Der Anruf kam mitten in der Nacht am ersten Dienstag im Februar. Am Apparat: John Kerry, der Außenminister der USA und Frans Timmermans, der erste Vizepräsident der Europäischen Kommission.
Die Verhandlungen für die Vereinbarung, die den Datenaustausch über den Atlantik für die Zukunft rechtssicher machen sollte, waren ins Stocken geraten. Die Zeit war mehr als knapp, die offizielle Frist war bereits am 31. Januar abgelaufen.
Der Deal kam schließlich doch noch zustande. Nur wie? POLITICO sprach mit zehn Unterhändlern und Beamten auf beiden Seiten. Alle Gesprächspartner bestanden, darauf, anonym zu bleiben.
Stunden vor dem Telefonat zwischen Kerry und Timmermans hatte Věra Jourová, Kommissarin für Justiz, Verbraucherschutz und Gleichstellung, vor dem Innenausschuss des Europaparlaments in Straßburg gesprochen, um die Abgeordneten zu informieren. Die Stimmung war frostig, Fortschritte hatte sie keine zu berichten.
Jourová verließ die Sitzung um neun Uhr abends. Bald danach telefonierte sie mit ihrem amerikanischen Pendant, US-Handelsministerin Penny Pritzker.
Zwei hohe Hürden
Die beiden Frauen sind erfahrene Verhandlungsführerinnen und hatten im vergangenen Monat viel miteinander gesprochen. Aber Pritzker konnte Jourová nicht die Zusicherungen geben, die die europäische Seite verlangte.
Zwei Hindernisse blieben: Die EU wollte Garantien von den USA, dass Beschwerden europäischer Bürger untersucht werden — und dass Daten nicht wahllos abgefangen werden. Das musste Chefsache werden. Die Kommission hatte die Neuverhandlung des Abkommens lange vor sich hergeschoben. Jetzt stand sie unter enormem Zeitdruck.
Dabei war schon seit Jahren klar, dass das Abkommen beschädigt war. Es fing an zu bröckeln, als Edward Snowden im Juni 2013 den Umfang der NSA-Überwachung aufdeckte. Denn damit wurde öffentlich, dass Daten von EU-Bürgern in den USA nicht vor Ausspähung geschützt sind. Die Kommission reagierte zwar mit einer Erklärung, in der sie die Überwachung kritisierte. Doch solange sie sich nicht mit den USA auf ein neues einigen konnte, sollte das alte Abkommen bestehen bleiben. So jedenfalls der Plan.
Auftritt Max Schrems. Damals noch Jura-Student, zog Schrems für den Datenschutz zu Felde. Er legte eine Beschwerde gegen Facebook Irland ein, weil die Firma über den Hauptsitz in Kalifornien Daten an die NSA weitergab. Irlands Datenschutzbeauftragter Billy Hawkes sah jedoch keinen Anlass dafür, den Vorwürfen nachzugehen. Er argumentierte, die Safe-Harbor-Vereinbarung garantiere bereits einen ausreichenden Schutz der Daten.
Doch so schnell gab Schrems nicht auf. Im September 2014 landete der Fall vor dem Europäischen Gerichtshof und am 6. Oktober kassierten die Richter das Daten-Abkommen. Safe Harbor war gestorben.
Die Entscheidung schlug Wellen vom Silicon Valley bis ins Brüsseler Berlaymont-Gebäude, dem Sitz der Europäischen Kommission. Mit der Entscheidung war “Safe Harbor” als Rechtsrahmen für die Übermittlung personenbezogener Daten in die USA nicht mehr zulässig.
Nicht nur Datengiganten wie Facebook, Dropbox, oder Amazon waren von diesem Urteil betroffen, sondern auch tausende europäischer Unternehmen, die Daten in die USA übertragen, etwa weil sie Rechenzentren dort nutzen. Welche praktischen Auswirkungen die Entscheidung für diese Firmen haben würde, hing nun von den Datenschutzbeaufragten ab.
Die Datenschutzbehörden der EU-Mitgliedsstaaten bilden eine Gruppe mit einem seltsamen Namen: Artikel-29-Gruppe. Am 15. Oktober 2015 traf diese sich in Brüssel.
Eine halbe Stunde vor dem Treffen setzte sich Helen Dixon, Irlands Datenschutzbeauftragte, in das Café des Kongresszentrums „Albert Borschette“, eines scheußlichen Baus an der Place Jourdan. Sie wusste, sie würde im Rampenlicht stehen. Gerade erst ein Jahr im Amt, war Dixon erpicht darauf, ihren europäischen Kollegen zu zeigen, dass sie ihren Laden fester im Griff hatte als ihr Vorgänger.
Hypersensitive Deutsche
Sie hatte ein deutlich größeres Budget, hatte gerade ein schickes Büro in Dublin eröffnet – zusätzlich zum alten Sitz über einem Supermarkt in Portarlington in der irischen Provinz. „Sie sollten versuchen, möglichst zu Beginn der Besprechung zu Wort zu kommen“, empfahl einer ihrer Berater, um den Ton zu setzen für das Treffen.
Das sollte sich als schwierig herausstellen. Die Deutschen, hypersensitiv, wenn es um staatliche Überwachung geht, hatten schnell die Oberhand gewonnen. Und es gab viele von ihnen, mehrere Mitglieder aus Deutschlands 16 Landesdatenschutzbehörden waren vertreten.
