Datenschutz: Seekabel von Europa nach Amerika

Masterstudium „IT-Recht & Management“

Im Masterstudium „IT-Recht & Management“ wird in einer Lehrveranstaltung im zweiten Semester ausführlich das Thema Datenschutzrecht behandelt. Diese Lehrveranstaltung findet in der Regel sehr guten Anklang, weil das Thema Datenschutzrecht sowohl aufgrund der zunehmenden Digitalisierung unserer Gesellschaft als auch der gleichzeitigen Monopolisierung durch große US-Konzerne gerade von jungen Menschen sehr kritisch gesehen und daher aktiv verfolgt wird.

Das Seekabel

Zur Monopolisierung möchte ich vorab auf eine Studie aus dem Jahr 2019 des ZIS (Verein Zeitung in der Schule), Overnewsed – Underinformed? zur Mediennutzung von 16 bis 35-jährigen Menschen verweisen, wonach rund 53 Prozent der Befragten täglich oder mehrmals täglich Soziale Medien zur Informationsgewinnung nutzen. Die führenden Informationskanäle dieser Zielgruppe sind WhatsApp (62 Prozent) und Facebook (57 Prozent), wobei diese beiden Giganten seit 2014 – auch aufgrund von unrichtigen Informationen von Facebook – fusioniert sind.

Als Vortragende für Datenschutzrecht erleichtert mir das mein Leben, weil es immer wieder spannende Entwicklungen gibt, die auch medialen Niederschlag finden. Das jüngste Beispiel dafür ist das EuGH Urteil vom 16. Juli 2020, C-311/18 (große Kammer) rund um Max Schrems, einem österreichischen Datenschutzaktivisten (NOYB), gegen Facebook Irland.
Wer Facebook nutzen möchte erklärt sich damit einverstanden, dass seine personenbezogenen Daten ganz oder teilweise an Server der Facebook Inc. in den USA übermittelt werden. Max Schrems machte geltend, dass Facebook Inc. nach amerikanischem Recht verpflichtet ist, die ihr übermittelten personenbezogenen Daten amerikanischen Behörden wie insbesondere der National Security Agency (NSA) und dem Federal Bureau of Investigation (FBI) zur Verfügung zu stellen. Da dies mit der Grundrechtecharta der EU (ECHR) unvereinbar sei, kann auch das (bis zu diesem Urteil gültige) Privacy Shield, ein Angemessenheitsbeschluss der EU Kommission, dies nicht rechtfertigen und die Übermittlung seiner personenbezogenen Daten an die Facebook Inc. sei zu verbieten oder auszusetzen.

Aus dem – übrigens sehr lesenswerten Urteil des EuGH – möchte ich nur einen einzigen Aspekt herausgreifen, nämlich die in der Überschrift erwähnten Seekabel. Im Urteil werden die US Überwachungsprogramme PRISM und UPSTREAM recht detailliert beschrieben. Im Rahmen des Überwachungsprogramms UPSTREAM etwa seien die Telekommunikationsunternehmen als „backbone“, also als Rückgrat des Internets, dazu verpflichtet, der NSA zu gestatten, die Internetverkehrsflüsse von Nicht-US-Personen zu kopieren und zu filtern. Die NSA habe Zugriff sowohl auf die Metadaten als auch auf den Inhalt der Kommunikation mittels Zugriff auf die am Grund des Atlantiks verlegten Seekabel, noch bevor die Daten in den Vereinigten Staaten ankämen. Einschlägig für diesen Zugriff auf Seekabel ist die Executive Order (E.O.) 12333. Ein Executive Order ist aber kein Gesetz sondern „Rechtspraxis“, damit sind auf E.O. gestützte Tätigkeiten nicht gesetzlich geregelt. Zudem unterlägen die auf die E.O. 12333 gestützten Tätigkeiten der NSA keiner gerichtlichen Überwachung und könnten nicht Gegenstand eines gerichtlichen Rechtsbehelfs sein. Da die Daten vor Ankunft in den USA „abgefangen“ werden, gelten US Gesetze, wie etwa das Foreign Intelligence Surveillance Act (FISA), nicht. Auch der nach dem Fall von „Safe Habour“ eilig eingerichtete Ombudsmann hat sich letztlich nur als Feigenblatt erwiesen, was im EuGH Urteil ausführlich begründet wird.

Damit hat der EuGH zu Recht das Privacy Shield wohl zurecht aufgehoben, womit uns in Europa (wieder einmal) klar vor Augen geführt wird, dass zwar ein starkes Datenschutzrecht und -bewußtsein gut und schön, aber ohne entsprechende eigene europäische Unternehmen sehr schwer umzusetzen sein wird.