Bloomberg porträtiert heute den österreichischen Datenschutz-Aktivisten Max Schrems – und der lässt kein gutes Haar am Safe-Harbor-Nachfolger EU-US Privacy Shield.
Das mit heißer Nadel gestrickte Nachfolgeabkommen sei auf Druck der Vereinigten Staaten und der IT-Industrie entstanden, klagt Schrems – „und nicht durch rationale oder vernünftige Überlegungen“. Der 28-Jährige hält es laut Bloomberg für sehr wahrscheinlich, dass auch der am 1. August in Kraft getretene Privacy Shield wieder gerichtlich gestoppt wird, was global tätigen Unternehmen neuerliche Rechtsunsicherheit bescheren würde.
Für alle, die Max Schrems nicht kennen: Der Wiener Jura-Student ist durchaus ernst zu nehmen. Mit seiner Sammelklage gegen Facebook sorgte er dafür, dass das höchste europäische Gericht Safe Harbor für ungültig erklären musste. „Er ist ein ebenso großer Disruptor wie Snowden“, bescheinigt Robert Bond, erfahrener Datenschutzanwalt bei Charles Russell Speechlys in London. Schrems’ Klage habe spürbare Auswirkungen auf die Wirtschaft gehabt.
Stein des Anstoßes war, dass Daten von Bürgern Europas von US-Internetfirmen in die USA übertragen und dort verarbeitet werden – mit jeder Google-Suche, jedem „Gefällt mir“ bei Facebook und jeder E-Commerce-Bestellung ein kleines bisschen Big Data mehr, mit dem die Internetriesen ihre Produkte weiter verfeinern, ihre Werbung noch besser zielen und in der Folge Gewinn und Marktkapitalisierung steigern können. Der EuGH stellte fest, dass das 16 Jahre alte Abkommen Safe Harbor die Daten von Europäern nicht hinreichend schützte. So lange, wie unter Hochdruck Privacy Shield ausgehandelt wurden, mussten Firmen neue private Verträge schließen, um Daten legal an Geschäftspartner und Konzerngesellschaften auf der anderen Seite des Atlantik zu übertragen – erheblich teurer und aufwändiger als mit einem pauschalen Standard.
Der EU-US Privacy Shield soll die Datenschutz-Bedenken auf dem Alten Kontinent möglichst beruhigen, das Abkommen enthält dazu unter anderem Garantien, dass Daten nicht ungerechtfertigt von US-Geheimdiensten gesammelt werden, und das Recht auf den Rechtsweg, falls jemand Missbrauch seiner Daten vermutet. Weil auch Privacy Shield wohl wieder rechtlich angefochten werden wird, wollen manche Unternehmen abwarten, wie sich die Lage entwickelt. Facebook beispielsweise will den Text erst einmal in Ruhe evaluieren. Microsoft wiederum hat gestern angekündigt, es werde sich an Privacy Shield halten.
“Datenschutz fest in der EU-Verfassung verankert”
Max Schrems wurde übrigens erst von den US-Internetfirmen selbst mit der Nase auf das Datenschutzproblem gestoßen, als er 2011 ein Auslandssemester in Santa Clara im Herzen von Silicon Valley verbrachte. Anwälte von Technologiefirmen aus der Umgebung, darunter auch von Facebook, sprachen in seinen Seminaren und ließen dabei mangelnde Anerkennung bis Missachtung europäischer Datenschutzgesetze erkennen. „Sie wussten nicht, dass ein Europäer im Raum war“, erinnert sich Schrems, der den Datenschutz in der Verfassung der Europäischen Union ebenso fest verankert sieht wie das Recht auf freie Meinungsäußerung in jener der Vereinigten Staaten.
Kritiker werfen Schrems und anderen Datenschutz-Verfechtern vor, sie suchten unrealistische Lösungen. Privacy Shield sei ausgewogener und biete Europäern Schutzmechanismen, die es zuvor nicht gegeben habe, betont etwa Eduardo Ustaran, auf Datenschutzrecht spezialisierter Anwalt bei Hogan Lovells International LLP in London: „Politische Entscheidungsträger müssen gleichermaßen ambitioniert und realistisch sein.“
Erstmal die Doktorarbeit beeenden
Max Schrems denkt trotzdem, dass sich US-Technologiefirmen die Denke abgewöhnen sollten, dass was sie in ihrer Heimat entwickelt hätten sich naht- und grenzenlos auch im Rest der Welt ausrollen lasse. Vielleicht werde er deswegen irgendwann eine NGO gründen, die Firmen auf Datenschutzverstöße hin prüfe und gegebenenfalls verklage. Zuerst einmal will der Wiener aber seine zuletzt vernachlässigte Doktorarbeit beenden. “Bislang arbeite ich praktisch ohne Infrastruktur von daheim aus, und trotzdem haben wir einen großen Fall bewältigt“, sagt Schrems. „Würde man das in eine professionelle Umgebung verlagern, dann könnte man wahrscheinlich eine Menge bewegen.“
Retarus verarbeitet die Daten seiner Kunden übrigens ausschließlich in eigenen, weltweit verfügbaren Rechenzentren nach den für das jeweilige Unternehmen geltenden lokalen Anforderungen und Datenschutzbestimmungen. Individuell auditierbar und zertifiziert unter anderem nach Bundesdatenschutzgesetz, EU Directive 95/46/EC, ISAE 3402, HIPAA sowie PCI-DSS. Mehr zum Thema Datenschutz und Vertraulichkeit finden Sie auch in unserem Code of Conduct.