"Hier geht es darum, dass die Daten aus Europa nicht in ein Land kommen dürfen, wo - seit Snowden wissen wir es - das Schutzniveau für diese Daten deutlich schlechter gestellt ist", sagte Hansen. Sie wies auf ein Gutachten des Generalanwalts Yves Bot hin, wonach die die Informationen in den USA nicht ausreichend vor dem Zugriff der Geheimdienste geschützt seien. Seiner Einschätzung nach ist deshalb die Entscheidung der EU-Kommission aus dem Jahr 2000, mit der das Datenschutz-Niveau der USA als ausreichend eingestuft wurde, ungültig.

Der EuGH ist an Rechtsgutachten nicht gebunden - folgt ihnen aber in den meisten Fällen. Schließt sich das Gericht dem Gutachten an, wäre das Geschäft Tausender US-Unternehmen in Europa massiv betroffen. Ein Urteil in diese Richtung würde das "Safe Harbor"-Abkommen, das die Datenweiterleitung in die USA zulässt, ins Wanken bringen. Hansen betonte, das Gericht könne nach diesem Gutachten nicht einfach alles so lassen, wie es ist. Aber schon aus technischer Sicht sei es nicht möglich, den Datenverkehr von heute auf morgen zu beenden. "Ich kann mir vorstellen, dass man Übergangsfristen diskutiert."

Hintergrund des Verfahrens ist die Anfrage eines irischen Gerichts, das vom EuGH wissen will, ob die nationalen Behörden das Datenschutzniveau in den USA auch selbst prüfen können oder müssen - oder ob sie an das "Safe Harbor"-Prinzip gebunden sind. Im konkreten Fall geht es um eine Klage des Österreichers Max Schrems, der seine Facebook-Daten in den USA nicht vor staatlicher Überwachung geschützt sieht.

Thielko Grieß: Das Urteil zu Safe Harbor beim Europäischen Gerichtshof wird heute Vormittag erwartet. Über die mögliche Tragweite habe ich vor kurzem ein Interview mit Marit Hansen aufgezeichnet. Sie ist die oberste Datenschützerin in Schleswig-Holstein. Meine erste Frage an Marit Hansen war, weil sie heute auch nach Luxemburg reist, ob sie eine Sektflasche im Koffer hat, um eine Niederlage für Facebook, Amazon und andere zu feiern?

Marit Hansen: Ich feiere eigentlich keine Niederlagen von irgendwelchen Firmen, sondern es geht mir um den Datenschutz. Aber tatsächlich glaube ich, es könnte ein interessanter Tag werden und ein Fortschritt werden für den Datenschutz, wenn nämlich ein bisschen mehr Klarheit in die Debatte kommt. Hier geht es darum, dass die Daten aus Europa nicht in ein Land kommen dürfen, wo - seit Snowden wissen wir es - das Schutzniveau für diese Daten deutlich schlechter gestellt ist.

Grieß: Betroffen wären ja etwa 4.400 Unternehmen, die sich haben eintragen lassen in diesem Register in den USA. Wie umstürzend wäre das denn, wenn der EuGH heute sagen würde, nun ist Schluss?

Hansen: Wenn tatsächlich von heute auf morgen gesagt würde, ab dem nächsten Tag darf keine Datenübermittlung mehr in die USA stattfinden, dann wären, glaube ich, sehr viele Firmen vor den Kopf gestoßen, und ich denke auch, das würde praktisch gar nicht funktionieren, weil ein Eingriff in diese Technik, wo Daten automatisch verschickt werden, so schnell von allen vermutlich gar nicht geleistet werden kann.

Grieß: Und dann wäre Facebook eine weiße Seite?

Hansen: Falls man wirklich durchsetzen würde, dass eine Datenübertragung hier nicht mehr stattfindet, dann wäre eine ganze Menge bei Facebook anders. Eine weiße Seite muss es nicht sein. Man könnte nämlich ja auch vorausschauend, seit man diesen Schlussantrag kennt, schon mal Maßnahmen ergriffen haben, dass die Daten tatsächlich in der EU verbleiben können. Das heißt, man könnte vielleicht nicht jede Funktionalität nutzen, oder einige Dinge wären dann weniger im internationalen Kontext, also weltweit überspannend zugreifbar. Das könnte eventuell am Anfang sein. Man kann aber sehr wohl die Technik so bauen, dass das für alle Beteiligten gar nicht merkbar ist und dass die Daten trotzdem in Europa verbleiben. Dass man das nicht gemacht hat - davon gehe ich aus, weil das Urteil ja noch nicht steht -, das zeigt eher, wie die Firmen darauf vertrauen, dass so hart das Urteil nicht ausfallen wird.

Grieß: Aber das ist nicht Ihre Erwartung oder zumindest Ihr Wunsch. Das habe ich jetzt rausgehört. Aber wir müssen trotzdem auch die andere Möglichkeit berücksichtigen. Was wäre denn, wenn alles so bliebe und die Unternehmen mit ihrer Position beim Gericht durchkommen?

