Die EU-Kommission arbeitet an einem Gesetz, das Internet-Unternehmen und Diensteanbietern vorschreiben soll, Metadaten aller Kunden ohne Anlass zu speichern. Es geht darum, Verkehrsdaten für einen noch nicht näher bestimmten Zeitraum zu speichern und an staatliche Behörden herauszugeben. Man mag das Wort fast nicht mehr hören: Es geht wieder um die Vorratsdatenspeicherung.

Die Diskussionen um die Idee begannen in Europa schon kurz nach dem 11. September 2001. In Deutschland war das Thema erstmal abgeräumt, als das Bundesverfassungsgericht die damalige deutsche Regelung zur Vorratsdatenspeicherung für verfassungswidrig und nichtig erklärte. Mehr als zwanzig Jahre später steht der Zombie wieder auf, in Europa und auch in Deutschland.

Der Europäische Gerichtshof hatte immer wieder darüber geurteilt und noch letztes Jahr im Grundsatz seine Position beibehalten: Eine allgemeine anlasslose Vorratsdatenspeicherung ist europarechtswidrig.

Doch die Kommission probiert es erneut. Im Juni kündigte sie an, eine Folgenabschätzung für eine neue Vorratsdatenspeicherung durchzuführen. Denn weil die verdachtsunabhängige Massenüberwachung ein schwerer Eingriff in die Privatsphäre aller Menschen in Europa wäre, müssen die Folgen erwogen werden.

Öffentliche Konsultation

Daher läuft nun eine Befragung zur „Öffentlichen Konsultation zu einer EU-Initiative zur Vorratsdatenspeicherung durch Diensteanbieter für Strafverfahren“. Die Kommission will in dem Fragebogen wissen, was die Bevölkerung von dem Neuanlauf hält. Sie fragt darin auch nach alternativen Maßnahmen und warum sie vorzuziehen wären.

Dankenswerterweise hat EDRi eine ausführliche Hilfestellung veröffentlicht, die das Ausfüllen erleichtert. Die Digitale Gesellschaft hat sie auf Deutsch angepasst.

Man kann entweder die dortigen Empfehlungen in der Befragung schnell durchklicken oder aber in Ruhe die Argumente wägen und die Begründungen für die Empfehlungen lesen und sich selbst eine Meinung bilden. Einzige Voraussetzung zur Teilnahme ist eine funktionierende E-Mailadresse.

Die EU-Kommission begründet ihren Vorstoß zur Vorratsdatenspeicherung mit der Behauptung, dass schwere Straftaten wie Mord oder Terror mit der anlasslosen Speicherpflicht besser aufgeklärt werden könnten. Unterschiede in den gesetzlichen Regelungen der Mitgliedstaaten erschwerten eine Aufklärung von Straftaten. Generell sollen Strafverfolgungsbehörden in Europa im Rahmen der Strategie für die innere Sicherheit („ProtectEU“) mehr Zugang zu Daten erhalten.

Bisher haben die Deutschen im Vergleich mit den anderen Europäern den Spitzenplatz bei den bisher über 2.300 Konsultationsteilnehmern. Die Befragung läuft noch bis 12. September. Die Rückmeldungen sollen in den Gesetzgebungsprozess und konkret in ein Arbeitspapier einfließen, welches für das erste Quartal 2026 vorgesehen ist.

Google ist mit einem blauen Auge davongekommen: Obwohl US-Gerichte den Werbekonzern in Kartellrechtsverfahren wiederholt als Monopolisten eingestuft haben, bleiben spürbare Konsequenzen weiter aus. Zum ersten dieser Verfahren entschied gestern ein Bundesgericht in Washington D.C., dass Google lediglich bestimmte Daten aus seinem Suchgeschäft mit „qualifizierten Wettbewerbern“ teilen muss. Auch exklusive Knebelverträge mit beispielsweise Smartphone-Herstellern sollen künftig tabu sein.

Gefordert hatte das klagende US-Justizministerium weitaus mehr. Der marktbeherrschende Anbieter müsse etwa den populären Chrome-Browser verkaufen, verlangten die Wettbewerbshüter. Auch eine Abspaltung des mobilen Betriebssystems Android stand zur Debatte.

Den Forderungen schloss sich der Richter Amit Mehta nicht an. Es sei nicht offenkundig, dass „radikale strukturelle“ Eingriffe wie eine Zerschlagung des Konzerns notwendig seien, um einen funktionierenden Wettbewerb auf dem Markt für Online-Suche herzustellen, heißt es im Urteil.

