Körner (FDP) zu Facebook-Urteil
EU muss Druck machen für mehr Datenschutz

Es ist ein Sieg gegen Facebook für den Datenschutz-Aktivisten Max Schrems: Das höchste Gericht der EU hat heute die Datenschutzvereinbarung "Privacy Shield" für ungültig erklärt. Sie regelt den Transfer von Daten europäischer Nutzer vor allem an große Service-Anbieter wie Facebook, Google, Microsoft oder Apple in die Vereinigten Staaten. Das Gericht verpflichtet nationale Kontrollbehörden außerdem zu einem besseren Schutz privater Nutzerdaten. Die Entscheidung bedeutet allerdings nicht, dass ab sofort alle Datentransfers aus der EU auf Eis gelegt sind. Im Rahmen sogenannter Standardvertragsklauseln sind diese immer noch rechtens.

Die EU-Kommission hat nach dem EuGH-Urteil eine Prüfung der Datenschutzvereinbarung angekündigt. Der FDP-Europaabgeordnete Moritz Körner, unter anderem Mitglied im Ausschuss für bürgerliche Freiheiten des EU-Parlaments, fordert im Deutschlandfunk ein neues Abkommen der EU mit den USA - und zwar eines auf Höhe des europäischen Datenschutzes. Es brauche jetzt "ein Abkommen mit den USA, das verhindert, dass tatsächlich EU-Bürger weiter von US-Sicherheitsbehörden ausspioniert werden".

Der Ball dafür liege in Brüssel und Washington. Brüssel müsse Druck machen, dass die USA ihre Überwachungsgesetze änderten, EU-Bürgern mehr Datenschutz gewährten. Ein weiterer Hebel sei auch in der US-Wirtschaft zu finden, denn die EuGH-Entscheidung betreffe direkt das Geschäftsmodell von Digitalunternehmen wie Facebook: "Mark Zuckerberg wird jetzt sicherlich auch mal mit seinen Behörden dort sprechen müssen, denn das ist tatsächlich etwas, was sein Geschäftsmodell gefährdet, und das ist auch gut so."

Jasper Barenberg: Herr Körner, wir haben es gerade im Beitrag gehört. Den Stein ins Rollen gebracht hat ja der Datenschutzaktivist Max Schrems aus Österreich. Er spricht jetzt von einem "hundertprozentigen Sieg für den Datenschutz". Hat er recht?

Moritz Körner: Er hat tatsächlich recht. Das ist hier ein Erdbeben für den Datenaustausch, den internationalen Datenaustausch. Und vor allem: Es ist tatsächlich eine Klatsche für die Europäische Kommission. Insofern ist es tatsächlich traurig, dass es die Privatperson Max Schrems brauchte, damit die Europäische Kommission jetzt erneut hier aufgezeigt bekommen hat, dass dieses Abkommen nicht mit EU-Recht vereinbar ist.

Barenberg: Jetzt hat das Gericht sich ja über zwei Wege gebeugt, über die Daten in die USA gelangen. Zum einen: Privacy Shield, von der EU-Kommission ausgehandelt, wurde für nichtig erklärt. Darüber können wir gleich ausführlich sprechen. Aber bestätigt hat das Gericht ja diese sogenannten Standardvertragsklauseln, die viel mehr Fälle betreffen. Wie können Sie von einem hundertprozentigen Sieg für den Datenschutz sprechen, wenn eigentlich ein großer Teil der Vereinbarung im Grunde genommen durchgewunken wurde?

Körner: Da muss man tatsächlich dann auch ins Detail gucken, Herr Barenberg, denn tatsächlich hat das Gericht die Standardvertragsklauseln für grundsätzlich mit EU-Recht vereinbar erklärt. Allerdings sagt es: Die Datenschutzbehörden sind in der Pflicht, tatsächlich zu prüfen, ob die Daten, die über diese Standardvertragsklauseln übermittelt werden, in dem Land, in dem sie dann sind, auch sicher sind. Das stellt das Gericht eindeutig in Frage, auch Richtung USA. Das heißt, die Datenschutzbehörden - insbesondere Irland betrifft das natürlich, weil Facebook dort sitzt – sind jetzt in der Pflicht, auch eventuell dort Datenflüsse zu unterbinden, und insofern kann man schon von einem Sieg für den Datenschutz sprechen.