Hansen: Ich kann mir wirklich nicht vorstellen, dass alles bleibt, denn es ist ja nun was gesagt worden. Und ein Jurist, ein hochdotierter Jurist hat festgestellt, es gibt hier Anhaltspunkte für massive Datenschutzverstöße. Das ist ja eine Aussage, die wir seit Snowden gar nicht so oft hören und schon gar nicht von den offiziellen Stellen. Mindestens hier muss, glaube ich, sich in der Verhandlung was ändern, und der Schlussantrag des Generalanwalts hat damit klargemacht, die Verhandlungsposition der EU, der Europäischen Union, die ist jetzt verbessert. Ich kann mir schon vorstellen, dass man Übergangsfristen diskutiert, oder dass man hier noch ein kleines Wenn und da ein kleines Aber einbaut. Aber es ist schon dadurch, dass dieser Antrag veröffentlicht wurde, so massiv ein Argument in die Welt gesetzt worden, das kann man nicht mehr ignorieren.

Grieß: Aber, Frau Hansen, schauen wir auf das Gebaren von europäischen Geheimdiensten. Wir haben einiges erfahren über die französischen Geheimdienste, über die britischen Geheimdienste, manches auch über die deutschen. Wir können doch aber auch den US-Bürgern zum Beispiel gar nicht zusichern, oder auch den europäischen Bürgern nicht, dass ihre Daten hier in Europa in einem Safe Harbor, in einem sicheren Hafen landen.

Hansen: Genau. Ich sehe das sehr kritisch, dass nämlich auch die europäischen einzelnen Länder sogar gegeneinander spionieren, und zwar, wenn das auf Staatschef-Ebene wäre - da erwarte ich das fast -, da geht es um Geheimnisse.

Grieß: Sie meinen die ausgeforschten Handys?

Hansen: Ja genau, ausgeforschte, ausgelesene Handys. Das hat mich nicht sehr überrascht. Ich denke schon, dass die Staatschefs - und dazu gehört ja nun auch Frau Merkel -, dass da eine gewisse Motivation steht, dort zuzugreifen, genau dann, wenn ihre Technik, die sie einsetzen, nicht sicher genug ist, oder sie auch ignorieren, dass sie die sicherere Technik hätten verwenden können, das überrascht nicht. Aber dass Normalbürger und massenhaft auch von den europäischen einzelnen Ländern mit überwacht werden, das gefällt mir nicht. Insbesondere gefällt mir nicht, dass das so wenig kontrolliert wird, dass da gar nicht so richtig Methoden, Checks and Balances bestehen, bei denen man feststellen kann, was ist wirklich passiert, zu welchen Entschlüssen ist ein Geheimdienst gekommen, was resultierte daraus, wo ist der Schutz, kann wirklich jemand in ein Geheimgefängnis geschickt werden. So was darf in Europa nicht passieren.

Grieß: Und jetzt mal ganz kompakt gefragt. Was für eine Art von Hafenwärter braucht denn dieser Safe Harbor in Europa? Was fehlt uns noch?

Hansen: In Europa haben wir eine bessere Voraussetzung für diesen Safe Harbor (jetzt darf man diese Begriffe ja nicht so durcheinandermischen), für eine grundrechtsfreundliche, menschenrechtsfreundliche Situation, also irgendeine Schutzmöglichkeit, und zwar deswegen, weil wir die europäische Charta für Menschenrechte haben. Menschenrechte sind mehr als Bürgerrechte, nämlich Mensch ist jeder. Auch ein Flüchtling, auch ein Amerikaner ist in der Europäischen Union ein Mensch und hat Rechte. Dazu gehören auch insbesondere solche Datenschutzrechte. In den USA gibt es auch eine Constitution, also eine Verfassung, und dort geht man aber großenteils von den Juristen aus, dass das für US-Bürger gilt und für keine anderen. Aber in Europa die Grundvoraussetzung ist, dass wir Menschenrechte haben, und jetzt muss man die allerdings durchsetzen. Es gibt dafür auch einen eigenen Gerichtshof, aber bis da Entscheidungen getroffen werden, das dauert Jahre bis Jahrzehnte, und das bedeutet, wir haben da eine große Lücke zwischen dem, was da im Recht vorhanden ist und was ich auch gerne weiter einfordern werde, und dem, wie es gelebt wird.

Die Geheimdienste fliegen hier unter dem Radar und das muss auch national, aber auch EU-weit durch bessere Kontrollen verbessert werden. Das heißt, erst dann haben wir eine gute Situation.

Grieß: Und das ist die Frage. Wie lässt sich denn so etwas kontrollieren, ob die Daten sicher sind? Wir haben ja jetzt zwei verschiedene Ebenen: einerseits vor dem Zugriff und dem Weiterverwenden von kommerziellen Unternehmen, andererseits von Geheimdiensten.

