Datenschutz in der EU: Wie Edward Snowden die Regeln änderte

Noch vor zehn Jahren war es undenkbar, dass europäische Bürger sich gegen die Überwachung des Geheimdienstes NSA vor Gericht wehren könnten. Dass das heute anders ist, liegt an Whistleblower Edward Snowden. Wie wohl kein anderer US-Geheimdienstmitarbeiter zuvor hat Edward Snowden für weltweites, langanhaltendes Aufsehen gesorgt, als er 2013 die neuesten technischen Überwachungsmöglichkeiten ans Licht der Öffentlichkeit brachte – und damit auch den europäischen Datenschutz wehrhaft machte.

Was hat sich seither noch geändert?

Die Sollseite: Die Macht der Geheimdienste

Die Sollseite der Snowden-Enthüllungen ist rasch zusammengefasst: Weder US-Geheimdienste noch andere Geheimdienste rüsteten ab. Stattdessen wurde in mehreren Ländern die digitale Aufrüstung diskutiert und durchgesetzt. Die in Deutschland zuvor als illegal gewerteten Aktivitäten des Bundesnachrichtendienstes wurden nach den Enthüllungen legalisiert.

Zunächst sah alles nach einer konstruktiven Aufklärungsarbeit auf: Der BND stellte nach der Veröffentlichung der Snowden-Dokumente im Jahr 2013 eine Liste von rund 2.000 rechtswidrigen Selektoren zusammen. Außerdem stellte die Bundesregierung ein sogenanntes No-Spy-Abkommen mit den USA in Aussicht, dass die gegenseitige Spionage und Verletzung des jeweiligen nationalen Rechts ausschließen würde.

2014 lehnte die Bundesregierung dann aber die von der Opposition geforderte Zeugenvernehmung von Edward Snowden mit Verweis auf nationale Interessen ab. Die USA hatten damit gedroht, Deutschland nicht mehr mit Informationen zur terroristischen Gefahrenabwehr zu versorgen. Kurz darauf gab das Bundesverfassungsgericht der Opposition recht, Edward Snowden als Zeugen einladen zu dürfen (BVerfGE v. 4.12.2014– 2 BvE 3/14). Allerdings könne dazu nur ein Ersuchen an die Bundesregierung gestellt werden. Das Gericht äußerte sich nicht dazu, ob die Bundesregierung dem Ersuchen nachkommen muss. Sie tat es dann auch nie.

2015 wurden im Zuge des parlamentarischen NSA-Untersuchungsausschusses 459.000 Filtermechanismen für die Massenüberwachung gefunden, sogenannte Selektoren. Dabei handelte es sich auch um europäische Politiker und Unternehmen. Nur 400 dieser Selektoren wurden vom Geheimdienst aufgegeben. Laut einem Bericht des Spiegel waren rund 20.000 Selektoren, die sich gegen europäische Akteure wandten, noch aktiv.

2016 wurde das BND-Gesetz zur Geheimdienst-Überwachung reformiert, das dem Bundesnachrichtendiensten zahlreiche neue Befugnisse einräumte. Demnach darf der Dienst außer der gesamten Telekommunikation im Ausland auch die im Inland komplett überwachen. Gleichzeitig wurde die parlamentarische Kontrolle der Geheimdienste verbessert: So darf das Parlamentarische Kontrollgremium eine Person für das Amt des Ständigen Bevollmächtigten vorschlagen, der es mit einem eigenen Mitarbeiterstab unterstützen soll. Ernannt wird der Beauftragte vom Bundestagspräsidenten. Seit der Novelle führt das Gremium nach US-Vorbild jährlich öffentliche Anhörungen der Präsidenten der Nachrichtendienste durch.

2017 wurde die Zentrale Stelle für Informationstechnik im Sicherheitsbereich (ZITIS) gegründet, um Sicherheitsbehörden nach Vorbild der NSA mit Lausch-, Spionage- und Angriffswerkzeugen auszustatten. Seither wird auch um das Thema der Hackbacks, der IT-Gegenangriffe gerungen. Brauchen sie eine eigene gesetzliche Grundlage? Auch 2023 ist das Thema politisch noch nicht entschieden, da unklar ist, ob und in welchem Maße neue Sicherheitsrisiken entstehen.

Seit 2021 dürfen bundesdeutsche Geheimdiensten die sogenannte Quellen-Telekommunikationsüberwachung durchführen. Hierfür wurde das Verfassungsschutzrecht angepasst. Außerdem darf die Bundespolizei nach dem ebenfalls 2021 novellierten Bundespolizeigesetz diese Form der Überwachung gegen Personen einsetzen, die noch keine Straftat begangen haben. Von einem No-Spy-Abkommen ist schon lange keine Rede mehr.

