Mehrere Erfolge erzielte Max Schrems dieser Tage: Beim EuGH wurde zwar sein Begehren einer Sammelklage gegen Facebook abgeschmettert, aber mit der neuen EU-Datenschutzverordnung DSGVO, die im Mai in Kraft tritt, könnte wohl die Möglichkeit einer Sammelklage von Österreich aus bestehen.
Außerdem gab Schrems nun bekannt, dass die Finanzierung der Datenschutz-NGO „noyb – Europäisches Zentrum für Datenschutz“ (“none of your business”) gesichert ist. Die über zwei Monate laufende Crowdfunding-Kampagne war erfolgreich, bis zum Schluss der zweimonatigen Kampagne am 31. Jänner kamen über 300.000 Euro zusammen, von Privatpersonen, Firmen und Institutionen. noyb wird am 25. Mai 2018 – dem Tag des In-Kraft-Tretens des neuen EU-Datenschutzrechts – starten.
Max Schrems, im Mai tritt die neue EU-Datenschutz-Grundverordnung DSGVO in Kraft, was wird sich für uns alle ändern?
Der neue Strafrahmen beträgt 20 Mio EUR bzw. 4% des Umsatzes, das tut weh. Und auf der anderen Seite gibt es auch die Möglichkeit, auf emotionalen Schadenersatz zu klagen, wenn ein Unternehmen etwa ohne mein Wissen die Daten der NSA zur Verfügung gestellt hat. Dafür haben wir den Verein noyb gegründet. Wir wollen die DSGVO durchsetzen mit informellen Mahnungen, Beschwerden, Musterverfahren oder Sammelklagen gegen Unternehmen und wie man sieht ist das vielen Menschen ein Anliegen. Wir werden aber auch Beratung anbieten, wie Unternehmen die DSGVO korrekt anwenden.
Sie liegen seit Jahren mit Facebook im Clinch, was tut FB mit unseren Daten und wo ist das Problem?
Als ich damals 2011 von Facebook jene Daten erhalten habe, die das Unternehmen über mich gespeichert hatte, stellte sich heraus, dass auch von mir selbst gelöschte Daten am Server geblieben sind. Beispielsweise Chats über einen Freund mit psychischen Problemen oder Liebesdramen. Damit können dann Außenstehende einiges anfangen. Damals war grad Audimax Besetzung, jede Demo-Einladung war gespeichert.
Vorgesetzte erfahren, ob ich zu Demo gehe
Wer hat darauf potentiellen oder realen Zugriff?
Heute kann mein Vorgesetzter eine Notification erhalten, wenn ich mich für eine Demo anmelde. Und er kann erfahren, welche politische Seite mir gefällt. Dass die NSA auf die Hintergrundinfos der User zugreift, ohne richterlichen Beschluss, ist ja bekannt. Wir europäische Facebook UserInnen haben ja einen Vertrag mit Irland und von dort gehen die Daten direkt an die USA. Auch unsere Polizei kann nach der Strafprozessordnung darauf legal zugreifen.
Aber im Datenschutz setzen wir bereits früher an, noch ehe der Missbrauch passiert ist: Wir möchten erstens verhindern, dass es überhaupt die Möglichkeit des Zugriffs gibt und zweitens das Speichern und Weitergeben von Daten auf ein Minimum reduzieren. Denn über Daten wird große Macht ausgeübt.
Das betrifft natürlich nicht nur Facebook. Ein schönes Beispiel ist die individualisierte Preisgestaltung: Wenn eine Fluggesellschaft weiß, dass jemand regelmäßig einen gewissen Flug buchen muss, weil Unternehmen auf meine Termindaten zugreifen können oder auf meine E-Mails, dann kann die Fluggesellschaft absurd hohe Preise verlangen. Jemand anderer erhält dann denselben Platz für 50 EUR, weil dessen Daten sagen, dass er ansonsten den Fernbus nehmen würde.
Mangelnder Datenschutz gefährdet also die gepriesene freie Markwirtschaft…
In der Tat, und auch Persönlichkeitsrechte stehen zur Disposition: Heute ist es bereits üblich, dass Mobilfunker vor Vertragsabschluss eine individuelle Bonitätsprüfung durchführen und gewisse Kunden über Monate keinen Vertrag erhalten. Doch die Datenbasis hierfür ist oft absurd: Als ich das mal genauer angesehen habe, wurde klar, dass meine Bonität bloß aufgrund der Tatsache berechnet wird, dass ich Mitte 20 war und im 6. Bezirk in Wien wohne – aber das sagt genau nichts über meinen Kontostand oder mein Einkommen aus.