Barenberg: Mit anderen Worten, Herr Körner: Facebook – das war ja der Ursprung, der Anlass – kann jetzt personenbezogene Daten nicht weiterhin an den Mutterkonzern in die USA über diese Standardvertragsklauseln transferieren?

Körner: Genau. So verstehe ich das Urteil. Das wird natürlich jetzt riesige Auswirkungen haben. Die Digitalkonzerne in den USA, die ja auch sehr stark aus den USA kommen, werden jetzt schauen müssen, wie sie das vereinbaren können und wie sie dort ihr Geschäftsmodell weiter durchsetzen können. Da ist langfristig jetzt die EU-Kommission gefordert, mit den USA dort eine Lösung zu finden. Man kann jetzt auch davon ausgehen, dass die Digitalkonzerne wie Facebook auch auf die amerikanische Regierung mehr Druck machen werden, denn hier müssen wirklich die richtigen Schutzmaßnahmen auch für EU-Bürger durchgesetzt werden.

Barenberg: Das gilt umso mehr für das Abkommen Privacy Shield – ist das Ihre Auffassung -, weil der Schutz von personenbezogenen Daten da noch geringer ist als in diesen sogenannten Standardvertragsklauseln?

Körner: Genau. Das Privacy Shield hat der EuGH tatsächlich auch gekippt, wie auch den Vorgänger Safe Harbor. Das war auch, ehrlich gesagt, eher ein Papiertiger, weil wirklichen Schutz hat dieses Abkommen nicht geliefert. Das haben wir hier im Europäischen Parlament immer, immer wieder kritisiert. Die Europäische Kommission hat, nachdem Safe Harbor, das Vorgängerabkommen, schon gescheitert war, eine kleine Veränderung gemacht und das dann Privacy Shield genannt. Jetzt müssen wir sicherstellen, dass die EU-Kommission nicht wieder hingeht und nach dem Scheitern von Safe Harbor und dem Privacy Shield jetzt ein Safe Privacy Shield Harbor vorlegt und wieder nur kleine Veränderungen macht. Nein, es braucht tatsächlich ein Abkommen mit den USA, das verhindert, dass tatsächlich EU-Bürger weiter von US-Sicherheitsbehörden ausspioniert werden. Das müssen wir wirklich sicherstellen.

Barenberg: Sie haben im Vorfeld von einem Persilschein für die USA gesprochen, wenn ich das richtig weiß. Was muss sich denn ändern, damit es kein Persilschein ist, sondern ein Abkommen, was tatsächlich auf dem Niveau europäischer Schutzmaßnahmen ist?

Körner: Da haben wir tatsächlich zwei Aspekte. Zum einen geht es darum, dass die weitreichenden US-Überwachungsgesetze nicht mit den Grundrechten in der EU vereinbar sind. Das ist der erste Punkt. Dort müssten tatsächlich US-Überwachungsgesetze verändert werden. Nach den Snowden-Enthüllungen gab es Schutzmaßnahmen für US-Bürger gegenüber der NSA, aber nicht gegenüber ausländischen Bürgern und damit EU-Bürgern, und da hat der EuGH jetzt ganz klar gesagt, die EU wird ihre Grundrechte nicht ändern, um der NSA zu gefallen. Das heißt, das ist bei uns festgeschrieben, und dort muss sich in den USA was bewegen, damit man dort ein Abkommen hinbekommt.

Gleichzeitig geht es natürlich um das Datenschutzniveau insgesamt. Wir haben mit der Datenschutzgrundverordnung ein hohes Niveau und wir wollen den USA über dieses Abkommen eigentlich einen sehr direkten Zugang zu EU-Daten zugeben, und da muss man auch sicherstellen, dass die USA, was Datenschutz angeht, noch nachlegen. Da wird sich sicherlich jetzt auch eine innenpolitische Diskussion in den USA entwickeln über die Höhe des Datenschutzes in den USA. Das habe ich zum Beispiel auf einer Reise mit einer Delegation des Europäischen Parlaments auch Anfang dieses Jahres noch gehört.

