- Vergiss die Google-Strafe; das EU-US Data Privacy Framework steht durch aktuelle US-Gerichtsurteile und politische Entscheidungen vor dem Zusammenbruch.
- Ein US Supreme Court Urteil bestätigt die uneingeschränkte Kontrolle des Präsidenten über Exekutivbehörden, wodurch die für den Datenschutz nötige Unabhängigkeit amerikanischer Aufsichtsbehörden nicht mehr gegeben ist.
- Dies führt zu einer fundamentalen Verfassungsunverträglichkeit zwischen den USA und der EU hinsichtlich der Übermittlung personenbezogener Daten.
- Die EU-Kommission muss sich nun entscheiden, ob sie unser EU-Recht beugt, die Augen verschließt oder konsequent Digitale Souveränität fördert, um diese Krise zu lösen.
- Egal welchen Weg die EU wählt, ist es für Dich entscheidend, jetzt aktiv Deine Digitale Souveränität auszubauen, um Dich von teuren Abhängigkeiten großer US-Konzerne zu befreien.
Schrems III: Die EU-US Datenschutz Verfassungskrise
Du denkst vielleicht, die aktuell größte Online Marketing News aus den Gerichtssälen dieser Welt ist die 4,1 Milliarden € Strafe gegen Google, die der EUGH letzte Woche endgültig bestätigt hat?
Ist ja schon wichtig, dass die Wettbewerbshüter der EU sich trauen, gegen Google vorzugehen und das auch durchzuziehen. Und immerhin ist die Strafe eine Rekordsumme und macht einen signifikanten Anteil des Jahresumsatzes von Google aus. Also wenn man den von 2018 (als die Strafe ursprünglich verhängt wurde) anlegt... Der Jahresumsatz von Google ist im Jahr 2025 schon fast das Dreifache, und der Jahresüberschuss fast so hoch wie der Umsatz von 2018..., und Google hatte 6 Jahre Zeit, das Kleingeld zur Seite zu legen.
Einen kleinen Dip im Aktienkurs gab es nach der Urteilsverkündung am Donnerstag (02.06.25) zwar, aber keinen Absturz.
Und da in der letzten Instanz auch keine neuen spannenden Beweise ausgepackt wurden, sind auch keine neuen Erkenntnisse mit Relevanz für unsere tägliche Arbeit daraus hervorgegangen. Insofern ist die Entscheidung zwar wichtig (und aus meiner Sicht auch richtig), aber nicht die Nachricht, über die ich hier mehr als 200 Worte verlieren sollte. Also wechseln wir vorher den Gerichtssaal und widmen uns dem in der Überschrift angeschnittenen Thema.
Der US Supreme Court stürzt EU-U.S. Data Privacy Framework in eine Verfassungkrise
Max Schrems meldete sich kürzlich auf LinkedIn und deutete ein Schrems III an. Das kommt nicht überraschend. Im Gegenteil, es überrascht, dass es nicht schon vor Monaten passiert ist. Wie seine Vorgänger war das EU-US DPF ein Kartenhaus aus Feigenblättern und hat die grundlegenden Probleme, die der EUGH bei Schrems I und II angemerkt hat, nicht behoben.
Am 20. Januar 2025, als eine der ersten Amtshandlungen vom Nachfolger des letzten amerikanischen Präsidenten, wurde dann das Privacy and Civil Liberties Oversight Board demontiert. Das war das im Abkommen vorgesehene "unabhängige" Aufsichtsgremium, welches vom letzten amerikanischen Präsidenten dafür eingesetzt wurde. Spätestens damit war dieses Kartenhaus dann auch zusammengebrochen.
Ein aktuelles US Supreme Court Urteil zum Fall „Trump vs Slaughter” hat noch einen draufgesetzt. Das Urteil bestätigt die Verfassungsauslegung der „Unitary Executive Theory“, die besagt, dass der Präsident grundsätzlich uneingeschränkte Kontrolle über die Exekutivbehörden der USA hat. Eine Behörde, über die ein Präsident uneingeschränkte Kontrolle hat, ist per Definition nicht unabhängig. Mit diesem Urteil haben die USA also de facto keine unabhängigen Behörden mehr.
Die EU-Charta und der EU-Vertrag haben aber ein Problem mit der Übertragung von personenbezogenen Daten aus der EU in Drittstaaten, wenn dort der Datenschutz nicht durch unabhängige Behörden kontrolliert wird.
