Schon zum zweiten Mal hat der Europäische Gerichtshof in Luxemburg ein transatlantisches Datenabkommen gekippt: nach dem Safe-Harbour-Abkommen nun auch den Nachfolgevertrag Privacy Shield aus dem Jahr 2016.

Kein Wunder: Denn die EU hatte aus dem ersten Urteil nichts gelernt, obwohl die Enthüllungen Edward Snowdens eigentlich Durchsetzungsstärke verlangt hätten. Stattdessen beharrte Brüssel auf einer zweifelhaften Feststellung: Amerikanische Unternehmen dürfen Daten aus Europa erhalten, weil sie angeblich auch daheim das Niveau europäischer Datenschutzbestimmungen erreichen. Als wären die NSA-Spionageprogramme eine Fata Morgana gewesen.

Folgen von Brüssels Nonchalance

Aus dem sicheren Hafen sollte ein Schutzschild der Privatsphäre werden: Und zwar mit einigen eher theoretischen Beschwerdemöglichkeiten und der offiziellen Zuständigkeit des US-Handelsministeriums. Kein Wunder, dass sich der umtriebige Datenschutz-Aktivist Max Schrems herausgefordert sah, auch das neue Konstrukt rechtlich überprüfen zu lassen – und das in Teilen erfolgreich.

Brüssel sieht sich nun durch das Urteil aus Luxemburg mit den Folgen der eigenen Nonchalance konfrontiert. Dabei war der EuGH sogar gnädig: Den eigentlichen Klagegegenstand ließen Luxemburger Richter im Grundsatz unangetastet.

Denn Firmen wie Facebook können weiterhin Nutzerdaten aus Europa auf US-Servern speichern – solange sie vertraglich festgeschriebene Datenschutz-Garantien einhalten. Ob sie das tun, müssen in der Praxis die zuständigen europäischen Datenschutzbehörden überprüfen.

Datenschutz-Prüfer in Irland ohne Schlagkraft

Und das ist das Problem: Im Falle der amerikanischen Technologie-Konzerne ist die irische Datenschutzbehörde DPC zuständig. Die ist bislang nicht dadurch aufgefallen, dass sie besonders hart durchgreift. Was beim Blick auf das irische Wirtschaftsmodell auch nicht verwundert. Das besteht daraus, amerikanische Konzerne mit niedrigen Steuern und überschaubarer Regulierung davon zu überzeugen, ihre Europa-Zentralen in und um Dublin anzusiedeln. Das bringt dem Land Geld. Und motiviert irische Datenschützer sicherlich nicht dazu, besonders hart durchzugreifen.

Was wird aus dem Privacy-Shield-Urteil folgen? Die Regeln für Vertragsklauseln zum Datentransfer müssen laut Gerichtsurteil nachgeschärft werden. Was wenig bringt, wenn die Datenschutz-Prüfer in Irland weiterhin ohne Schlagkraft agieren.

Und Brüssel und Washington werden ein weiteres Datenschutzabkommen abschließen müssen. Das allerdings wie seine Vorgänger lückenhaft bleiben wird. Denn weder ist ein nationales amerikanisches Datenschutzgesetz in Sicht, noch werden die US-Geheimdienste ihre Überwachungspraxis reformieren.

Die Prüfung, ob bei Facebook rechtlich einwandfrei mit den Daten von EU-Bürgern umgegangen wird, obliegt dem irischen DPC (picture alliance / empics / Niall Carson)

Geopolitische Implikationen des Internets

Dennoch ist die Lage eine andere als noch in den vergangenen Jahren: Denn die physische Struktur des Internets - also welche Daten in welches Land fließen und wer Zugriff darauf hat - sie ist ins Zentrum geopolitischer Machtfragen gerückt.

Da wäre das globale Misstrauen gegenüber China. So überlegen die USA die erfolgreiche chinesische Plattform TikTok zu verbieten. Oder in der drängenden Frage, ob Deutschland und Europa beim Ausbau des 5G-Mobilfunknetzes Huawei-Komponenten verwenden.

Und auch transatlantisch wächst das Misstrauen: Das geplante europäische Cloudspeicher-Netzwerk Gaia-X ist einerseits der Sorge geschuldet, US-Geheimdienste könnten sich allzu großzügig an europäischen Firmendaten bedienen. Andererseits basiert es auch auf Handelskriegs- und Erpressungsszenarien: Konkret könnte Washington irgendwann damit drohen, in den USA gespeicherte Cloud-Daten europäischer Firmen zu blockieren.

Die EU muss Zähne zeigen

Das ist derzeit unwahrscheinlich, aber immerhin inzwischen denkbar. Wie beim Welthandel geht es deshalb in den 20er-Jahren darum, auch im Bereich der Informationstechnologie eine neue Architektur zu entwickeln: eine Architektur für ein Zeitalter des Misstrauens.

Das heißt für die EU, dass sie Zähne zeigen muss. Zum Beispiel, indem sie eine Einheit technischer Spezialisten schafft. Die könnte mit nationalen Behörden wie in Irland zusammenarbeiten, um den transatlantischen Datenschutz zu überwachen. Und auch um einheitliche Standards für die Sicherheitsüberprüfung von Hardware voranzutreiben – siehe Huawei.

EU-Datenschutzansprüche verteidigen

Zugleich muss Europa Weitblick beweisen: Dass der Westen bei Digitaltechnologie kooperiert, ist weiterhin sinnvoll. Doch die EU bleibt in der Praxis abhängig von den USA, wenn Europa nichts anzubieten hat: Das gilt für die neuen Technologien – also für künstliche Intelligenz, Quantencomputer, den Bau von Spezialchips oder Datenverarbeitung in der Industrie.

Das gilt aber auch schon heute. Die EU täte gut daran, die eigenen Datenschutzansprüche gegenüber den USA zu verteidigen. Sonst wird sie die Nonchalance in der Digitalpolitik noch auf Jahrzehnte schmerzhaft zu spüren bekommen.