KI-Chatbots mischen Karten neu

Letztlich waren es Chatbots beziehungsweise sogenannte Generative Künstliche Intelligenz, die Google vorerst vor dem Schlimmsten bewahrt haben. Ihr rasantes Wachstum, seit ChatGPT des Anbieters OpenAI Ende des Jahres 2022 auf den Markt kam, hätte den „Lauf des Verfahrens verändert“, so der Richter. Ihm zufolge sei nicht gesichert, dass Google seine Dominanz in der allgemeinen Online-Suche auf generative KI-Anwendungen übertragen könne.

Tatsächlich sind seitdem viele Menschen von traditionellen Suchmaschinen auf solche Bots umgestiegen, mit denen sie etwa Konversationen führen können, um an die gewünschte Information zu kommen. Google selbst blendet inzwischen mit Hilfe von KI erstellte Zusammenfassungen prominent in seinen Suchergebnissen ein und rollt ebenfalls Chatbots aus.

Langfristig könnte dies den Markt für Online-Suche dramatisch umkrempeln, selbst wenn der Richter eingeräumt hat, kein KI-Experte zu sein und er notwendigerweise „in die Glaskugel“ schauen müsse. Überhaupt sei laut dem Urteil nicht klar, ob etwa ein Verkauf des weit verbreiteten Chrome-Browsers die Vorherrschaft Googles eindämmen würde – auch wenn die „Chrome-Standardeinstellung zweifellos zur Dominanz von Google bei der allgemeinen Online-Suche beiträgt“, wie der Richter ausführt.

Digitalkonzerne unter der Lupe

Eingereicht wurde die Klage bereits im Jahr 2020. Sie spiegelte die zunehmende Meinung wider, dass Digitalkonzerne wie Alphabet, zu dem Google gehört, aber auch Meta, Amazon oder Apple, nicht nur zu groß geworden seien, sondern ihre Dominanz mitunter mit illegalen Methoden erlangt und abgesichert hätten.

Gegen die Unternehmen läuft derzeit eine ganze Reihe ähnlich gelagerter Kartellverfahren. Zuletzt hatte im Frühjahr ein weiteres Bundesgericht entschieden, dass Google ein illegales Monopol bei bestimmten Online-Werbetechnologien errichtet hat. Daraus folgende Konsequenzen sollen im Laufe des Herbstes verkündet werden.

Im aktuellen Fall halten sich die Folgen für Google in Grenzen. Die Auflage, bestimmte Suchdaten an die Konkurrenz weitergeben zu müssen, sei ein „Nothingburger“, also praktisch wertlos, sagte etwa der Chef der Suchmaschine DuckDuckGo gegenüber der New York Times. Erlaubt bleiben weiterhin Verträge mit Herstellern wie Apple oder Mozilla, Google als voreingestellte Suchmaschine einzurichten. Verboten wird allerdings, dies an bestimmte Bedingungen zu knüpfen, etwa an die Zwangsinstallation von Google-Diensten. Außerdem muss Google ein „Technisches Komitee“ einrichten, welches die gerichtlichen Auflagen überprüfen soll. Beide Parteien halten sich eine Berufung offen.

Untersuchungen gegen Alphabets Marktdominanz hatte auch die EU eingeleitet. In einem vorläufigen Ergebnis warf die EU-Wettbewerbskommissarin Teresa Ribera dem Werbekonzern im Frühjahr vor, gegen den Digital Markets Act (DMA) verstoßen und seine marktbeherrschende Stellung missbraucht zu haben. Laut Medienberichten soll die finale Entscheidung für Anfang dieser Woche geplant gewesen sein. Angeblich soll jedoch Druck aus Washington zu einer Verschiebung geführt haben.

Der Gerichtshof der Europäischen Union hat eine Klage gegen die Grundlage für Datenausfuhren aus der EU in die USA abgewiesen. Die von der US-Regierung 2022 im Rahmen des EU-US-Data-Privacy-Framework ergriffenen Maßnahmen zum Schutz der Daten von EU-Bürger:innen seien ausreichend gewesen. Das teilte das Gericht heute in einer Pressemitteilung mit.

Damit hat eine drei Jahre zurückliegende Entscheidung der EU-Kommission Bestand, wonach das Datenschutzniveau in den USA europäischen Standards entspricht. Gegen diese sogenannte Angemessenheitsentscheidung hatte der französische Parlamentarier Philippe Latombe geklagt. Das Urteil ist für ihn eine Niederlage auf ganzer Linie.