Auf Facebook-Schattenprofilen Adressbuch gespeichert
Sie haben beim EuGH nun einen Sieg errungen, oder ist es eine Niederlage?
Das wurde leider etwas unsauber berichtet. In Österreich sind Verbrauchersammelklagen jedenfalls möglich, das kann der EuGH nicht beeinflussen, weil es nationales Recht ist. Wir wollten mit 25.000 Facebook-NutzerInnen aus der EU eine Sammelklage einreichen. Der EuGH hat aber den Verbraucherbegriff eingeschränkt. Mit dem jetzigen Urteil gilt nur als Verbraucher, wer auch der ursprüngliche Vertragspartner eines Unternehmens ist.
Diese Einschränkung des Verbraucherbegriffs auf jene Person, die einen Vertrag geschlossen hat, ist recht absurd: Wenn ich etwa beim Billa für meine Kinder verdorbenes Essen kaufe und sie bekommen Brechdurchfall, dann sind die Kinder keine ‚Verbraucher‘ weil sie ja nicht den Vertrag mit dem Supermarkt geschlossen haben. Ebenso wäre etwa der Zweitbesitzer eines Autos nicht mehr Verbraucher, weil er ja keinen Vertrag mit dem Autohersteller hat.
Ein Punkt in Ihrer Klage ist auch das Tracking von InternetnutzerInnen auf Webseiten beispielsweise über „Like Buttons“.
Facebook kann mit diesen Systemen beobachten, wer welche Seiten im Netz ansieht. Sogar, wie lange ein User auf einer Pornoseite im Web verweilt. Es geht darum, was Facebook im Hintergrund mit Daten tut – selbst wenn der Nutzer diese nicht zur Verfügung stellt. Bestes Beispiel sind die sogenannten „Schattenprofile“: Facebook greift hier auf die Adressbücher von Facebook UserInnen zu und erstellt dann Profile von Leuten, die keine Nutzer sind. In Folge erhalten Leute dann diese ominösen Emails, wo es heißt, dass soundsoviele deiner Facebook-Freunde auf dich warten, selbst wenn man Facebook nie Daten zur Verfügung gestellt hat. Facebook nennt das „Zustimmung durch Dritte“.
Unternehmen dazu bringen, sich an Gesetze zu halten
Sie kritisieren auch die Monopolstellung sozialer Netzwerke.
Facebook ist das wichtigste soziale Netzwerk, in der Praxis können sich viele Leute nur schwer entziehen. Gleichzeitig ist den meisten Leuten das Unternehmen Facebook eher unsympathisch. Trotzdem bleibt jeder dort, weil der Netzwerkeffekt so groß ist. Diese geschlossenen Netzwerke laufen im Übrigen der ursprünglichen Idee des Internets zuwider. Denn die eigentliche Qualität des Internets ist ja dessen Offenheit. Heute versuchen aber immer mehr Konzerne, geschlossene, undurchdringliche Welten zu schaffen.
Beim Herunterladen von Programmen wie Whatsapp muss man ja dem Zugriff auf Daten zustimmen.
In den USA können die Whatsapp-Daten des Bundeskanzlers von der NSA gelesen werden.
Festzustellen ist, dass in der Öffentlichkeit das Thema Datenschutz relativ wenige Leute bewegt. Ist es zu abstrakt?
Dem widerspreche ich: Viele Leute finden den mangelnden Datenschutz problematisch, laut einer Umfrage sind es rund 80%. Was stimmt ist, dass es viele Menschen überfordert, sich in der Tiefe damit auseinandersetzen. Aber derzeit versuchen Unternehmen, den Mythos in die Welt zu setzen, dass Datenschutz in der Verantwortung des Users liegt, nach dem Motto:
Der Nutzer ist schuld, wenn er zulässt, dass seine Daten geplündert werden. Leider verstärken die Medien dieses Abwälzen von Verantwortung. Die Lösung ist, die Unternehmen dazu zu bringen, sich an die Gesetze halten.
