Der Student Max Schrems wurde berühmt als der, der seine Daten von Facebook bekommen hat. Er hat die Initiative europe-v-facebook.org gegründet und bestreitet derzeit ein Verfahren gegen Facebook bei der irischen Datenschutzbehörde. Zudem engagiert er sich bei der laufenden Reform des europäischen Datenschutzes. Im Interview mit netzpolitik.org erzählt er vom aktuellen Stand seines Verfahrens gegen Facebook. Außerdem erklärt Max, warum wir uns für die europäische Datenschutzreform einsetzen sollten – und zwar zusammen mit unseren Großmüttern.
netzpolitik.org: Herzlichen Glückwunsch zum Privacy Champion Award, den EPIC dir verliehen hat. Wie kamen die auf dich?
Schrems: Ich habe die Initiative europe-v-facebook.org ins Leben gerufen. Ich glaube, das spannende daran ist, dass erstmals jemand nicht nur meckert, sondern versucht seine Rechte durchzusetzen. Wir haben in der EU ordentliche Datenschutzgesetze, nur keiner hält sie ein. In den USA haben wir Millionen-Klagen, aber keine ordentlichen Gesetze als Grundlage. Ich glaube unser Projekt verbindet erstmals die beiden Welten. Dauerhaft ist das aber ausbaufähig.
netzpolitik.org: Warum hast du Europe versus Facebook gestartet?
Schrems: Ein Vertreter von Facebook war an meiner Uni in den USA und erklärte, wie er EU-Gesetze versteht. Das war aber genau das Gegenteil von dem, was bei uns im Gesetz steht. Daraufhin hab ich eine Arbeit darüber geschrieben. Der nächste Schritt war, die Erkenntnisse aus dem Elfenbeinturm der zuständigen Behörde in Irland zu schicken. Dass die irische Datenschutzbehörde eher „Unternehmensschutzbehörde“ als „Datenschutzbehörde“ ist, wussten wir damals noch nicht.
netzpolitik.org: Wie ist denn der aktuelle Stand eures Streits gegen Facebook?
Schrems: Wir werden in den kommenden Wochen endlich den „Antrag auf eine formelle Entscheidung“ bei der irischen Datenschutzbehörde stellen. Dann geht es vermutlich wieder rund bei uns.
Bis dato hat die irische Behörde sich fast zwei Jahre lang geziert, Flagge zu bekennen. Bisher gibt es nur zwei diffuse und rechtlich unverbindliche Berichte. Die haben wir im Dezember geprüft und mehr Löcher als Substanz finden müssen. Die Behörde hat auf unsere Einwände zwei Tage später mit der Aussage reagiert: „Wir kommentieren Ihre Eingabe nicht.“
Die Strategie in Irland ist klar: So lange hinhalten, bis es den Bürgern zu blöd wird. Über 1.000 Leute haben sich bisher beschwert und keiner hat eine formelle Entscheidung bekommen. Jetzt liegen schon über 100 Beschwerden bei der EU gegen die Republik Irland wegen Nichtdurchsetzung der Datenschutzgesetze vor.
Vermutlich müssten wir in Irland vor die Gerichte gehen, um unser Recht durchzusetzen, aber das kann bis zu gut 300.000 € finanzielles Risiko bedeuten, das ich privat tragen müsste. Deswegen haben wir schon früh mit einer Spendenaktion angefangen. Derzeit sind wir bei ca. 40.000 €, was recht okay ist.
Die EU-Datenschutzreform und ihre Folgen
netzpolitik.org: Mit europe-v-facebook.org hast du auf das Problem aufmerksam gemacht, das Facebook und andere große Unternehmen europäische Datenschutzgesetze einfach ignorieren. Nicht zufällig, so scheint es, interessiert du dich auch für die derzeit laufende europäische Datenschutzreform. Warum sollte die mich als „Normalbürger“ interessieren?
