Seit vergangenem Freitag ist die Datenschutzgrundverordnung (DSGVO) europaweit wirksam und soll den Nutzerinnen und Nutzern eigentlich die freie Wahl lassen, ob und wem sie die Verarbeitung ihrer personenbezogenen Daten erlauben. Das erleben viele Nutzer*innen in den letzten Tagen aber noch anders. Den großen Datenkonzernen die Einwilligung in die Datenverarbeitung zu verweigern, bedeutet meist, deren Dienste nicht nutzen zu können. Max Schrems sprach mit uns darüber, wie er das ändern will.
Der Wiener Jurist und Datenschutzaktivist Max Schrems wurde mit seiner Klage gegen Facebook weltweit bekannt. Er erwirkte damals, dass der Europäische Gerichtshof das Safe-Harbor-Abkommen zu Fall brachte. Sein neues Projekt „noyb – none of your business“ hat am 25. Mai die Arbeit aufgenommen und soll an diesen Erfolg anschließen. Ziel der Initiative ist es, die Lücke zwischen europäischen Datenschutzgesetzen und der unternehmerischen Praxis einiger Großkonzerne zu schließen.
DSGVO: Sammelklagen sollen für Klarheit sorgen
netzpolitik.org: Hallo Max Schrems! Die Datenschutzgrundverordnung ist seit vergangenem Freitag europaweit wirksam. Wie hast du die Tage seitdem erlebt?
Max Schrems: Eine Mischung aus Panik, skurrilen Reaktionen von Unternehmen und ebenso faszinierenden Versuchen der großen Player, einfach so weiterzumachen wie bisher und dabei zu behaupten, DSGVO-konform zu sein. Der DSGVO fehlt es an bestimmten Stellen an klaren Regelungen und das führt natürlich, so wie lange befürchtet, zu viel Rechtsunsicherheit. Hier läuft aber ein Spiel: Die Industrie-Lobbyisten haben erst dafür gesorgt, dass das Gesetz schwammig wird, mit Ideen wie einem „risikobasierten Ansatz“ statt klareren Grenzwerten. Damals mit dem Argument, dass wir „Flexibilität“ für kleine Unternehmen und Vereine brauchen. Genau diese „Flexibilität“ überfordert die Kleinen aber nun extrem, und das wird wiederum genutzt, um die gesamte Datenschutzgrundverordnung anzugreifen.
netzpolitik.org: Inwiefern beeinflusst das neue Regelwerk Eure Arbeit?
Max Schrems: Wir haben nun erstmals die Möglichkeit, auch entsprechende Strafen auszulösen, europaweit Verfahren bei den Behörden anzustoßen und auch gerichtlich vorzugehen. Leider haben wir in Österreich weiter nicht die Möglichkeit eine „Verbandsklage“ nach Artikel 80 Abs. 2 DSGVO einzubringen. Das kann sich aber auch noch ändern. Andernfalls kann man das eventuell auch über Deutschland machen. Machen wir eben einen „noyb – Germany e. V.“.
Auch Datenkonzerne müssen sich an Recht halten
netzpolitik.org: Du hast ja mit deiner ersten Klage gegen Facebook ordentlich Öffentlichkeit bekommen und auch Erfolg gehabt – die Safe-Habour-Entscheidung wurde 2015 gekippt. In diesem Zusammenhang hast du den Verein „europe-v-facebook.org“ gegründet. Kommt Facebook in Sachen Datenschutz ein Sonderstatus zu, ist es quasi das größte Übel?
Max Schrems: Es war reiner Zufall, dass ich mich damals mit Facebook beschäftigt habe. Ich glaube, es ist in einer juristischen Auseinandersetzung, wo es am Ende um Grundsatzfragen geht, notwendig, sich einen Fall rauszupicken, den man dann auch durchzieht – eher, als sich mit 100 Fällen zu verzetteln. Das ist für uns aber auch immer eine Frage der Finanzierung, also wie wir möglichst effektiv Spendengelder einsetzen. Noyb.eu hat hoffentlich bald die Kapazität, mehr Fälle zu betreiben. Wir werden aber immer repräsentative Einzelfälle betreiben und keine „Massen-Verklagungen“ machen. So viele Unternehmen, die wirklich wissentlich und absichtlich das Recht verletzten, gibt es dann auch gar nicht.
netzpolitik.org: Ihr habt am vergangenen Freitag die ersten Beschwerden wegen „Zwangszustimmung“ gegen Google, Instagram, WhatsApp und Facebook eingereicht. Wie läuft das jetzt genau ab und welchem Verfahren rechnest du die meisten Chancen zu?
