Die Rechtsabteilungen der großen Online-Firmen wie Google, Faceboook oder Microsoft dürften nun ordentlich zu tun haben: Sie können sich nicht mehr auf die "Safe Harbor"-Vereinbarung aus dem Jahr 2000 verlassen, sondern müssen im Grunde für jeden einzelnen EU-Staat prüfen, wie sie die dort geltenden Datenschutzrichtlinien umsetzen und trotzdem den Bürgerinnen und Bürgern dieser Staaten ihre Dienste anbieten können.
Datencenter in der EU könnten Alternative sein
Experten schließen nicht aus, dass gerade die großen Konzerne eigene Datencenter in Europa aufbauen, nach hier geltendem Recht und unabhängig von den Rechenzentren in den USA. Die enorme Bürokratie, die auf die Firmen zukommt, wird für die großen der Branche leichter zu stemmen sein als für kleine und Startup-Unternehmen. In der Praxis dürfte das bedeuten, dass gerade die großen US-Firmen uns Nutzern demnächst seitenlange Texte mit Kleingedrucktem zum Abnicken per Mausklick vorlegen.
Klar ist: Die amerikanischen Datenschutz-Standards sind den europäischen Richtern zu niedrig: Die USA gewährleisten kein, wie es heißt "angemessenes Schutzniveau" für die Daten, begründen die Richter ihre Entscheidung. Das spiegelt natürlich auch die Enthüllungen von Edward Snowden, der ja mit internen NSA-Dokumenten belegt hatte, in welchem Umfang die amerikanischen Geheimdienste auf die Daten der großen Online-Konzerne zugreifen.
Neues Abkommen soll Daten vor US-Geheimdiensten schützen
Helfen könnte ein neues Abkommen, das "Safe Harbor" ersetzen würde, aber eben auch den Schutz der Daten europäischer Bürger vor den amerikanischen Geheimdiensten sichert. So ein "Update" ist schon in Arbeit, seit zwei Jahren verhandelt die EU-Kommission darüber mit Washington. Es muss nun aber im Lichte der Entscheidung des Europäischen Gerichtshofs sicher noch mal deutlich angepasst werden. Und schon die erste Vereinbarung vor 15 Jahren kam erst nach zähen Verhandlungen zu Stande.
Auch für deutsche Unternehmen ist das Urteil eine Herausforderung: Denn sie setzen oft Dienstleister aus den USA ein, um zum Beispiel E-Mails oder Unternehmensdaten in der Cloud, also in Rechenzentren, zu speichern. Ein Vertreter des Bundesverbands der Deutschen Industrie forderte deshalb den schnellen Abschluss eines neuen Datenschutzabkommens zwischen der EU und den USA. Washington und Brüssel müssten das "Vertrauen in die digitale Welt" stärken, heißt es da.
Solange es kein neues Abkommen gibt, sind die einzelnen EU-Staaten in der Pflicht. Nach Ansicht des EuGH können Betroffene die Gerichte ihres Landes anrufen und nationale Datenschutzbehörde können - und müssen - prüfen, ob die Daten der Bürgerinnen und Bürger entsprechend geschützt sind. So kam der Fall in Brüssel ja überhaupt erst ins Rollen: Weil sich ein Österreicher bei der Behörde in Irland beschwert hatte, dass Facebook seine Daten aus dem irischen Rechenzentrum in die USA kopiert hatte.