Hansen: Jede Kontrolle von Daten, die schon mal vorhanden sind, ist schwieriger als etwas, wenn gar keine Daten anfallen. Deswegen wäre die erste Frage, wie viel Klartextdaten sind wirklich erforderlich, oder reicht es nicht aus, dass man sehr viel mehr mit Verschlüsselung arbeitet und solcher Verschlüsselung, die nicht gleich rückabwickelbar ist, dass nicht ein Geheimdienst da mit einem Knopfdruck alles wieder sichtbar macht im Klartext. Das heißt, ich plädiere hier auch ganz groß für Verschlüsselung, was Nutzer ja immer mehr auch machen können und wo ich auch in letzter Zeit ein paar Fortschritte gesehen habe.

Dennoch reicht das natürlich nicht und ganz viele Dinge müssen im Klartext irgendwo vorhanden sein. Das bedeutet als nächsten Schritt, wie können denn diese Zugriffe besser kontrolliert werden in den Firmen und auch in Polizei bis hin zu Geheimdiensten.

Grieß: Genau das war ja auch meine Frage.

Hansen: Hier gibt es die Datenschutzbeauftragten, die kaum hinterherkommen mit der Abarbeitung der Beschwerden, wo jemand gemerkt hat, da ist was schiefgegangen. Die meisten Probleme sind aber doch in dem Bereich, wo man noch nicht mal merkt, dass man überwacht wird, und da braucht man anlasslose Kontrollen. Das heißt wirklich Personen, Menschen, die hingehen in ein Unternehmen, oder zur Polizei, oder auch bis hin zum Geheimdienst und dort erst mal herausfinden, welche Daten werden da verarbeitet. Das darf jetzt nicht jeder machen bei einem Geheimdienst. In Deutschland gibt es dafür extra Gremien. Aber die haben sich anscheinend in der Vergangenheit nicht richtig viel Einsicht geben lassen, oder es wurde ihnen auch verweigert. Das heißt, es taucht ja jetzt immer mehr auf, dass dort die Informationen gar nicht zur Verfügung gestellt wurden, und wenn man natürlich nur vorgespiegelt bekommt, dass alles in Ordnung ist, so funktioniert es nicht.

Grieß: Könnte es sein, dass es auch unter Ihren Kollegen gelegentlich an Haltung mangelt? Schauen wir auf die irischen Datenschützer, die mit diesem Fall ja schon länger zu tun hatten, der jetzt vor dem EuGH verhandelt wird, und es nicht für nötig gehalten haben, aktiv zu werden.

Hansen: Ja, die irischen Kollegen sind offensichtlich davon ausgegangen, sie dürften gar nicht prüfen, wenn doch klar ist, dass die Kommission damals gesagt hat im Jahr 2000, Safe Harbor ist Safe Harbor, Blackbox, muss man nicht reingucken.

Grieß: Sie hätten es ja mal versuchen können.

Hansen: Wir selbst haben das schon probiert, Safe-Harbor-Übermittlungen zu überprüfen. Wir haben dort Briefe hingeschrieben. Wir sind da nicht vorbeigefahren, weil das auch sehr hohe Reisekosten nach sich zieht, aber wir haben versucht, sowohl mit den Behörden FTC - das ist die Federal Trade Commission - zu diskutieren, die nämlich Teile jedenfalls davon besser durchsetzen kann, als wir das von hier aus können, als auch von den Unternehmen, die betroffen sind, mal zu fragen, wie macht ihr das. Safe Harbor ist ein Versprechen, wie löst ihr das Versprechen ein. Am Anfang wurden wir vollständig ignoriert. Inzwischen gibt es immerhin Eingangsbestätigungen bis hin auch von irgendwelchen Darstellungen, wenn ein Unternehmen zum Beispiel sich sinnvolle Gedanken gemacht hat, wie sieht es da mit der Sicherheit aus. Aber das ist die Minderheit. Was der Generalanwalt gesagt hat ist, die Iren hätten prüfen müssen, und das sehe ich ganz genauso. Sie hätten mindestens weitermachen müssen, weiterfragen müssen und nicht dem Petenten, nämlich dem anfragenden Max Schrems aus Österreich sagen müssen, wir dürfen gar nicht und hier ist Schluss der Ermittlungen. Das hätte nicht sein dürfen. Diese Aussage finde ich sehr gut. Das gibt vielleicht aber auch dann die Haltung, die nötig ist, dass man kein blindes Vertrauen in die Kommissionsentscheidung hat. Das haben nämlich viele gehabt.

Grieß: ... sagt Schleswig-Holsteins oberste Datenschützerin Marit Hansen hier im Gespräch mit dem Deutschlandfunk. Das Gespräch haben wir vor dieser Sendung aufgezeichnet.