Das ging jetzt schnell: Die EU-Kommission und die US-Regierung sollen sich in wesentlichen Punkten einig sein, auf welcher rechtlichen Grundlage Unternehmen in den USA künftig Daten von EU-Bürger:innen verarbeiten dürfen. Dabei hieß es bis vor kurzem noch aus EU-Kreisen, dass ein Ergebnis nicht in Sicht sei. Tatsächlich stehen die Details noch gar nicht fest, aber es gibt zumindest eine politische Einigung, heißt es in einer gemeinsamen Erklärung von Kommissionspräsidentin von der Leyen und US-Präsident Biden.
Wer das Statement zum Trans-Atlantic Data Privacy Framework liest, erlebt unweigerlich einen „Und täglich grüßt das Murmeltier“-Moment. Wieder versprechen die USA, die Massenüberwachung durch ihre Geheimdienste einzuschränken. Wieder kündigen sie an, einen wirksamen Beschwerdemechanismus für EU-Bürger:innen einzurichten. Und wieder wird es in den USA weder Gesetzesänderungen noch einen bindenden Vertrag mit der Europäischen Union geben.
Mehr scheint politisch in den USA nicht durchsetzbar – EU-Bürger:innen könnten sonst womöglich besser geschützt sein als die eigene Bevölkerung. Deshalb will Biden die Maßnahmen mit einer Executive Order umsetzen, also mit einem präsidialen Dekret, das sehr leicht wieder kassiert werden kann.
Zuletzt hatte nicht nur die US-Seite erheblichen Druck ausgeübt, sondern auch europäische Unternehmen und Industrieverbände, die unter anderem von den US-Cloud-Dienstleistern abhängig sind. Dass es seit bald zwei Jahren keine solide Rechtsgrundlage für den transatlantischen Datenverkehr gibt, bedeutet für alle Beteiligten erhebliche Rechtsunsicherheit.
Spätestens seitdem europäische Datenschutzbehörden kürzlich angefangen haben, den Einsatz von weit verbreiteten Diensten wie Google Analytics aufgrund der fehlenden Rechtsgrundlage zu untersagen, wächst der Druck. Inzwischen ist er offenbar so groß, dass sich die EU erneut auf einen Deal einlassen könnte, der einer gerichtlichen Prüfung wieder nicht standhalten wird.
Nicht mit EU-Recht in Einklang zu bringen
Zur Erinnerung: Damit Unternehmen Daten von EU-Bürger:innen unkompliziert in die USA ausführen können, braucht es eine Entscheidung der EU, dass das Datenschutzniveau im Zielland dem europäischen Standard entspricht. Eine solche Angemessenheitsentscheidung gibt es etwa für Japan und Großbritannien, auch für die USA gab es sie schon zwei mal. Doch der europäische Gerichtshof hat sie nach Klagen des Aktivisten Max Schrems beide Male kassiert und dabei eigentlich eine deutliche Sprache gesprochen: Rechtslage und Überwachungspraxis in den USA sind nicht mit dem europäischen Datenschutz in Einklang zu bringen.
Schließlich weiß die Weltöffentlichkeit seit den Snowden-Enthüllungen nicht nur, dass US-Gesetze wie der Patriot Act und der Foreign Intelligence Surveillance Act Geheimdiensten weitgehenden Zugriff auf die Daten von Ausländer:innen gestatten, sondern auch, dass sie von diesen Möglichkeiten in erheblichem Maße Gebrauch machen. Diese Tatsache wollten die USA abmildern, indem sie den Europäern Privacy-Versprechen mit den wohlklingenden Namen „Safe Harbor“ und „Privacy Shield“ machten. Unternehmen konnten sich selbst zertifizieren, wenn sie versprechen, nach den Regeln zu spielen.
Das Safe-Harbor-Arrangement überdauerte immerhin von 2000 bis 2015, das Privacy Shield hielt nur von 2016 bis 2020. Insbesondere dessen Scheitern war eine rechtspolitische Blamage epischen Ausmaßes. Und zwar mit Ansage. Aktivist:innen, Rechtswissenschaftler:innen und Datenschutzbehörden hatten wiederholt darauf hingewiesen, dass es lediglich Safe Harbor in neuem Anstrich ist und die Zusicherungen der US-Regierung nicht ausreichen, um die Anforderungen des EuGH zu erfüllen.
Gefangen im Daten-Dilemma
Die EU-Kommission droht unter dem Druck nun offenbar, den gleichen Fehler wie 2016 zu machen. Zwar verspricht die US-Seite dieses Mal ernsthaftere Bemühungen beim Datenschutz für EU-Bürger:innen. Doch solange es nur um Versprechen oder eine präsidiale Anordnung geht und nicht um verbindliche Verträge oder Gesetze, sind sie das Papier nicht wert, auf dem sie stehen. Fraglich bleibt auch, wie der angekündigte Mechanismus aussehen soll, mit dem EU-Bürger:innen ihre Rechte gegenüber US-Geheimdiensten aussehen soll.
Dass die USA nicht bereit sind, diese an die Leine zu nehmen, bringt die EU-Kommission in ein echtes Dilemma. Denn obwohl die Europäische Union einer der wertvollsten Datenmärkte der Welt ist, kann sie ihre eigenen Regeln nicht durchsetzen. Zu groß ist die Abhängigkeit von der digitalen Service-Infrastruktur aus Übersee. Die EU muss sich entscheiden zwischen Werten und Wertschöpfung, das Ergebnis scheint ausgemacht. Max Schrems jedenfalls hat bereits angekündigt, im Zweifelsfall ein weiteres Mal zu klagen.
So rächt es sich einmal mehr, dass die Europäische Union in den letzten Jahren so wenig getan hat, um europäische Alternativen zu fördern. Digitale Dienste aus den USA zu regulieren, wie es mit dem Digital Services Act und dem Digital Markets Act derzeit passiert, ist richtig. Wichtig um nicht mehr der Willkür der USA ausgesetzt zu sein, wäre es jedoch auch, selbst Infrastrukturen aufzubauen. Wenn Europa hierbei von Beginn auf Open Source und Geschäftsmodelle jenseits des Überwachungskapitalismus legt, wäre das zur Abwechslung mal ein politisches Projekt von epischem Ausmaß.
Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.
0 Commentaires