Mit dem sogenannten Data Governance Act will die EU-Kommission nach dem Scheitern der Abkommen Safe Harbor und Privacy Shield auch in Zukunft dafür sorgen, dass die Daten der Bürger ungehindert ins Ausland abfließen können, ärgert sich Chefredakteur Jörg Luther.

Sehr geehrte Leserinnen und Leser,

vor gut einem halben Jahr, am 16. Juli 2020, gab der Europäische Gerichtshof dem österreichischen Juristen und Datenschutzaktivisten Max Schrems Recht und kippte das Privacy-Shield-Datenschutzabkommen zwischen der EU und den USA [1]. Der Europäische Datenschutzausschuss stellte damals klipp und klar fest: “Übermittlungen auf der Grundlage dieses Rechtsrahmens sind rechtswidrig.” Der Bundesdatenschutzbeauftragte Ulrich Kelber betonte, dass es dafür “keine Schonfrist” gebe. Zusammen mit seinen Kollegen in den Ländern forderte er, die Übermittlung personenbezogener Daten in die USA auf der Grundlage des Privacy Shield “unverzüglich” einzustellen.

Passiert ist seit dem EuGH-Urteil, was zu erwarten war: nichts. Noch immer übermitteln europäische und nationale Behörden sowie zahlreiche Unternehmen weiter illegal personenbezogene Daten von Bürgern an die USA, wie eine Bestandsaufnahme der Open Source Business Alliance Mitte Dezember 2020 ergab [2]. Dass sie damit nicht allein stehen, deckte zum selben Zeitpunkt Netzpolitik.org auf: 289 Bundestagsabgeordnete, gut 40 Prozent der Volksvertreter, verwiesen auf ihren Websites immer noch auf Privacy Shield [3]. Die Seiten hätten “kuriose, peinliche und teils illegale Datenschutzmängel”, konstatierte die Plattform für digitale Freiheitsrechte. Die ziehen sich übrigens über die Sites von MdB aller Parteien.

Ich hatte ja vor einem halben Jahr den Verdacht geäußert, die EU werde das gescheiterte Privacy Shield bald durch einen erneuten, leicht umformulierten Aufguss des Abkommens ersetzen. Offensichtlich hat die Europäische Kommission aber begriffen, dass auch eine solche Neuauflage schon bald vom EuGH wieder kassiert würde. Deswegen strebt sie eine gründlichere Lösung des Problems an, in Form eines sogenannten Daten-Governance-Gesetzes, das Digitalkommissar Thierry Breton Anfang Dezember in Brüssel vorstellte [4].

“Die Verordnung über Daten-Governance wird dafür sorgen, dass mehr Daten für die Wirtschaft und Gesellschaft in der EU zugänglich gemacht werden”, heißt es in der entsprechenden Ankündigung – man beachte die Reihenfolge. Das Gesetz sieht nichts weniger vor, als alle Daten von Wirtschaft, Behörden und Bürgern in einen großen Datentopf zu kippen, aus dem sich dann jeder bedienen darf – auch Stellen aus dem Nicht-EU-Ausland. Die Nutzer der Daten sollen lediglich zusichern, “angemessene technische, rechtliche und organisatorische Maßnahmen” zu deren Schutz zu ergreifen – Privacy Shield lässt grüßen.

Zu den betroffenen Datenarten und -quellen zählen “Automobilindustrie, Zahlungsdienstleister, Daten intelligenter Verbrauchsmesssysteme, Stromnetzdaten, intelligente Verkehrssysteme, Umweltinformationen, Geodaten und Gesundheitswesen”; der Rundschlag lässt also kein Auge trocken [5]. Besonders perfide ist dabei die gewählte Formulierung: Zum “Datenaltruismus” stilisieren die Eurokraten dieses Vorgehen hoch, um damit zu suggerieren, dass jeder, der seine Daten nicht freiwillig herausrückt, unkooperativ und eigennützig handele.

Dass dieselben EU-Abgeordneten, die schon die Vorgänger Safe Harbor und Privacy Shield durchwinkten, diese Ungeheuerlichkeit im Europaparlament kippen, darf man getrost bezweifeln. So bleibt erneut nur die Hoffnung, dass auch diesmal wieder ein engagierter Datenschützer wie Max Schrems vor dem EuGH die Notbremse zieht.

Herzliche Grüße,

Jörg Luther

Chefredakteur