Die Abenteuer persönlicher Daten im Europäischen Gerichtshof

7 Okt 2015

In dieser Woche entschied der Europäische Gerichtshof, dass die Safe-Harbor-Vereinbarung ungültig ist. Die Vereinbarung hätte amerikanischen Firmen erlaubt, persönliche Daten europäischer Nutzer in den USA zu speichern und zu kopieren, wenn ein „ausreichendes Maß“ an Schutz für die Privatsphäre garantiert wird. Das Urteil ist gleichzeitig gut und schlecht.

Das Gute daran ist, dass das Urteil zeigt, dass sich die Menschen sehr um die Privatsphäre sorgen und endlich verstanden haben, dass ihre persönlichen Daten sehr wertvoll sind. Und manche Menschen sind sogar bereit, bis zum höchsten Gericht zu gehen, um Rechtsprechung für ihre privaten Daten zu fordern. In der Zeit nach den Snowden-Enthüllungen ist das nicht überraschend: Geheimdienste verletzten laufend die Privatsphäre der Menschen und das ist heute offensichtlicher denn je. Alles in allem kann das Maß an Schutz für unsere Privatsphäre kaum als „ausreichend“ bezeichnet werden.

Doch das aktuelle Urteil ist noch nicht das Ende des Prozesses, sondern erst dessen Anfang. Irische Behörden (der Fall wurde in Irland vor Gericht gebracht, da Facebooks europäische Zentrale in Dublin ist) müssen die Beschwerde nun prüfen und entscheiden, ob der „Transfer von Facebooks europäischen Nutzern in die USA ausgesetzt wird“, da dieser „nicht den ausreichenden Schutz der persönlichen Daten bietet“.

Man sollte noch anmerken, dass die Entscheidung des Europäischen Gerichtshofs endgültig ist und nicht in Berufung gegangen werden kann.

Dieser Schritt der Europäischen Union ist nicht der erste in Bezug auf den Datenschutz. Im Februar verabschiedete auch die Russische Föderation ein Gesetz, das vorschreibt, dass die persönlichen Daten russischer Bürger ab September lokal in Russland gespeichert werden müssen. Anders als im Fall der EU war hier kein Gerichtsverfahren notwendig, da es keine Safe-Harbor- oder ähnliche Vereinbarung mit den USA gab.

Wie bei schnellen Gesetzgebungen, wie der in Russland, oft der Fall ist, wurde der Termin in den Januar 2016 verlegt, da die meisten Firmen, die in Russland auf dem Markt sind, nicht so schnell reagieren und die Daten ihrer Anwender nicht so schnell transferieren konnten. Einige davon, zum Beispiel Facebook, werden das neue Gesetz wahrscheinlich ignorieren und die Zahlung von Strafen bevorzugen (die recht moderat ausfallen), statt extra teure, lokale Datenzentren aufzubauen.

Das Problem ist allerdings, dass die Menschen Daten für etwas körperliches halten. „Sieht so aus, als wäre unser Auto dort drüben nicht sicher, also parken wir es nur in unserer Einfahrt und nirgendwo anders.“ Doch Daten sind einfach nur Daten – etwas flüchtiges. Es ist einfach, auf sie zuzugreifen, es ist einfach, sie zu kopieren. Was überraschender Weise nicht einfach ist, ist komplett zu kontrollieren, wohin die Daten geographisch fließen.

Großen Firmen wie Google, Facebook, VISA, MasterCard und vielen anderen, die weltweit Dutzende Datenzentren betreiben, ist es meist egal, wo die Daten ihrer Nutzer <i>tatsächlich</i> gespeichert sind. Es ist immerhin das Internet. Alles ist nur ein paar Millisekunden von dir weg, also warum sich darüber aufregen, in welchem Land die Daten liegen?

Es wird einige Zeit dauern, bis diese Firmen alles sortieren können und wissen, was hier und was woanders gespeichert werden soll. Die schlechte Nachricht ist daher, dass manche Menschen Informationen auf altmodische Weise behandeln, so wie sie physikalische Dinge behandeln. Und sie versuchen, Mauern in der virtuellen Welt aufzubauen – einer Welt die so gestaltet wurde, zusammenhängend und grenzenlos zu sein.

Das ist eine Sackgasse. Bis das jeder verstanden hat, werden IT-Firmen ein Unmenge Geld ausgeben und viel Arbeitszeit darauf verwenden, die eine oder andere Regierung zu besänftigen. Jetzt werden sie erst einmal mit der Europäischen Union und mit Russland zu tun haben. Später werden andere Länder nachziehen und die Firmen weiter quälen. Holen Sie schonmal das Popcorn raus.

Zurück zum oben angesprochenen Auto-Vergleich: Die eigentliche Frage ist nicht, wo das Auto tatsächlich geparkt ist. Die eigentliche Frage sollte sein, wie sicher sind die Türschlösser? Oder ob es legal ist, ein Auto zu stehlen? Oder was man mit einem Dieb machen kann? Und die wichtigste Frage ist wahrscheinlich, warum jeder auf der Welt einen Schlüssel zu MEINEM Auto besitzt?