datenschutz anders sein, die genauso in unserer Grundrechtecharta verbrieft sind, wie das Verbot der Sklaverei?

Ob es wirklich so weit kommt, dass man im Goolge Play Store bald keine Apps deutscher Anbieter herunterladen kann, Shopbetreiber auf PayPal verzichten oder Appentwickler ohne iCloud Synchronisation programmieren, wird man sehen. Vielleicht ändern die Vereinigten Staaten ihre Richtung und beschränken ihre vielen Überwachungs- und Kontrollprogramme. Vielleicht müssen deutsche Unternehmen in Zukunft tatsächlich umdenken und eigene Alternativen zu Dropbox, Office 365 oder Android Pay entwickeln. Vielleicht speichern und verarbeiten Viele ihre Daten in Zukunft schlicht lieber in Europa.

Egal, was in den nächsten Monaten geschieht: Das Schlimmste, was passieren kann, ist dass wir unsere europäischen Grundrechte über den Haufen werfen und Kernbegriffe unseres Rechtsstaats vergessen. Das Safe Harbor Urteil mag uns Smartphone-Nutzern einige der gewohnten Funktionen oder Dienste kosten, ja. Aber die Grundprinzipien unserer Gesellschaft sind nun einmal nicht ohne klare Grenzen zu haben. Und diese Grenzen hat der EuGH hinsichtlich Datenschutz und Privatheit nun in unmissverständlich deutlichen Worten aufgezeigt.

See you in the comments!