Vor sieben Jahren hat Max Schrems beim irischen Data Protection Commissioner auf die Bearbeitung seiner Beschwerde gegen die Weitergabe von personenbezogenen Daten von Facebook Irland zur Mutterfirma Facebook USA beharrt und beklagt.

Sieben Jahre (!) später, nachdem Facebook und Max Schrems selbst einige Millionen Euro (!) in die rechtliche Wahrnehmung der jeweiligen Standpunkte gesteckt hatten, ist sein Anliegen immer noch nicht vollständig bearbeitet (!). Eine von ihm 2014 eingebrachte Sammelklage, der sich 25.000 Personen (!) angeschlossen hatten, wurde 2018 in Österreich nicht zugelassen (!).

Es ist erstaunlich und nicht akzeptabel, wie schwer sich das Datenschutzrecht umsetzen lässt und wie virtuos und beharrlich Max Schrems auf diesem toten Pferd reitet. Ein Plädoyer für die digitale Souveränität Europas.

Der unerledigte Fall Schrems⌗

Schrems wartet immer noch auf sein Recht: Genau wie vor sieben Jahren leitet Facebook personenbezogene Daten in die USA weiter!

Auf dem Weg dahin wurde allerdings schon zum zweiten Mal (Urteil über Safe Harbour) ein Abkommen der EU mit den USA gekippt, das den einfachen und sicheren Datenaustausch zwischen der EU und den USA gewährleisten soll – genau aber darin kläglich versagt hat und grundlegenden rechtlichen Anforderungen nicht entsprochen hat.

Die Entscheidung des EUGH vom 16.07.2020 (Pressemitteilung), das US-Privacyshield zu kippen, ist ein kleines Lebenszeichen des Datenschutzrechts. Sie stellt sicher, dass die Rechtsrealität des Datenschutzes sich nicht vollkommen vom Leben der Menschen entfernt, dass das Datenschutzrecht sich nicht vollkommen in die eigene Bedeutungslosigkeit manövriert.

Das Problem⌗

Für jeden halbwegs aufrechten Menschen ist klar, dass

• die staatlich organisierte Weitergabe personenbezogener Daten
• zur hochtechnologisierten automatisierten Auswertung
• ohne jede Nachvollziehbarkeit oder rechtliche Überprüfbarkeit

in den USA nichts, aber schon gar nichts, mit dem demokratisch motivierten Schutz personenbezogener Daten oder gar einer informationellen Selbstbestimmung zu tun hat, wie sie in Europa propagiert wird.

Jeder*m halbwegs Interessierten war auch klar, dass

• das US-Privacyshield gegenüber dem vorhergehenden und als rechtswidrig abgekündigtem Safe Harbour keine wirkliche Verbesserung brachte,
• dass bereits die Zusagen der Obama Regierung schwach waren und die Administration Trump diese nicht wirklich gestärkt hat
• dass die nachlässige Bestellung des Ombudsmanns, der sich in den USA um die Durchsetzung des Datenschutzes kümmern sollte, sowie
• die mangelnde rechtliche Durchsetzbarkeit

allen Grundsätzen und Standards des Datenschutzes in Europa Hohn sprach.

Reine politische Heuchelei⌗

In den USA herrscht dank Snowden wenigstens Klarheit über die Zustände und den Status des Datenschutzes.

Man könnte sogar von einer pragmatischen Ehrlichkeit sprechen: Aus Sicht der USA ist dies stimmig, ihr Verständnis von «Private Data» als direkt zuordenbaren Datensätzen wie Namen, Adresse, Telefonummer, Sozialversicherungsnummer, et cetera, unterscheidet sich konzeptionell klar von dem umfassenden der «personenbezogenen Daten» in Europa, zu dem jeder digitale Abdruck oder Schatten gehört.

Diese «Ultra-Weitwinkel»-Optik, den der weite und fast unendliche Begriff von personenbezogenen Daten in Europa aufzieht, er lässt sich in der von US-Firmen dominierten digitalen Realität nicht mehr richtig scharf stellen, erst recht nicht von den zuständigen europäischen Behörden und den zuständigen Politiker*innen, denen jede Bodenhaftung hinsichtlich Rechtsprinzipien und digitaler Ökonomie vollständig zu fehlen scheint.

