Stellungnahme von Max Schrems zum Jahrestag der "Schrems II"-Entscheidung durch den EuGH
Vor genau einem Jahr hat der Europäisches Gerichtshof (EuGH) im sogenannten „Schrems II“ Urteil die Datenübermittlungen zwischen der EU den USA für unrechtmäßig erklärt. Dieses Urteil wurde als bahnbrechend bezeichnet, obwohl es bereits das zweite Urteil in dieser Sache war und auf EU-Gesetzen basiert, die schon seit 1995 bestehen.
Seit dem Urteil scheinen sich die relevanten Akteure hauptsächlich mit Ablenkungsmanövern und gegenseitigen Schuldzuweisungen sowie der Abschiebung von Verantwortung an den jeweiligen Anderen beschäftigt zu haben. Passiert ist in der Sache seither nämlich wenig:
Nur wenige europäische Unternehmen haben erkannt, dass der zugrundeliegende Konflikt zwischen EU-Datenschutzrecht und dem US-Überwachungssystem kurzfristig nicht gelöst werden kann. Diese Unternehmen sind dazu übergegangen, personenbezogene Daten in Europa oder anderen sicheren Regionen zu belassen, anstatt sich auf einen endlosen Compliance-Albtraum bei der Nutzung von US-Anbietern einzulassen. Andere dagegen beklagen sich über mangelnde Handlungsanleitungen, trotz zweier klarer Urteile. Werden diese aber gegeben, wie beispielsweise in den jüngsten EDPB-Richtlinien, wird argumentiert es sei "unrealistisch", die gesetzlichen Maßgaben zu befolgen.
Unter dem Motto "keep calm and carry on" entwickelten Industrieanwälte und US-Cloud-Anbieter im vergangenen Jahr immer krudere Rechtstheorien, um die Differenz zwischen amerikanischem und europäischem Recht vermeintlich zu schließen. War es nach Safe Harbor noch "essential equivalence" ist es nun der "risikobasierten Ansatzes" (der im relevanten Teil der DSGVO gar nicht vorkommt) bis hin zum Vorschlag von "ergänzenden Maßnahmen" (wie etwa Zäune um Rechenzentren zu bauen). Anstatt in sichere IT-Systeme investieren diese Akteure in Compliance-heuchelnde PR-Maßnahmen und formulieren unhaltbare Versprechen. Wir beobachten mit Spannung, ob Unternehmen und Kund:innen in der EU Schadenersatz fordern werden, sollten sich diese Versprechen als heiße Luft herausstellen.
Die Datenschutzbehörden nehmen weitgehend abwartende Haltung ein. Bis auf wenige Ausnahmen gab es keine selbstständigen Ermittlungen, geschweige denn Entscheidungen. Obwohl eine eigene Task-Force mit dieser Aufgabe betraut worden war, gab es zu den von noyb eingereichten 101 Musterbeschwerden bisher keine einzige Entscheidung. Die ursprüngliche Beschwerde gegen Facebook, die bereits 2013 eingereicht worden war, verzögerte sich wegen eines neuen, zusätzlichen Untersuchungsverfahrens durch die irische Behörde. noyb reichte deshalb eine Klage gegen die irische Datenschutzbehörde ein, die im Januar 2021 beigelegt wurde. Wir erwarten nun zeitnahe Entscheidungen.
Die Europäische Kommission trägt wenig zu Klärung bei, da sie zwar neue Transferinstrumente wie "Standardvertragsklauseln" einführt, aber keine klare Position zu EU-US-Transfers einnimmt. Diese Unklarheit ermöglicht es Anwälten der Industrie, immer neue Compliance-Theorien zu spinnen und grundlegende Lösungen auf die lange Bank zu schieben. Zugleich scheint die Kommission selbst nicht an eine zeitnahe Lösung mit den USA zu glauben.
Im Gegensatz zu ihrem europäischen Pendant verkündet die US-Regierung gerne und regelmäßig angebliche "Fortschritte" bei den Verhandlungen über ein neues Abkommen. Gleichzeitig scheint es allerdings kaum Bereitschaft zu geben, die Wurzel des Problems zu ändern und die überzogenen US-Überwachungsgesetze zurückzufahren. Solange sich die US-Industrie nicht massiv in Washington dafür einsetzt, diese Gesetze zugunsten des Schutzes ausländischer Nutzer:innen zu ändern, ist jede Lösung unwahrscheinlich. In all meinen Gesprächen mit Vertretern der US-Industrie wurde eins deutlich: Ohne der Androhung einer ernsthaften Durchsetzung in der EU oder eines Massenexodus von EU-Kund:innen wird die US-Industrie ihr politisches Kapital in Washington nicht für den Schutz der Privatsphäre von Ausländern einsetzen.
Damit haben wir eine Gruppen von Akteuren, die sich durch weitgehenden Stillstand auszeichnet und abwartet. Sollte sich einer der Akteure jedoch in Bewegung setzen, könnte es durchaus einen Dominoeffekt in Richtung einer langfristigen Lösung geben.
Eine solche langfristige Lösung kann meiner Meinung nach nur eine Art "No-Spy"-Abkommen zwischen demokratischen Regionen sein, die das Grundrecht auf Privatsphäre unabhängig von Standort und Staatsbürgerschaft schützt. Wir werden dieses Ziel wahrscheinlich nicht innerhalb weniger Monate erreichen, aber möglicherweise innerhalb eines Jahrzehnts. Ein globales Internet benötigt globalen Grundrechtsschutz, um so zu funktionieren, wie es sich Nutzer:innen und Unternehmen wünschen.
Das noyb-Team und viele andere werden weiter an einer solchen langfristigen Lösung arbeiten.
Max Schrems