Schrems: In der europäischen Kultur spielt Privatsphäre eine große Rolle – viel mehr als das etwa in den USA der Fall ist. Für manche gilt das mehr, für mache weniger. Auch wenn ich persönlich wenig Angst vor Überwachung habe, will ich in einer Gesellschaft leben, in der „unliebsame“ Personen nicht permanent Angst haben müssen, dass sie überwacht werden. Es geht um Datenschutz als Grundvoraussetzung für freie Meinungsäußerung und Demokratie.
Zudem muss ein großer Teil der Gesellschaft Dinge verstecken. Wenn man alle Menschen mit bestimmten sexuellen Vorlieben, alle mit „peinlichen“ Krankheiten, alle die ab und an mal „keine Rechnung brauchen“, alle politisch Engagierten, alle mit finanziellen Problemen, alle die gewerkschaftlich aktiv sind und so weiter zusammenzählt, dann bleiben nur noch ein paar Prozent übrig, die beruhigt vollkommen transparent sein könnten.
Die EU-Datenschutzreform wird unseren Datenschutz für die kommenden 20 Jahre festschreiben. Wenn das nicht ordentlich gemacht wird, dann haben wir vielleicht bald Zustände wie in den USA, wo jeder von der Industrie durchleuchtet wird. Der Staat freut sich auch: Er braucht solche privat ermittelten Daten nur noch beschlagnahmen.
netzpolitik.org: Meine Großmutter ist gar nicht online. Betrifft sie die Datenschutzreform auch?
Schrems: Die Reform betrifft jede Datenverarbeitung – online wie offline – und die Verarbeitung durch Behörden. Das betrifft also die Meldedaten deiner Oma genauso wie die „netten“ Gewinnspiele, die nur dazu da sind, Adressen zu sammeln.
netzpolitik.org: Wird Facebook noch funktionieren, wenn wir die Datenschutzverordnung bekommen?
Schrems: Großteils. Uns war es bei unseren 22 Anzeigen gegen Facebook immer wichtig, dazu zu sagen, wie es rechtskonform ginge. Bis auf ein paar Extremfälle ist das auch möglich. Die Industrie stellt Innovation und Datenschutz als Gegensatz dar. In Wirklichkeit lenkt der Datenschutz Innovation.
Vereinfacht gesagt: Bauvorschriften sind ja auch nicht gegen Häuser, sondern stellen sicher, dass ich keine Angst haben muss, dass mir das Haus auf den Kopf fällt. Datenschutz sollte sicherstellen, dass ich Technologie vertrauen kann, ohne vor Benutzung die Server eines IT-Giganten überprüfen zu müssen. Das ist auch wirtschaftlich sinnvoll, weil es die Transaktionskosten senkt.
netzpolitik.org: Also wird Google für seine Services kein Geld verlangen, wenn wir einen stärkeren Datenschutz bekommen?
Schrems: Das steht so ähnlich auf der Webseite von Axel Voss, dem konservativen Verhandlungsführer im Europäischen Parlament. Die Lobbys haben wirklich zwei Jahre lang so getan als ob das Internet zusammenbrechen würde. Leider glauben das einige Abgeordnete nun wirklich. Ich denke gar nicht, dass die Abgeordneten das böse meinen, sie sind nur oft zu gutgläubig gegenüber den „netten Lobbyisten“. Zur Klarstellung: Es gibt wirklich tolle, kritische Abgeordnete. Aber dann haben wir leider auch einige die in Brüssel „abgeparkt“ wurden. Mir kommt es so vor, als ob genau die dann irgendwelche Lobby-Formulierungen direkt in ihre Anträge kopieren.
Warum wir uns um die Datenschutzreform kümmern müssen
netzpolitik.org: Wenn bei der Reform eigentlich nur bestehendes Recht gestärkt wird, warum machen Lobbyisten und Netzaktivisten dann so einen Wind darum?
Schrems: Die große Veränderung liegt in der Durchsetzung, nicht in den Regeln. Bisher hatten wir die gleichen Regeln, aber die Unternehmen konnten diese einfach ignorieren, weil ihnen nichts passierte. Jetzt, wo ordentliche Strafen und direkte Klagen vorgesehen sind, wird auf einmal an Gesetzen herumgesägt, die es schon seit 20 Jahren gibt. Die europäischen Datenschutzgesetze gelten seit 1995 und werden auch in vielen Ländern durchgesetzt. Das Argument „Das Internet bricht zusammen“ ist also absurd.
