Tausende Unternehmen bleiben damit im Zustand der Unsicherheit zurück. Verstoßen sie ab sofort gegen das Gesetz, wenn sie Daten ihrer Nutzer auf Servern in den USA speichern, ohne dafür eine zusätzliche Absicherung, etwa eine Einwilligungserklärung der Betroffenen, zu haben? Können sie dafür belangt werden? Werden ihre europäischen Kunden jetzt nach dem Vorbild des Facebook-Kritikers Max Schrems, der den Stein erst ins Rollen brachte, scharenweise vor Gericht ziehen und einen Stopp der Daten-Transfers fordern?

"Der Transfer von personenbezogenen Daten von der Europäischen Union in die USA unter dem "Safe-Harbor"-Regime ist ab sofort illegal", erklärt Anwalt Stefan Schuppert von der Kanzlei Hogan Lovells. "Es sei denn, die zuständigen nationalen Datenschutzbehörden stimmen dem Datentransfer nach einer gründlichen Prüfung ausdrücklich zu oder der Datenaustausch fällt unter eine gesetzliche Ausnahme."

Nicht nur die Daten privater Nutzer sind betroffen. Was ist mit Profi-Diensten wie Dreamforce, Slack, Google Apps oder Office 365, mit denen deutsche Firmen Daten von Kunden und Mitarbeitern in den USA speichern? Ein hohes Problembewusstsein gab es vielleicht noch bei Ärzten oder Rechtsanwaltskanzleien. Beim Rest herrschte bislang eher das Vertrauen vor, dass das rechtlich schon alles okay sei.

Wenn man das Urteil eng sieht, wurde immerhin nur "Safe Harbor" gekippt, bei dem die Kommission im fernen Jahr 2000 davon ausging, dass der Datenschutz in den USA letztlich den Anforderungen des europäischen Rechts genügt. Den Unternehmen bleiben noch verschiedene Wege für eine legale Datenübermittlung in die USA.

Den Nutzern können zum Beispiel entsprechende Einwilligungserklärungen vorgelegt werden, sie können zu EU-Standardvertragsklauseln greifen oder im Konzern verbindliche Regelungen festlegen. Ausgerechnet Facebook, das Online-Netzwerk, um das der ganze Streit entbrannte, sieht sich auf der sicheren Seite, weil man Verträge für die Übermittlung der Daten der Tochterfirma in Irland habe. Für die Großen dürfte es keine Problem sein, eine rechtliche Basis zu schaffen, so nicht schon geschehen.

Aber reichen die Absicherungen am Ende wirklich angesichts des harschen Urteils der Richter zum Stand der Dinge in Amerika? "Wenn man sieht, mit welchem Nachdruck der EuGH sagt, dass der Datenschutz in den USA nicht unseren Bestimmungen entspricht - dann fragt man sich natürlich, wie kann ein Unternehmen dort garantieren, dass ein angemessenes Datenschutz-Niveau besteht", sagt Anwalt Tobias Neufeld von der Kanzlei Allen & Overy. Zwar habe sich tatsächlich vor allem im Mittelstand der Großteil der Unternehmen auf "Safe Harbor" verlassen. Aber auch die großen Unternehmen könnten sich "nicht ins Federbett fallen lassen". Allen & Overy sieht Bußgelder und Schadenersatz-Ansprüche der Betroffenen als mögliche Auswirkungen.

Das Urteil ist der vorläufige Höhepunkt transatlantischer Spannungen, die Edward Snowden mit seinen Enthüllungen seit Juni 2013 ausgelöst hatte. Die Europäer waren erschüttert über das Ausmaß der flächendeckenden Überwachung durch die NSA und ihre Partnerdienste. Auch die EU-Kommission geriet in ihr Visier. Der PRISM-Programm zum Abgriff von Daten bei Online-Diensten wurde zwar dementiert, ist aber nicht aus dem Köpfen wegzukriegen. Und in Deutschland sorgten Berichte über die Überwachung eines Handys von Bundeskanzlerin Angela Merkel zusätzlich für Aufruhr.

Die Europäer reagierten, schon seit rund zwei Jahren wurde über eine Neuauflage von "Safe Harbor" verhandelt. Schließlich stammt "Safe Harbor" noch aus der Zeit vor den Terroranschlägen vom 11. September und der nachfolgenden Zuspitzung der Überwachungsmaßnahmen. Es soll bereits Zusicherungen geben, dass nicht alle Daten von Europäern anhaltslos für Behörden offenstehen und dass die Nutzer auch ihre Rechte in den USA geltend machen könnten. Doch die Gespräche zogen sich hin - jetzt schafft der EuGH massiven Zeitdruck.

"Das Urteil hat eine politische Komponente und soll die Diskussion über "Safe Harbor" anheizen", sagt Anwalt Neufeld. "Ein Stück weit wird dieses politische Tauziehen um NSA und PRISM jetzt auf dem Rücken der Unternehmen ausgetragen."

Links##ULIST##

Datenschutzrichtlinie der EU