Der Schleswig-Holsteinische Beauftragte etwa war eine Woche zuvor vorgeprescht und hatte eine der möglichen improvisierten Alternativen zu Safe Harbor vom Tisch gefegt.
Das Treffen endete ohne Konsens. Früh am nächsten Abend gelang es der französischen Vorsitzenden der Gruppe, Isabelle Falque-Pierrotin, allen Teilnehmern immerhin eine gemeinsame Erklärung abzuringen. Darin einigten sich die Datenschützer auf eine dreimonatige Gnadenfrist. Sollte die Kommission keine Alternative zu Safe Harbor bis zum 31. Januar gefunden haben, würden sie „alle geeigneten und erforderlichen Maßnahmen ergreifen.“ Eine Drohung, angesichts fehlender Rechtsgrundlage jedweden Datentransfer zu untersuchen und gegebenfalls zu bestrafen. Die Wirtschaft hatte allen Grund zur Furcht.
Jourová beschloss, den USA einen Besuch abzustatten. Sie landete am 12. November in Washington. Am nächsten Tag wurde Paris von den Terroranschlägen getroffen. Das änderte die Regeln der Debatte schlagartig. Würden die Europäer weiter so großen Wert auf ihren Datenschutz legen? Würden die Amerikaner darauf hinweisen, welche Rolle die NSA bei der Vereitelung solcher Angriffe spielte?
Fast sofort kamen die SMS und E-Mails aus Brüssel. Kommen Sie zurück, sagten sie. Sie können jetzt nicht über Privatsphäre und Grenzen der Überwachung verhandeln. Jourová beschloss zu bleiben.
EU-Quellen sagen, die Amerikaner nutzten die Attentate von Paris nicht, um die Europäer unter Druck zu setzen. Allen Angaben zufolge blieb auch die EU bei ihren Forderungen — das Urteil des EuGH blieb ja auch.
Weihnachten und Neujahr vergingen ohne Einigung. Die Treffen wurden intensiviert. Julie Brill, die Chefin der US-Verbraucherschutz- und Wettbewerbsbehörde FTC schien in Brüssel ihren zweiten Wohnsitz zu nehmen. Ihre Botschaft lautete: Die USA nehmen europäische Bedenken ernst. Doch die FTC erhalte zwei Millionen Beschwerden im Jahr und könne nicht jeden einzelnem europäische Fall untersuchen.
Vieles war Ende Januar erreicht, aber eben nicht alles, was die Europäer wollten. Das war der Stand der Dinge, als die Frist der Artikel-29-Gruppe abgelaufen war und als Jourová und Pritzker die Hörer auflegten. Sie übergaben also Timmermans und Kerry.
Kerry schlug vor, einen Ombudsmann in seinem Ministerium einzusetzen, der überwachen sollte, wie US-Behörden mit den Daten der Europäer umgehen.
Der Vorschlag war nicht neu und die Begeisterung auf EU-Seite hielt sich in Grenzen. Die Europäer wollten, dass der Posten politisch unabhängig und mit echter Macht ausgestattet ist. Und sie wollten es schriftlich. Kerry willigte ein.
Es fehlt: ein Name
Blieb noch eines zu tun: Das neue Abkommen auch der Öffentlichkeit zu verkaufen. Jourová wollte einen einprägsamen Namen. Seit Wochen sammelte sie Vorschläge, aber immer kam: Transatlantik-dies oder Datenschutz-jenes.
Das fand die Kommissarin fade, sie wollte etwas Knalligeres. Dann schlug jemand „Privacy Shield“ vor. Das klang gut, fand Jourová, nach Star Wars. Undurchdringbar. Stark. Jourová beschloss, die Idee für sich zu behalten.
Erst nachdem das Abkommen mit dem Telefonat von Kerry und Timmermans besiegelt wurde, erzählte sie den US-Kollegen davon. Um 15:30 Uhr, direkt nach der Sitzung der EU-Kommission, die dem Entwurf zustimmte, rief Jourová erneut Pritzker an. „Ich will es EU-US-Privacy Shield nennen“, sagte sie.
Pritzker musste mit ihren Leuten Rücksprache halten. Um 16 Uhr rief sie zurück. Um 16:30 Uhr verkündete Jourová den Deal in einer triumphalen Pressekonferenz in Straßburg.
Ein Abkommen, ein neuer Name. Doch es ist nur eine Frage der Zeit, bis das neue Abkommen vor dem EuGH verhandelt wird. Wird es der Prüfung standhalten?
Kommission und US-Regierung halten das Abkommen für gerichtsfest. Andere, wie Max Schrems, sind weniger überzeugt.
Auch der Grünen-Abgeordnete Jan Philipp Albrecht, der seine politische Arbeit dem Datenschutz widmet, sagt, der Ombudsmann und eine Schlichtung „in letzter Instanz“ könnten ungenügend sein, um Zweifel des Gerichts zu zerstreuen.
Wenn der EuGH zu dem Schluss kommt, der neue Pakt garantiere keinen ausreichenden Schutz, würde er erneut gekippt. „Derzeit halte ich das für sehr wahrscheinlich,“ sagt Albrecht. „Das wäre ein Desaster für diese Kommission.“
Übersetzung: Jakob Hanke
Klicken Sie hier, um diesen Artikel auf Englisch zu lesen.