Die Habenseite: Ein starker Datenschutz

Auf der Habenseite ist zu verzeichnen, dass die Enthüllungen zeigten, dass ein wehrhafter Datenschutz notwendig und möglich ist. Der Dokumentarfilm Democracy. Im Rausch der Daten zeigte, wie sich die Stimmung im europäischen Parlament im Zuge andauernden Enthüllungen in den Jahren 2015 und 2016 langsam änderte. Die Proteste auf der Straße gegen die ausufernde Überwachung nehmen zu, immer mehr Abgeordnete sind bereit, dem Lobbydruck von US-Internetkonzernen eigene Vorstellungen von einem starken europäischen Datenschutz entgegenzusetzen.

In Folge traten 2018 mit der europäischen Datenschutz-Grundverordnung (DSVO) europäische Datenschutzstandards in Kraft, die weltweit ausstrahlen: In den USA orientiert sich das kalifornische Datenschutzgesetz an der DSGVO, auch in Brasilien und Indien wurden Vorschriften verschärft. Denn zunehmend stehen die Unternehmen vor der Wahl, entweder Regularien aus westlichen Demokratien zu übernehmen oder Vorgaben aus Ländern wie China umzusetzen, die allerdings erheblich mehr staatliche Eingriffe einfordern. Im Zweifelsfall haben sie sich bislang für die Vorgaben nach der DSGVO entschieden, die sich damit weltweit als Goldstandard in Sachen Datenschutz etablieren kann.

Ohne den Massen-Leak von Edward Snowden wäre die DSGVO vermutlich ein zahnloses Regelwerk geblieben. Erst die öffentliche Empörung über die anlasslose Massenüberwachung seitens der US-Geheimdienste sorgte dafür, dass das europäische Parlament der Datenschutzaufsicht ein wirksames Sanktions-Instrumentarium an die Hand gab.

Die europäischen Aufsichtsbehörden verhängten 2022 Bußgelder in einer Höhe von insgesamt 1,6 Mrd. Euro. Im Vorjahr waren es 1,1 Mrd. Euro gewesen. Zu diesem Ergebnis kam eine Auswertung der britisch-deutschen Kanzlei DLA Piper, die seit der Einführung der Datenschutz-Grundverordnung die Entwicklung der Bußgelder und gemeldeten Datenpannen untersucht. Die Umsetzung der europäischen Datenschutzgrundverordnung können Unternehmen damit nicht mehr länger auf die lange Bank schieben.

2023 schließlich hat die EU-Kommission das nunmehr dritte Abkommen zu transatlantischen Datenverkehr mit der US-Regierung abgeschlossen, dieses Mal unter dem Namen EU-US Data Privacy Framework. Es gab einige Nachbesserungen, die europäischen Bürger:innen mehr Rechtssicherheit in Überwachungsfragen zusichern, doch der österreichische Datenschutzexperte und Bürgerrechtler Max Schrems, der bereits die beiden Vorgängerabkommen vor dem Europäischen Gerichtshof EuGH zu Fall gebracht hat, hat auch dazu schon die Klageschrift fertig. Wenn jetzt seit dem 10. Oktober 2023 US-Unternehmen wieder rechtssicher Daten europäischer BürgerInnen in die USA importieren können, ist das für Schrems gleichbedeutend der Startschuss zur Einreichung seiner Klage.

Die Aufgabe: Ringen um den Transatlantischen Datenverkehr

Die Snowden-Leaks kamen zu einer Zeit, in der Fragen des praktischen transatlantischen Datenschutzes debattiert, aber nicht in der Praxis umgesetzt wurden. Viele Missstände des transatlantischen Datenverkehrs waren bekannt, doch es gab keine rechtliche Handhabe diese abzustellen. US-Firmen konnten sich selbst zertifizieren, Verstöße wurden vom US-Handelsministerium kaum geahndet. Europäische Datenschutzbehörden unternahmen nichts, da eine Umsetzung des Datenschutzes praktisch aussichtslos war. Sie wagten es nicht einmal, den praktisch wirkungslosen Safe Harbor anzufechten. Dabei handelte es sich um ein Abkommen von 2000 zwischen den USA und der EU-Kommission zur Einhaltung des europäischen Datenschutzes. Die umfassende Auswertung der Daten durch die US-Geheimdienste war damals nicht mehr als eine Vermutung. Beweise gab es keine. Es waren vor allem Rechtsanalysen, die darauf hinwiesen, dass europäische Bürger die Datenauswertung hinzunehmen hatten.