Andauerndes Daten-Dilemma

Eine Angemessenheitsentscheidung der EU-Kommission sorgt dafür, dass Unternehmen Daten von EU-Bürger:innen ohne größeren rechtlichen Aufwand in einem anderen Land verarbeiten dürfen. Das betrifft im Fall der USA nicht nur die Interessen der großen US-Tech-Konzerne, sondern auch von europäischen Unternehmen, die Cloud-Dienste oder andere Services aus den USA nutzen.

Der große Knackpunkt: US-Geheimdienste haben weitreichende Befugnisse zur Massenüberwachung digitaler Kommunikation und setzen diese auch ein, wie die Snowden-Enthüllungen gezeigt haben. Davor müsste EU-Recht Europäer:innen eigentlich schützen, doch die USA sind nicht zu substanziellen Zugeständnissen bereit. Nach Klagen des österreichischen Juristen Max Schrems hatte der Europäische Gerichtshof (EuGH) in den vergangenen Jahren deshalb bereits zwei Angemessenheitsentscheidungen zugunsten der USA für nichtig erklärt.

Das führte dazu, dass europäische Datenschutzbehörden Unternehmen die Nutzung von Diensten wie Google Analytics untersagten. Nach jahrelanger Rechtunsicherheit und wachsendem Druck sowohl aus der US-amerikanischen als auch aus der europäischen Wirtschaft gab es 2022 eine Einigung auf höchster Ebene.

Der damalige US-Präsident Joe Biden unterzeichnete eine Executive Order, die den Schutz vor US-Geheimdiensten verbessern sollten. Unter anderem wurde ein neues Aufsichtsgremium geschaffen, das die Arbeit der Geheimdienste kontrollieren sollte: der Data Protection Review Court (DPRC).

Gerichtshof: Schutzmaßnahmen ausreichend

Philippe Latombe hatte nun argumentiert, dass die ergriffenen Schutzmaßnahmen nicht ausreichend sind. Der DPRC sei kein unabhängiges Gericht, dessen Arbeit gesetzlich festgeschrieben ist, sondern ein von der Regierung abhängiges Gremium. Tatsächlich hatte Donald Trump nach seinem Amtsantritt demokratische Mitglieder des Privacy and Civil Liberties Oversight Board entlassen, welches die Arbeit des DPRC überwacht.

Darüber hinaus kritisierte Latombe, dass US-Geheimdienste ihre Massenüberwachung ohne vorherige Genehmigung durch Richter:innen oder unabhängige Verwaltungsbehörden durchführen.

In beidem widerspricht das Gericht dem Kläger. Laut Aktenlage sei gegen den Angemessenheitsbeschluss zum Zeitpunkt nichts einzuwenden. In Sachen Massenüberwachung sei nach Rechtsprechung des EuGH keine Vorab-Genehmigung notwendig, auch eine nachträgliche Überprüfung reiche aus. Der Data Protection Review Court sei zudem ausreichend unabhängig und seine Arbeit durch zahlreiche Garantien abgesichert.

Im Übrigen habe sich die EU-Kommission vorgenommen, ihren Angemessenheitsbeschluss regelmäßig zu überprüfen. Wenn sich der Rechtsrahmen in den USA ändere, könne die Kommission ihre Angemessenheitsentscheidung also revidieren oder anpassen.

Schrems prüft Klage vor EuGH

Bei Max Schrems, der den Rechtsrahmen für den transatlantischen Datenverkehr bereits zweimal erfolgreich gekippt hat, löst die Entscheidung des Gerichts Kopfschütteln aus. Sie weiche sowohl von der Rechtsprechung des EuGH als auch von der faktischen Lage in den USA „völlig ab“, so der Jurist in einer ersten Stellungnahme. „Das angebliche US-‚Gericht‘ ist nicht einmal gesetzlich verankert, sondern nur eine Executive Order von Biden – und kann daher in einer Sekunde durch Trump abgesetzt werden.“ Donald Trump entlasse sogar Leute, deren Unabhängigkeit gesetzlich garantiert sei, da könne das DPRC nicht als unabhängig gelten. Es könne „in einer Sekunde“ von Trump eingestampft werden.

Allerdings, so Schrems, sei Latombes Klage recht eng gefasst gewesen. Er halte eine umfassendere Klage weiterhin für vielversprechend, die Datenschutzorganisation noyb prüfe derzeit die Optionen für ein solches Verfahren. „Auch wenn die Europäische Kommission vielleicht ein weiteres Jahr gewonnen hat, fehlt es uns weiterhin an Rechtssicherheit für Nutzer:innen und Unternehmen.“