Geklagt hatte der österreichische Jurist Max Schrems (hier im WIRED-Interview). Seine Frage an den EuGH: Gilt das Safe-Harbor-Abkommen, das den Datentransfer von Europa in die USA erlaubt, auch im Fall Facebook? Es erlaubt etwa das Speichern von Geburtsort, Telefonnummer oder E-Mail-Adresse von EU-Bürgern auf US-Servern, vorausgesetzt, die beteiligten Firmen erfüllen ein „angemessenes Datenschutz-Niveau“. De facto erschuff das Abkommen eine Ausnahme von nationalen europäischen Datenschutzgesetzen, die für Facebook, aber auch Microsoft, Google und andere — ständige Kritik an deren Umgang mit Nutzerinformationen hin oder her.
Bis jetzt, der EuGH hat Schrems geantwortet und Safe Harbor für ungültig erklärt. Die Vereinbarung gelte „nur für die amerikanischen Unternehmen, die sich ihr unterwerfen, nicht aber für die Behörden der Vereinigten Staaten“. Damit folgte das Gericht der Ansicht seines Generalanwalts, dass spätestens seit den Snowden-Enthüllungen nicht mehr davon auszugehen sei, dass die USA tatsächlich ein „sicherer Hafen“ für Daten europäischer Bürger (sprich: diese vor dem Zugriff der dortigen Behörden geschützt) sind. Außerdem hätte die EU-Kommission die Eingriffsmöglichkeiten nationaler Datenschützer nie so stark einschränken dürfen, wie es durch das Abkommen der Fall war.
Das heutige Urteil bedeutet kein abruptes Ende des Datenaustauschs über den Atlantik hinweg. Die Übertragung personenbezogener Daten wird für Konzerne wie Facebook rechtlich allerdings deutlich erschwert. Denkbar sind vorgeschriebene Opt-In Verfahren, also die Einwilligung des Nutzers vor der Datenübermittlung, und Auflagen, die User vorab über den genauen Verwendungszweck informieren und darüber, wie weit die Datenverarbeitung reicht.
Besonders schmerzhaft dürfte dabei ein weiteres Detail sein: Die Konzerne müssten eigentlich ab sofort in ihren Geschäftsbedingungen darauf hinweisen, dass die US-Geheimdienste auf die bei ihnen gespeicherten Daten zugreifen können. Genau das verbietet jedoch das amerikanische Recht, das den Firmen hinsichtlich der Zusammenarbeit mit NSA und Co. de facto einen Maulkorb verpasst. Das könnte möglicherweise dazu führen, dass Facebook und Co. jetzt neue Rechenzentren in Europa bauen müssen, um sowohl dem EuGH-Urteil als auch dem geltenden US-Recht gerecht werden zu können.
Schrems Klage richtete sich ursprünglich nur gegen Facebook, aber auch gegen die Aktivitäten anderer Unternehmen kann nun Einspruch erhoben werden. Das könnte theoretisch auch europäische oder deutsche Firmen treffen, wenn sie etwa personenbezogene Daten bei Dienstleistern in den USA speichern.