Natürlich mussten ein paar Superlative her, um die historische Dimension des Luxemburger Facebook-Urteils begreifbar zu machen. Es sei ein "starkes Signal", ein "Paukenschlag", ein "Meilenstein für den Datenschutz", war nach der Verkündung des Urteils zu lesen. Aber anders als im sonst üblichen Wettbewerb um die lauteste Vokabel war nichts davon übertrieben. Man muss sich das einmal vor Augen halten: Der globale Datenfluss bildet das Adernsystem der digitalen Wirtschaft, der Schutz persönlicher Informationen gilt da eher als Sand im ökonomischen Getriebe und noch dazu als Sicherheitsrisiko, falls man den nimmermüden Sammlern in den US-Geheimdiensten glauben mag. Die Zeichen deuten also eher auf Erosion - und just in dieser Situation spricht der Europäische Gerichtshof (EuGH) ein Machtwort. Es lautet: Der europäische Datenschutz ist ein starkes Grundrecht, das sogar über den Atlantik hinausreicht. Der Datenfluss gen USA ist an EU-Standards gebunden, das Grundrecht bleibt nicht irgendwo im Glasfaserkabel hängen.
Bisher konnten sich die Unternehmen selbst einen Persilschein ausstellen
Das Verfahren hat das Zeug zu einer echten Heldengeschichte. Dem findigen Wiener Jurastudenten Max Schrems gelingt es, von Facebook eine endlose Liste seiner dort gespeicherten Daten zu erhalten. Und weil Facebook, wie man durch Edward Snowdens Enthüllungen gelernt hat, ein Selbstbedienungsladen für den datenhungrigen US-Geheimdienst NSA ist, klagt er sich bis zum EuGH durch. Und zwar - Glück für ihn - in einer Phase, in der sich der EuGH als europäisches Grundrechtegericht zu positionieren beginnt; das Gericht hat die Vorratsdatenrichtlinie gekippt und Google ("Recht auf Vergessenwerden") in die Schranken gewiesen. Dass der EuGH vor einer personellen Zäsur steht - Präsident Vassilios Skouris räumt an diesem Mittwoch nach zwölf Jahren seinen Schreibtisch -, mag die Bereitschaft für ein geschichtsträchtiges Urteil begünstigt haben. Jedenfalls, so ist zu hören, standen die Richter mit großer Mehrheit hinter dem Spruch; nur einer von fünfzehn soll dagegen gestimmt haben.
Die Grundaussage des Urteils ist klar. Der Gerichtshof hat das sogenannte Safe-Harbor-Abkommen zum "angemessenen Schutzniveau" in den USA für ungültig erklärt. Das war im Grunde wenig verwunderlich, denn Safe Harbor war, rechtsstaatlich gesehen, schon immer ein merkwürdiges Konstrukt. Damit wurde unterstellt, europäische Daten landeten bei ihrem Transfer in die USA in einem "sicheren Hafen" - allerdings ohne hinreichende Kontrolle durch US-Behörden und auf der Grundlage einer "Selbstzertifizierung" der beitretenden Unternehmen, die sich damit gleichsam selbst den datenschutzrechtlichen Persilschein ausstellten.
Die Pointe des Urteils: Laut EuGH ergibt sich nicht einmal aus der Safe-Harbor-Erklärung selbst, welche die EU-Kommission im Jahr 2000 abgegeben hat, dass die Daten in den USA hinreichend geschützt seien - die Geschichte vom sicheren Hafen war schon immer eine Legende. Die Erklärung enthalte "keine hinreichenden Feststellungen" zu den Maßnahmen, mit denen die USA ein "angemessenes Schutzniveau" gewährleisten wollten. Ganz im Gegenteil, die Kommission selbst habe erklärt, dass nach US-Recht im Zweifel der Datenschutz hinter der nationalen Sicherheit zurückstehen müsse. Anders ausgedrückt: Der Datenschutz stand unter dem Vorbehalt eines Zugriffs der NSA, etwa im Zuge des Programms Prism, mit dem massenhaft Internetdaten erfasst werden. "Das ist eine späte Genugtuung für Edward Snowden", sagt der Hamburger Datenschutzbeauftragte Johannes Caspar.
Der Datenschützer, zuständig auch für Facebook Deutschland, wird sich am Donnerstag in Brüssel mit seinen europäischen Kollegen und am Freitag in Hannover mit den deutschen Datenschützern treffen, um über die Konsequenzen aus dem Urteil zu beraten. Denn mit dem Urteil kommt den Datenschützern eine Schlüsselrolle zu. Sie wollen sich auf ein gemeinsames Vorgehen verständigen, auch, weil einzelne Behörden im Konflikt mit den Konzernen womöglich überfordert sind; das Hamburger Landesamt verfügt über gerade mal 16 Mitarbeiter. Zwei Optionen sind denkbar: entweder eine Übergangsfrist für die rund 4400 Unternehmen, die im Safe-Harbor-Abkommen aufgelistet sind, oder, der schlimmste Fall für die Wirtschaft, der sofortige Stopp des Datenflusses. Das müssen nun Europas Datenschützer entscheiden. Zwar haben sich die Unternehmensjuristen bereits auf die Suche nach Auswegen begeben. Denkbar sind etwa sogenannte Standardvertragsklauseln oder auch konzerninterne Datenschutzgarantien; auch über eine ausdrückliche Einwilligung der Nutzer zum Datentransfer in den unsicheren Hafen wird nachgedacht. Ob das angesichts der Grundsatzkritik des EuGH am US-Datenschutz reichen wird, ist allerdings fraglich: "Nach diesem Urteil wird es ganz schwer, den Datenfluss in die USA über andere Instrumente aufrechtzuerhalten", sagt Caspar. Ähnlich sieht es Tobias Neufeld von der Anwaltskanzlei Allen & Overy: "Das Prism-Problem bekommen wir dadurch nicht gelöst."
Die Richter behalten sich eine "strikte Kontrolle" der Umsetzung vor
Bleiben die laufenden politischen Verhandlungen zwischen EU und USA über ein neues Schutzabkommen. Und dort liegen künftig nicht nur die Wirtschaftsinteressen auf dem Tisch, sondern auch die EU-Grundrechtecharta. Der EuGH hat hier ein paar Brandmauern eingezogen. Erstens: Das Datenschutzniveau in den USA muss jenem in der EU "gleichwertig" sein - und nicht nur "angemessen", wie die bisherige, eher wachsweiche Formulierung lautete. Zweitens: Wer der NSA eine Hintertür öffnet, rührt an den Kern des Datenschutzes. Eine Regelung, die den US-Behörden den generellen Zugriff auf den Inhalt elektronischer Kommunikation gestatte, verletze den "Wesensgehalt" des Grundrechts auf Achtung des Privatlebens. Und drittens: Das oberste EU-Gericht behält sich eine "strikte Kontrolle" vor.
Dieser letzte Punkt dürfte zu den wichtigsten Aussagen des Urteils gehören. Der "Wertungsspielraum" der Kommission sei "eingeschränkt" - was nichts anderes bedeutet, als dass die Zeit für faule Kompromisse vorbei ist. Die Richter in Luxemburg wollen sich den Datenschutz nicht mehr aus den Händen nehmen lassen.