Max Schrems: Ja genau, wir haben drei Beschwerden zu Unternehmen der Facebook-Gruppe eingebracht. Diese werden wohl von der irischen Behörde gemeinsam mit den Behörden in Österreich, Hamburg und Belgien bearbeitet werden, da hier der Unternehmenssitz immer Irland ist. Wir warten hier mal auf die Stellungnahmen von Facebook und auf die nächsten Schritte im Verfahren. Spannend wird am Ende vor allem, ob es eine Strafe setzt und wie hoch diese ist.
Der Fall gegen Google zu Android läuft in Frankreich. Weil hier der Unternehmenssitz in den USA ist, kann die französische Behörde recht unabhängig entscheiden. Die Behörde hat auch schon Strafen gegen Google ausgesprochen. Wenn man die Frage der Zwangszustimmung bei ein paar Unternehmen durchgefochten hat, dann gehe ich davon aus, dass sich auch alle anderen Unternehmen daran halten. Wenn nicht, können wir dann noch immer nachfassen. Wir werden über den Sommer vermutlich noch ein paar Beschwerden zu Fragen der Zustimmung einbringen. Gleichzeitig bereiten wir noch ein paar andere, komplexere Themen vor. Wir haben aber operational auch erst am 25. Mai gestartet und müssen daher noch viel interne Organisation machen. Wir ziehen zum Beispiel bald in ein dauerhaftes Büro um, brauchen eine dauerhafte Webseite oder wollen bald ein paar weitere Mitarbeiter einstellen.
Was ist dran an der DSGVO-Panik?
netzpolitik.org: Die europäischen Datenschutzbehörden haben sich ja offen über fehlendes Personal und mangelhafte Kompetenzen beschwert. Wie schätzt du die Möglichkeiten der nationalen Datenschutzbehörden bei Euren Klagen ein?
Max Schrems: Ich habe vor dem Verfahren weniger Angst. Wir haben die Sachen ja schon „servierfertig“ vorgebracht, so dass hier die Arbeit der Behörden eher überschaubar ist. Das ist auch der Vorteil von Stellen wie noyb.eu – wenn Experten etwas einbringen, ist das auch für die Behörden einfacher zu bearbeiten. Das Problem wird eher der Instanzenzug sein. Wenn hier entsprechend entschieden wird, werden wohl die Unternehmen oder eben wir vor die Gerichte ziehen, und das kann auch bei den Behörden viel Geld und Zeit verschlingen.
netzpolitik.org: Wie bewertest du die DSGVO-Debatte der vergangenen Wochen in Bezug auf die vorherrschende Frustration und den medialen Fokus auf Bußgelder für kleine und mittelgroße Unternehmen? Für wen gibt es Grund zur Panik und wer profitiert von der DSGVO?
Max Schrems: Die eigentlichen Datenschutzrechte müssten natürlich für alle Unternehmen gelten. Ich war aber immer dafür, dass man die Pflichten zur Dokumentation und Administration massiv einschränkt, vor allem für kleine und mittelständische Unternehmen. Das könnte man etwa mit Klassen von Unternehmen machen, die man anhand der Zahl der Betroffenen – also beispielsweise ab 50.000, 100.000 oder 250.000 Betroffenen – definiert. Nur jene, die wirklich relevant genug sind, sollten dann auch alle Teile der DSGVO einhalten müssen. So macht man das ja auch bei anderen Gesetzen. Leider hat die Industrie stattdessen auf einen „risikobasierten Ansatz“ gedrängt, der für alle Klassen von Unternehmen gleich ist. Die Großindustrie hat damit wohl gehofft, auch für die Multis etwas „Bewegungsspielraum“ zu haben.