Nach Max Schrems Auslegung der Rechtslage haben wir damit eine fundamentale Inkompatibilität zwischen der Verfassung der USA und der Verfassung der EU, was die Übertragung von personenbezogenen Daten aus der EU in die USA angeht.
Nach den letzten Schrems-Urteilen haben einfach alle Beteiligten, also die Regierungen der EU, der USA und jedes Unternehmen in der EU, das mit einem US-Unternehmen personenbezogene Daten austauscht (also quasi jedes das eine Internetseite hat), dann die Augen zugekniffen und die Illegalität der Datenübertragung solange ignoriert, bis ein neues Abkommen da war.
Aber wenn der EUGH die Auslegung bestätigt, dass die USA keine unabhängigen Behörden mehr haben, dann würde es nicht nur echt schwer werden, ein neues Datenschutzabkommen zusammenzuzimmern...
Entsprechend schreibt Noyb einen offenen Brief an die EU-Kommission mit der Bitte um einen "Orderly Exit" aus dem Abkommen, bevor der EUGH das Abkommen nach 2-3 Jahren Gerichtsprozess “plötzlich” absägt.
Im offenen Brief wird dabei explizit die Federal Trade Commission (FTC) als (nun nicht mehr) unabhängige Aufsichtsbehörde genannt, die 259 mal im Abkommen erwähnt wurde. Ich weiß nicht, ob es so gemeint war. Aber vielleicht möchte Max Schrems, dass die EU-Kommission kurz stutzt und darüber nachdenkt, welche anderen Abkommen die FTC noch ähnlich häufig erwähnen, bevor sie nach kurzem Schmunzeln über die Idee mit dem Orderly Exit den Brief in den Papierkorb wirft...
Ich hatte auf jeden Fall kurz einen Max Schrems vor meinem geistigen Auge, der sagt „Schöne Handelsabkommen haben sie da. Wäre doch schade, wenn der EUGH denen allen die Rechtsgrundlage entzieht…”
Was passiert jetzt?
Die EU-Kommission hat jetzt mehrere Optionen
- Sie kann kurzfristige wirtschaftliche Interessen und Wünsche von Lobbyisten vor langfristige wirtschaftliche Interessen der EU, Rechte der EU-Bürger und Unabhängigkeit der EU stellen und das EU-Recht so verbiegen, dass alle weitermachen können wie bisher.
- Sie kann die Augen zukneifen, die Ohren zuhalten und laut „Ich kann Euch nicht hören” rufen und darauf hoffen, dass die USA das mit ihrer Gewaltenteilung, dem Rechtsstaat und dem ganzen anderen Demokratiegedöns bald wieder (wenigstens einigermaßen) auf die Kette kriegen.
- Sie kann diese Digitale Souveränität, von der sie im Tech Sovereignty Package redet, ernst nehmen und Rahmenbedingungen schaffen, das Unternehmen aus der EU sich wirklich von den großen US-Monopolisten loseisen und es europäische Alternativen für diese gibt (die geltendes EU-Recht beachten).
Ich denke anhand der von mir gewählten Formulierungen kannst Du Dir denken, welcher Weg mein Favorit wäre.
Es fällt mir leider schwer, einzuschätzen, welchen Weg die EU einschlagen wird. Aber unabhängig davon, welchen Weg die EU-Kommission wählt, hast Du im Prinzip die gleiche Entscheidung, was Deine Digitale Souveränität angeht.
- Du kannst das Thema ignorieren und akzeptieren, dass Du langfristig von großen Cloud Anbietern und Co. abhängig bleibst. Das ist kurzfristig günstiger, aber diese Abhängigkeit wird langfristig immer teurer werden.
- Du kannst hoffen, dass es schon nicht so schlimm werden wird.
- Du arbeitest an Deiner Digitalen Souveränität.
Auch wenn kein Schrems III stattfindet (und das diesmal auch tatsächlich durchgesetzt wird), ist Letzteres eine langfristig kluge Variante.
Denn solange Du im Vendor-Lock-In eines großen Konzerns sitzt, wird Deine Rechnung teurer werden, bis Deine Gewinnmarge aufgefressen ist. Das gilt, egal ob es die Cloud ist, in der Du Deine Daten hostest, die Werbekonten, über die Du Deinen Traffic einkaufst oder das AI-Tool, mit dem Du versuchst Deine Prozesse zu automatisieren.