Es geht eben um viel Geld. Vor allem in den USA befürchtet man den „California Effect“, d.h. die EU-Regeln könnten dazu führen, dass amerikanische Anbieter weltweit ihre Systeme umstellen müssen. Durch die Vernetzung ist eine Insellösung meist nicht möglich. Die Konzerne sehen Millionenbeträge wegschwimmen.
Von den Netzaktivisten sehe ich zu wenig Wind. Bisher pusten ein paar ungezielt herum, aber wenn man die Gefahr und die Auswirkungen mit ACTA vergleicht, dann sollte es eigentlich schon lange einen Orkan im Netz geben. Ich glaube bei ACTA war es einfacher, dagegen zu sein. Hier geht es um 100 Seiten Text, bei denen ich gewisse Änderungen unterstützen muss, aber gleichzeitig gegen andere Änderungen eintreten sollte. Gerade im Netz, wo alles kurz, schnell und einfach sein muss, ist das anscheinend zu komplex.
Ein bekannter österreichischer Moderator fragte mich mal: „Wie filmen Sie denn Datenschutz?“. Freiheitsrechte sind schwer vermittelbar. Daher haben sich die Medien auch auf meinen Fall gestürzt: Endlich hatte man eine Gesicht mit 1.200 Seiten Facebookdaten in der Hand. Das konnte man filmen.
netzpolitik.org: Warum machst du dir so einen Kopf um ein Gesetz, das nur Unternehmen und Behörden betrifft? Sollten wir uns nicht lieber um echte staatliche Überwachung kümmern – etwa die Vorratsdatenspeicherung?
Schrems: Behörden sind ein Teil des Staates. Außerdem sehen wir immer öfter, dass private Unternehmen Daten sammeln und der Staat dann auf diese zugreift. Die Unternehmen machen die Drecksarbeit und der Staat kommt an die gleichen Infos ohne „böser Überwacher“ zu sein.
So greifen die Behörden heute schon auf die von uns gelöschten Facebook-Nachrichten zu, die Facebook illegal weiter speichert. Wenn man das mit der Vorratsdatenspeicherung vergleicht, ist Facebook ein Zentralspeicher aller Inhaltsdaten ohne Löschungsmöglichkeit – einfach ohne genaue gesetzliche Regeln. Dagegen sind die sechs Monate Verkehrsdaten bei der Vorratsdatenspeicherung wenig. Und das ist nur Facebook! Wie läuft es bei Gmail, iMessage, WhatsApp und Co.?
netzpolitik.org: Was ist deiner Meinung nach der absurdeste Lobbyvorschlag, der es bis ins Parlament geschafft hat?
Schrems: Von den 3.133 Änderungsanträgen sind 500 absolut lächerlich. Die Konservativen sind besonders gut darin, Verhandlungsmasse zu generieren. So sollen alle Unternehmen mit weniger als 50 Mitarbeitern vom Gesetz ausnehmen – das heißt, über 90% der Unternehmen dürfen mein Grundrecht auf Datenschutz missachten. Die Definition personenbezogener Daten soll teilweise so eng gezogen werden, dass auch ein großer Teil der problematischen Datenverarbeitung nicht mehr unter das Gesetz fällt.
Die Liberalen haben wiederum vorgeschlagen, dass nur EU-Bürger geschützt sein sollen – die haben den Unterschied zwischen Grundrecht und Bürgerrecht noch nicht verstanden. Und so geht das bei jedem Artikel des Vorschlags.
Aber auch bei Rot-Grün geht es teilweise kurios zu. So soll schon bei Daten von 250 Personen in einem Unternehmen ein Datenschutzbeauftragter verpflichtend sein. Das würde auch total unproblematische Kleinstunternehmen treffen. Aber bei Rot-Grün muss man schon länger suchen, um extreme Dinge zu finden.
netzpolitik.org: Was kann ich als einzelne/r jetzt noch tun?