Die Bußgelder mit bis zu vier Prozent [des globalen Umsatzes der betroffenen Unternehmen] sind wichtig, weil es damit auch bei großen Konzernen eine ernsthafte Strafe gibt. Der Sockelbetrag von zwanzig Millionen Euro ist allerdings meiner Meinung nach viel zu hoch, weil dieser auch für ein Einpersonenunternehmen gilt. Hier hätten es wohl andere hohe Summen wie etwa 100.000 Euro auch getan.
Auch Meilensteine müssen reformiert werden
netzpolitik.org: Die DSGVO ist im globalen Kontext ein Meilenstein für den Datenschutz. Allerdings ist sie keineswegs perfekt, hat Schlupflöcher und sollte nur der Anfang sein. Wie schätzt du die aktuelle politische Lage zum Datenschutz in Europa ein und was würdest du dir von der europäischen Politik wünschen?
Max Schrems: Die DSGVO ist ein Meilenstein, aber sicher nicht das Ende am Weg zu einer sinnvollen Datenschutz-Regelung. Ich glaube, wir werden in ein paar Jahren eine „DSGVO 2“-Debatte haben. Das wäre eine Chance, Erfahrungen zu sammeln und das Gesetz klarer zu machen und Löcher zu stopfen.
In der Praxis würde das natürlich die Gefahr mit sich bringen, dass eine neue Debatte eher zum Gegenteil führt. Ich kann mir vorstellen, dass es entsprechend großen Widerstand geben wird, wenn die Debatte der letzten sieben Jahre nochmal geführt werden soll. Nur weil die DSGVO nun gilt, ist das Thema Datenschutz nicht abgehakt. Ganz im Gegenteil, das zeigt der abstruse Widerstand der Industrie-Lobby gegen die aktuelle ePrivacy-Reform, die eigentlich gleichzeitig mit der DSGVO hätte in Kraft treten sollen.
netzpolitik.org: Vielen Dank für das Gespräch!
Ich hatte mich schon gewundert, warum bei NP nichts zu den Klagen zu lesen war, während es bei Techdirt schon ein paar Wellen geschlagen hat. Das Interview gibt jedoch noch mal einen besseren Einblick in die Beweggründe von noyb, danke dafür!
Strafen und Bussgelder sind ihm wichtig. Datenschutz eher nicht so. Mir sind das eher nach fundamentalistischem Juristen aus (die in Deutschland auch E-Government verhindert haben), der sein en Lebensunterhalt mit Facebook verdienen will, als ein nützlicher Beitrag zum Datenschutz.
Mir wäre eine netzpolitische Debatte darüber lieber, wie wir unterschiedliche Interessen von Facebook-Nutzern und Facebook-Werbetreibenden unter einen Hut bekommen. Und das nicht regional in der EU, sondern wie es bei einem globalen Dienst sein muss, global. Zu welchem Unsinn grüne Fundamentalisten bei der DSGVO mit ihrem regionalen Unsinn führen, haben wir bei US-Zeitungen gesehen, die einfach wegen der bekloppten DSGVO europäische User aussperren.
Unter dem Strich bleibt dann, dass die antiamerikanischen Facebookhasser sich an den hohe theoretischen Strafen der EU gegen US-Unternehmen aufgeilen und Blogger, Kleine und mittlere Unternehmen, Vereine usw. massiv geschädigt wurden und mit einer massiven Spam-Attacke wegen der DSGVO belästigt wude, wo dann hinterher raus kommt, dass sich eh nichts ändert und Facebook sein Geschäft aus Irland verlagert, um nicht unter DSGVO fallen zu müssen und das Eregbnis von „Aktivisten“ ist, dass in Europa Arbeitsplätze abgebaut werden. Die einzigen echten Nutznießer sind Juristen. Prof. Härting nennt es Paradies:“
„Das ist ein Paradies für uns Juristen, weil wir ganz viele neue Fragen haben, über die wir uns dann heftig mit den Datenschutzbehörden, untereinander und vor Gericht streiten werden.“
https://www.zeit.de/digital/datenschutz/2015-12/datenschutzverordnung-kompromiss-niko-haerting-interview
Was für Juristen wie Max Schems ein Paradies zum Geldverdienen ist, ist für den Datenschutz und die Bürger ein Supergau: viel Arbeit, kein Nutzen und der Ruf des Datenschutz hat durch die Spamattacken erheblich gelitten. Die DSGVO ist völlig missraten.