In Europa dominiert statt dessen Heuchelei:

Niemand konnte ernsthaft dran glauben, dass das US-Privacyshield Bestand haben kann und auch nur halbwegs auf Augenhöhe des mit der DSGVO propagierten Anspruchs an den Schutz personenbezogener Daten und deren Durchsetzbarkeit stand.

Da die USA nur US-Bürgern Datenschutzrechte zugestehen, wusste eigentlich jeder, derdie es wissen wollte, dass die Durchsetzung eines konkreten Datenschutzanliegens eines Betroffenen aus Europa in den USA von vornherein zum Scheitern verurteilt ist.

Viele europäische Staaten greifen dabei selbst hart am Rand der Legalität auf personenbezogene Daten zu, alleine in Deutschland sind drei verschiedene Staatstrojaner im Einsatz. Auch in Europa wird also von den Staaten auf personenbezogene Daten bei – teilweise eingeschränkter – demokratischer Transparenz zugegriffen.

Anstatt sich als EU selbst um die Rechtsdurchsetzung und eine einheitliche europaweite Gestaltung der rechtlichen Grundlagen staatlichen Zugriffs zu kümmern, wurde aber – wohl aus falsch motivierten diplomatischen oder wirtschaftlichen Motiven – ein US-Privacyshield als Feigenblatt vor die DSGVO gehalten. Und das, nachdem die Vorgängerregulierung «Safe-Harbour» aus ähnlichen Gründen schon aus praktisch den gleichen Gründen aufgehoben worden war.

Die EU-Kommission sollte europäischen Datenschutz endlich ernst nehmen.

Ein Feigenblatt, das der EuGH nun erneut entfernt hat: Wir sehen erneut und ohne US-Filter klar die in der DGSVO verkörperten europäischen Ideen bezüglich des Datenschutzes als Menschenrecht. Die EU-Kommission und die europäische Politik sollte diese endlich ernst nehmen. Es ist schön, dass sich Max Schrems um die Durchsetzung kümmert, es wäre aber die Aufgabe europäischer Politiker, es gar nicht erst so weit kommen zu lassen. Es ist ein massives Versagen von Politiker*innen, die stur glauben, einseitig die Industrie schützen zu müssen.

Die europäische digitale Souveränität Realität werden lassen⌗

Wir sollten diese europäischen Konzepte endlich umsetzen, und so

• eine digitale europäische Souveräntität Realität werden lassen
• Menschen vor unkontrollierter Überwachung schützen
• europäische wirtschaftliche Eigenständigkeit entwickeln

Den Heldenstatus hat Max Schrems mehr als verdient: Die USA sind durch ihn unter Zugzwang.

Der eigentliche «Schurke» sind hier aber nicht die USA, sondern das komplette Versagen europäischer digitaler Politik. Sie sollte endlich aufwachen und das digitale Recht und den dazugehörigen Datenschutz zum Leben erwecken, zu Gunsten aller europäischen Bürger und Unternehmen.

Die so entstandene Rechtsunsicherheit ist eines Rechtsstaates nicht würdig. Bis zu einer Neuregelung müssen nun betroffene Unternehmer selbst auf Standard-Schutzklauseln setzen.

Betroffene Unternehmen müssen nun auf Standard-Schutzklauseln setzen, um weiterhin rechtskonform Daten mit den USA auszutauschen.

Dass man, Stand heute (16.07.2020) Daten rechtskonform aus der EU in die Schweiz und von dort dank Schweizer US-Privacyshield in die USA «verklappen» kann, sei nur als Anekdote am Rande vermerkt. Die Schweiz wird hier vermutlich nachziehen und ihr Privacyshield auch erneuern.

Der Kontrast zwischen unserer hochdigitalisierten hochfunktionellen Gesellschaft und dem klapprigen Rechtssystem könnte aber nicht grösser ausfallen.

Es ist höchste Zeit, das Recht als Instrument zu begreifen, digitale europäische Souveränität zu erlangen und auf eigenen digitalen Füssen laufen zu lernen.