Barenberg: Das wollte ich Sie gerade fragen. Wie hoch schätzen Sie die Chancen ein - Sie kennen die politische Kultur in den Vereinigten Staaten -, die Chancen dafür, dass die USA jetzt verzichten auf den Zugriff ihrer Geheimdienste in Fällen, die die nationale Sicherheit berühren?

Körner: Da muss man sich wirklich die Situation genau anschauen. Wir waren Anfang des Jahres mit einer Delegation des Europäischen Parlaments in Washington und haben mit verschiedenen Vertretern dort gesprochen. Ganz klar muss man sagen: Die Trump-Administration hat uns im Prinzip mit einem Handelskrieg gedroht, wenn der EuGH das Privacy Shield kippen sollte. Das wird jetzt spannend: Wie reagiert die Trump-Administration darauf. Aber gleichzeitig gibt es auch viel Verständnis im Kongress, bei NGOs auch, die sagen, wir brauchen hier mehr Datenschutz insgesamt, und auch tatsächlich die Digitalunternehmen mit ihren Lobby-Aktivitäten werden jetzt darauf achten, denn für die ist das ein Problem, wenn sie nicht auf den EU-Markt so zugreifen können. Dort wird sich jetzt auch noch mal ein Druck aufbauen in den USA.

Ich finde, die EU-Kommission darf jetzt hier nicht erneut diesem Druck möglicherweise der USA nachgeben, sondern muss selber jetzt hier Druck entwickeln, damit wir insgesamt mehr Datenschutz bekommen.

Barenberg: Wie soll sie diesen Druck aufbauen? Mit welchem Hebel?

Körner: Na ja. Der Hebel ist jetzt letztendlich da, dass vor allem US-Unternehmen ein riesiges Interesse daran haben, dass das entsprechend weitergeht, dass sie agieren können. Ganz grundsätzlich muss man sagen – das haben Sie im Beitrag schon dargestellt -, absolut notwendige Datenflüsse sind auch weiterhin möglich. Artikel 49 der Datenschutzgrundverordnung macht diese Ausnahme. Sie können jetzt weiterhin eine E-Mail in die USA schicken. Aber ganze Persönlichkeitsprofile und ich weiß nicht was, was auf Facebook ist, das wird schwierig, und ich glaube, da wird jetzt der Druck steigen. Mark Zuckerberg wird jetzt sicherlich auch mal mit seinen Behörden dort sprechen müssen, denn das ist tatsächlich etwas, was sein Geschäftsmodell gefährdet, und das ist auch gut so.

Barenberg: Geben Sie uns noch eine zeitliche Perspektive. Das klingt alles danach, als wenn das jetzt noch eine Weile alles brauchen wird. Wann können wir mit einem neuen Abkommen rechnen? Wie viel Zeit müssen wir dafür kalkulieren?

Körner: Da wird man jetzt sehen müssen. Geht die Kommission das tatsächlich ernsthaft an und sorgt für ein No-Spy-Abkommen mit den USA, das wirklich den Bürgerrechtsschutz sicherstellt? Oder macht sie wieder nur so ein Behelfsmodell, quasi ein drittes Abkommen, das dann wieder vor dem EuGH scheitert? Das muss man jetzt sehen. Man weiß jetzt nicht genau, wie schnell die Kommission da handelt. Ich habe tatsächlich die Europäische Kommission schon mit einer Anfrage Anfang des Jahres gefragt, wie weit sie auf ein Scheitern des Privacy Shield vorbereitet ist. Da haben sie gesagt, sie sprechen schon mit verschiedenen Stakeholdern, auch mit den USA. Nur muss man jetzt mal schauen. Die Kommission sagte, sie ist vorbereitet. Da muss sie jetzt schnell handeln.