Schrems: Nach dem was wir in Brüssel gehört haben, sind die Abgeordneten sehr feinfühlig, wenn sie persönliche E-Mails oder Post bekommen. Mir wurde erklärt, dass ACTA tot war, weil jeder Abgeordnete 50 E-Mails dazu bekommen hat. Wir haben auf eudatap.info die Adressen gesammelt, damit auch jeder Normalbürger weiß, wo er oder sie sich hinwenden kann. Bisher wissen das nur NGOs und Lobbyisten. Dabei vertreten die Abgeordneten weder NGOs noch Industrie, sondern ihre Wähler. Diese müssten nur mal ihre Stimme erheben.
Wer mit dem Datenschutz von Facebook (oder auch Google) nicht einverstanden ist, der soll es einfach nur nicht benutzen. Das ist das grundsätzilche Prinzip der Freiheit. Dieses Prinzip wird vermehrt durch Behauptungen angegriffen, der Staat müsse per Zwang Internetteilnehmer zu einem Datenschutzfreundlichen Geschäftsmodell zu bewegen.
Genau. Und wer nicht will, dass seine Meldedaten an Direktmarketing-Klitschen weitergegeben werden, der soll einfach unter der Brücke schlafen. Und Anonymität im Internet ist ja eigentlich auch schon gesichert, die paar Sicherheitsvorkehrungen, die man da treffen muss, verhindern 100% jedes Ausspähen, jede Datenzusammenführung und jede Weitergabe von Erkenntnissen an Versicherungskonzerne. Arbeitnehmerdatenschutz funktioniert auch super, welcher Arbeitgeber käme schon auf die Idee, seine Angestellten übermäßig zu überwachen?
Alles in allem kann man das den Markt schon machen lassen, weil in der breiten Bevölkerung die Widerstände locker ausreichen, um keine negativen gesellschaftlichen Folgen zuzulassen. Deswegen konnten sich Smart Phones nicht durchsetzen, und deswegen geht man halt auch nicht auf Demos, wenn man nicht will dass man von Funkzellenabfragen betroffen sein wird.
Leider sehen viele das Thema mit dem Datenschutz noch viel zu locker. Überspitzt ausgedrückt kann das irgendwann dahinführen, das mich mein Smartphone morgens mit den Worten weckt, „Nach abgleich aller Daten die wir über Dich gesammelt haben und unter Berücksichtigung Deines Lebenswandels, hat unsere fast unfehlbarer Algorithmus errechnet, dass der heutige Tag dein wahrscheinlich letzter auf Erden ist. Also pflanze noch ein Baum oder ändere Dein Testament usw.“. Und was macht man dann? @markus_eserver Es geht nicht darum das man solche Dienste wie FB nicht nutzen sollte, es geht darum das ich lückenlos wissen möchte, was mit meinen Daten im Hintergrund passiert. Und es kann nicht sein, dass der Nutzer nur die Wahl zwischen dabei oder ausgeschlossen hat wenn er nicht möchte das seine Daten weiterverarbeitet bzw. -verkauft werden, zumal er mit seiner Zustimmung zum Datenhandel noch nicht mal ein werbefreies FB bekommt. Natürlich trifft das nicht nur auf FB zu.
Ich kann euch versichern, dass ich mir über die von euch genannten Probleme im Klaren bin.
Würdest du persönlich mit einer Waffe zu Facebook gehen und sie dazu zu zwingen, den Datenschutz zu verbessern? Nein? Ich auch nicht! Gewalt wird nicht dadurch besser, dass sie durch eine große Anzahl von Menschen scheinbar legitimiert wird. Die staatliche Indirektionsschicht befreit dich nicht von deiner moralischen Verantwortung.
Wer sich nicht grundsätzliche Gedanken darüber macht, was der Staat überhaupt moralisch tun darf, der darf sich nicht wundern, wenn Lobbyisten sich ebenso vor der moralischen Verantwortung drücken.