Und gleichzeitig verhöhnt uns der Staat, dass der BND weiterhin alle Bürger am De-CIX heimlich und ohne parlamentarische Kontrolle ausspionieren dürfen und die personenbezogenen Fluggastdaten breit gestrut werden dürfen unter befreundeten Geheimdiensten und Polizeibehörden, ohne Anlass, ohne Verdacht, ohne Rechtsstaat.
Juristen laben sich an der DSGVO, Bürger sind die Betrogenen und ausgebeuteten und der Staat kann ungehemmt seinen Weg zur Gestapo 2.0 beschreiten. What a brave new world!
Dieses Payback Bonus-Punkte-System, vor dem heute kein Supermarkt mehr halt macht, mit verknüpfter HD-Kamera-Überwachung, das Kunden-„Usern“ suggeriert, die Lebensmittelpreise würden weniger stark steigen, die KassiererInnen zu Werbe-Loop-Floskeln zwingt, Bonus-Karten-Nichtinhaber nur nervt und gleichzeitig dem Spießer – dessen Daten in Zukunft gegen ihn angewendet werden und ihn dazu bringt, den ganzen Industriefraß auch noch lecker zu finden – erst, heute, ein paar mickrige Euro mehr als mir Verweigerer überlässt, um dann in spätestens 5 Jahren ein schönes System mitaufgebaut zu haben, das nicht nur ihn sondern auch mich knechtet.
https://de.wikipedia.org/wiki/Payback_(Bonusprogramm)#Datenschutz
https://de.statista.com/statistik/daten/studie/36618/umfrage/anzahl-herausgegebener-bonuskarten-mehrere-partnerunternehmen/
Die letzten 10 bis 20 Jahre wurde soviel digitaler Müll geschaffen, der den ganz reelen von Gentechnik über Plastikverpackung bis Diesel-Öl an den gläsernen Kunden vermittelt hat, und der frissts mehr denn je – Payback gehört dazu und der Müll weg! :D
Mir gefällt der Sockelbetrag, gerade auch für kleine Unternehmen, die durchaus sehr gekonnt alle Lücken ausnutzen. Und damit sehr datenkrackig werden können.
Wie viele Menschen braucht es, um alle Daten aus einem System, z.B. im sozialen Netz (Behörden, Krankenkassen, etc.) in Deutschland zu ziehen? Ich schätze mal unter 100. Und wie viele Menschen braucht es, um diese Daten dann auszuwerten, z.B. in der Forschung? Obwohl, das kann künstliche Intelligenz doch inzwischen schon viel besser… Doch wieviel „Seelentod“ von Menschen steckt in dieser KI?
Seltsame Frage, KI tötet doch nicht. Lang lang lang ist es her, da wollte ein König wissen, ob Säuglinge auch gedeihen ohne menschliche Zuwendung. Die Legende besagt, sie seien alle gestorben. So ein Schmarrn!
Hat der nicht in einer Doku, Ich glaube in einem europäischen Haus, einer „Schatten“Irgendwas (Sitzung mit „Shaddow“ der EU) darauf bestanden dass die Dienste auch wenn man die Nutzung der Daten ablehne dennoch nutzbar sein müssen?
Naja, Facebook könnte für den Fall ja einfach eine Gebühr von €29,95 pro Monat erheben…
Und er wollte auch, dass Firmen in der EU, die ihren Dienst z.B. in China anbieten, sich auch dort an die DSGVO halten müssen…
Das kam zur Sprache als eine Teilnehmerin dieses Szenario ansprach und zu Recht darauf Hinweis, dass die Firmen sich bei Kunden im Ausland ja wohl nicht an diese Regeln halten müssen.
Also Ich werde, falls vorhanden, bei Webscripten alle Cookie-Nerv-Hinweise oder Hinweise auf die neue DSGVO versuchen zu entfernen…
Wenn möglich werde Ich bei Suizidwebseite, Deutschland-Verunglimpfungs-Webseite etc. eh nicht mal IPs speichern…