Worum ging es in dem Verfahren? Im Grunde ging es um die 1222 Seiten mit Daten, die Max Schrems von Facebook zugeschickt bekommen hatte. Auf jeder Seite fanden sich unzählige Informationen: Kontakte, Nachrichten, Fotos - selbst Daten, die Schrems glaubte, gelöscht zu haben, tauchten wieder auf. Das Problem: Große Internetkonzerne wie Facebook und Google übermitteln solche persönlichen Informationen auch an Server in den USA. Schrems wollte das verhindern und klagte.

Warum durften US-Firmen Daten europäischer Nutzer in die USA übermitteln? Bislang galt in der EU-Datenschutzrichtlinie immer der Grundsatz: Persönliche Daten dürfen nur dann in Länder außerhalb der EU und des europäischen Wirtschaftsraums (zu dem noch Liechtenstein, Island und Norwegen gehören) übertragen werden, wenn im jeweiligen Land derselbe Schutz der Daten garantiert wird. Weil dies in den USA nicht der Fall war, schlossen die EU und die USA im Jahr 2000 die sogenannte "Safe Harbor"-Vereinbarung. Durch sie wird gewährleistet, dass personenbezogene Daten legal in die USA übermittelt werden können. US-Unternehmen wie Amazon, Google oder eben Facebook, die von dieser Vereinbarung profitieren wollen, müssen sich dazu öffentlich zur Einhaltung der vereinbarten Prinzipien verpflichten und sich in einer entsprechenden Liste im US-Handelsministerium eintragen lassen. Aktuell gibt es dort rund 5500 Einträge. Allerdings weckten die Enthüllungen von Ex-Geheimdienstmitarbeiter Edward Snowden 2013 Zweifel daran, dass US-Unternehmen tatsächlich einen solch sicheren Hafen für persönliche Daten der EU-Bürger darstellen: Die von Snowden öffentlich gemachten Dokumente belegten, dass US-Geheimdienste Zugriff auf die Datenschätze der Großkonzerne bekommen können.

Was entschieden die Richter? Der EuGH erklärte "Safe Harbor" für ungültig, die Standards würden verletzt (Az.: C-362/14). Das Gericht folgte damit im Grunde der Argumentation des Generalanwalts. Dieser war in einem Gutachten, das Ende September veröffentlicht wurde, zu dem Schluss gekommen, dass Informationen in den USA nicht ausreichend vor dem Zugriff der Geheimdienste geschützt seien.

Was bedeutet das Urteil für europäische Facebook-Nutzer? Auch wenn Bundesjustizminister Heiko Maas (SPD) von einem starken Signal für den Grundrechtsschutz in Europa sprach, heißt das nicht, dass Facebook keine Daten mehr in den USA speichern wird. Entsprechend gelassen versuchte das Unternehmen das (vermutlich erwartete) Urteil zu nehmen: "Facebook verlässt sich wie Tausende europäische Unternehmen auf eine Reihe von Mitteln nach EU-Recht, um unabhängig von ,Safe Harbor' legal Daten von Europa in die USA zu übermitteln", teilte der Konzern gestern mit. Man selbst sieht sich daher gar nicht direkt betroffen von dem Urteil des Gerichts.

Müssen Firmen wie Facebook ihren Datentransfer in die USA nicht stoppen? Da jeder Facebook-Nutzer der Verarbeitung und Weiterleitung seiner personenbezogenen Daten in die USA zugestimmt hat, dürfte Facebook zunächst auch weiterhin die Daten in die USA weiterleiten. Allerdings muss das Unternehmen nun damit rechnen, dass das Vorgehen auf den Prüfstand kommt.

Welche Alternativen gibt es für die US-Konzerne zu "Safe Harbor"? Unternehmen können sich den Datenaustausch beispielsweise durch die individuelle Einwilligung der Nutzer genehmigen lassen. Mit sogenannten Corporate Binding Rules kann sich ein Unternehmen auch verbindliche Konzernregeln zum Datenschutz auferlegen - dadurch würde das Datenschutzniveau weltweit vereinheitlicht. Nachteil: Der gesamte Konzern müsste sich dem (höheren) europäischen Datenschutzniveau unterwerfen. Generell dürften Facebook und Co. ihre Nutzungsbedingungen nun allerdings anpassen und sich diese anschließend von ihren Nutzern absegnen lassen.

Hat das Urteil überhaupt Folgen für US-Konzerne? Ja. Der Datenaustausch zwischen den USA und Europa wird deutlich komplizierter. "Eine Umstellung von ,Safe Harbor' auf andere rechtliche Verfahren bedeutet für die Unternehmen einen enormen Aufwand", heißt es beim IT-Branchenverband Bitkom. Entsprechend groß ist nun der Wunsch der Unternehmen nach neuen und klaren Regeln.

Was bedeutet das Urteil für die nationalen Datenschützer? Sie bekommen wieder mehr Einfluss. Der EuGH ermutigte die nationalen Datenschutzbehörden, die Einhaltung der Rechte von Europäern auch entgegen der Einschätzung der EU-Kommission zu prüfen. Für die Internet-Firmen ist das natürlich heikel: Bislang konnten sie sich darauf verlassen, dass sich nationale Datenschutzbehörden - wie etwa die irische im Fall von Max Schrems gegen Facebook - zurückhielten. Nun könnten sie in jedem EU-Staat einzeln auf den Prüfstand kommen.

Was bedeutet das Urteil für die Politik? Für die EU-Kommission kommt die Entscheidung zur Unzeit. Sie hatte das "Safe Harbor"-Abkommen in den vergangenen zwei Jahren mit den USA mühsam neu verhandelt. Nun muss schnell eine Lösung her.