Der eine junge Kerl, der an diesem Dienstag Datenschutzgeschichte geschrieben hat, bedankte sich zuerst bei einem anderen jungen Kerl von 32 Jahren, der die Massenausspähungen durch den US-Geheimdienst NSA erst öffentlich gemacht hatte. "Ohne die Enthüllungen von Edward Snowden wäre dieses Ergebnis nicht möglich gewesen", teilte der 28-jährige Wiener Max Schrems kurz nach der Urteilsverkündung des Europäischen Gerichtshofs mit. Mehr als zwei Jahre hat er dagegen gekämpft, dass Facebook seine Daten über den Atlantik transferiert, wo sie vor dem Zugriff der amerikanischen Sicherheitsbehörden nicht sicher sind - erst in Irland, wo Facebook seine Europazentrale unterhält, dann in Luxemburg.

Nun haben Europas oberste Richter das sogenannte Safe-Harbour-Abkommen aus dem Jahr 2000 gekippt. Es gab eine Art pauschale Garantie ab, dass für die personenbezogenen Daten europäischer Bürger in den Vereinigten Staaten ein "angemessenes Schutzniveau" vorausgesetzt werden könne. Generell verbietet die EU-Datenschutzrichtlinie von 1995 die Weitergabe solcher Informationen in Länder, die keine Schutzmechanismen auf europäischem Niveau kennen. Um den damals anschwellenden Datenstrom über den großen Teich nicht versiegen zu lassen und die wirtschaftliche Kooperation mit den USA nicht zu gefährden, wurde in Absprache mit der EU-Kommission ein neues Verfahren entwickelt: Jene US-Firmen, die sich beim Washingtoner Handelsministerium registrieren ließen und zu bestimmten Prinzipien im Umgang mit Daten bekannten, wurde der Datentransfer aus Europa automatisch erlaubt. Bisher sind 5500 amerikanische Unternehmen dieser Safe-Harbour-Regelung beigetreten - darunter alle großen Konzerne wie Microsift, Google und Facebook, aber auch Clouddienste wie Dropbox..

Sie waren dennoch nie ein sicherer Hafen für europäische Daten, wie das Luxemburger Urteil nun klargestellt hat. Begründet wird das von den Richtern einerseits damit, dass die Safe-Harbour-Regelung "nur für die amerikanischen Unternehmen gilt, die sich ihr unterwerfen, nicht aber für die Behörden der Vereinigten Staaten". Weil die nationale Sicherheit nach dem 11. September 2001 in den USA mehr denn je Vorrang vor anderen Erwägungen genieße, wären Facebook & Co. bei Geheimdienstanfragen verpflichtet, die "Schutzregeln unangewandt zu lassen, wenn sie in Widerstreit zu solchen Erfordernissen stehen". Dass EU-Bürger in den USA nicht gegen den Missbrauch ihrer Daten klagen können, kam für den Gerichtshof erschwerend hinzu.

Für die europäische Praxis noch bedeutender ist jedoch, dass die Feststellung, dass keinerlei Abkommen die Prüfkompetenz der zuständigen Datenschutzbehörden "beseitigen noch auch nur beschränken kann". Fortan müssen die allgemeinen Geschäftsbedingungen, mit denen europäische Amazon-Kunden oder Google-Nutzer bisher in die Datenverarbeitung auf amerikanischen Servern einwilligen, von den zuständigen Stellen genehmigt werden. Im konkreten Fall muss nun also die irische Behörde erneut prüfen, ob Max Schrems' Facebook-Daten in den USA sicher sind oder nicht - ohne jedoch noch einmal auf die Safe-Harbour-Regeln verweisen zu können.

Im Europaparlament, das deren Aussetzung schon vor anderthalb Jahren gefordert hatte, wurde das Urteil entsprechend begrüßt. "Die EU-Kommission hätte diesen Missstand beheben müssen, bevor es überhaupt zu dieser Klage kam", sagte die SPD-Abgeordnete Birgit Sippel. "Schlimm, dass der Gerichtshof ausbügeln muss, was die Politik versäumt hat", ärgerte sich ihr Grünen-Kollege Jan-Philipp Albrecht, "nun sind 15 Jahre lang illegal Daten in die USA geflossen."

Einig sind sich die Abgeordneten aber auch darin, dass nun Rechtsunsicherheit herrscht. Während Sippel dies der zögerlichen Kommission anlastet, kritisierte der CDU-Parlamentarier Axel Voss das Gericht, weil es den bisherigen Rechtsrahmen "ohne jegliche Übergangsmöglichkeit aufhebt - das bringt die Unternehmen in große rechtliche Schwierigkeiten". Zudem würden die verschiedenen nationalen Behörden - in Deutschland auch die der Bundesländer - "die Gleichwertigkeit des grundrechtlichen Schutzes in den USA auch unterschiedlich auslegen".

Die EU-Kommission ist sich keiner Schuld bewusst und verweist darauf, dass sie seit fast zwei Jahren mit den Amerikanern über ein "überarbeitetes und sicheres Rahmenabkommen" verhandelt, wie Vizepräsident Frans Timmermans sagte. Der Grüne Albrecht freilich bezweifelt, ob das Urteil ein neues Abkommen überhaupt zulässt: "Mit Selbstverpflichtungen auf amerikanischer Seite wird es jedenfalls nicht, wenn überhaupt mit neuen US-Gesetzen." Die zuständige Justizkommissarin Vera Jourova spricht am Dienstag dennoch nur von einer "Zwischenphase" ohne gültiges Abkommen, aber auch weil die neue EU-Datenschutzverordnung, die das Schutzniveau europaweit harmonisieren wird, immer noch nicht ganz fertig verhandelt ist: "Der Datentransfer unterliegen nun vorübergehend 28 verschiedenen Schutzregimen", so die Tschechin: "Wir werden nun sehr schnell eine Handreichung für eine möglichst einheitliche Auslegung liefern - die Bürger und Unternehmen brauchen Klarheit."

Max Schrems, dessen Klage diese hektischen Aktivitäten ausgelöst hat, bekam den Dank an Edward Snowden vom berühmtesten aller Whistleblower am Dienstagnachmittag zurück. "Glückwunsch", schrieb Snowden ihm über Twitter, "Du hast die Welt zum Besseren verändert."