Der ab 2018 geltende schärfere Datenschutz in Europa ist aus Sicht des österreichischen Datenschutz-Aktivisten Max Schrems im Prinzip zwar ein großer Fortschritt, die entsprechende EU-Datenschutz-Grundverordnung weise aber auch viele Mängel auf. Sie sei "ein schönes Theaterstück", das aber an der technisch oft schlechten Umsetzung kranke, sagte Schrems der dpa. So würden für Unternehmen die unübersichtlich vielen Regelungen zur Administration des Datenschutzes zu einer nicht notwendigen Belastung führen. Strafen von bis zu 25 Millionen Euro in der EU-Datenschutz-Grundverordnung bedeuteten aber auch: "Die Luft für Facebook&Co wird definitiv dünner", meint Schrems.
Der 29-jährige Jurist aus Salzburg, der 2015 ein wegweisendes Urteil zur unzulässigen Weiterleitung von Personendaten an die USA erstritten hat, kämpft aktuell noch an zwei Fronten um besseren Datenschutz: Der Europäische Gerichtshof (EuGH) befasst sich mit der Zulässigkeit einer Sammelklage gegen Facebook. In Irland befindet bald ein Gericht darüber, ob gängige Standardvertragsklauseln zum Datenschutz den Anforderungen auch bei der Datenübermittlung in die USA entsprechen. Außerdem hat er noch andere Pläne:
Seit sechs Jahren kämpfen Sie um den Datenschutz und haben vor allem Facebook im Visier. Was kommt als nächstes?
Max Schrems: Mir schwebt eine auf Datenschutz spezialisierte NGO vor. Spezialisten, die sich wie Warentester zum Beispiel anschauen, welche Daten die Top-100-iPhone-Apps absaugen. Die Rechtsverletzungen liegen auf der Straße. Es braucht aber jemanden, der Fälle strukturiert aufdeckt und durchsetzt - in Zusammenarbeit mit Verbraucherschützern und Datenschutzbehörden.
Dabei würde die neue EU-Datenschutz-Grundverordnung helfen?
Schrems: Absolut - die Grundverordnung macht den Datenschutz durchsetzbar. Aber auch ein schönes Theaterstück kann an der technisch oft schlechten Umsetzung kranken. Die administrativen Regelungen sind beispielsweise eine starke Belastung für Unternehmen, die für den Betroffenen oft wenig bringen. Oft sind Regeln auch zu schwammig. Bei Strafen von bis zu 25 Millionen Euro wären klarere und konkretere Regeln nicht nur für die Bürger, sondern auch für die Wirtschaft notwendig. Künftig gibt es auch bei emotionalem Schaden Ansprüche. Jedenfalls: Die Luft für Facebook&Co. wird definitiv dünner.
Wie steht es um ihre Sammelklage gegen Facebook?
Schrems: Der Europäische Gerichtshof wird wohl bis Ende des Jahres darüber entscheiden. Die EU-Kommission, Deutschland, Österreich und Portugal haben Stellung genommen. Im Kern geht es darum, dass man sich als Verbraucher auch international zu einer Klage zusammenschließen kann. Beispielhaft habe ich mit sieben anderen wegen der missbräuchlich geschäftlichen Nutzung unserer Facebook-Daten geklagt. Wenn wir Recht bekommen, stehen 25 000 Unterstützer auf unserer Klageliste und können die gleichen Ansprüche gesammelt vor einem Gericht geltend machen statt in 25 000 Einzelverfahren.
Ist das andere Verfahren in Irland höchst kompliziert?
Schrems: Ja, und auch etwas speziell. Die dortige Datenschutzbehörde möchte die Standardvertragsklauseln, die den Datentransfer außerhalb der EU ermöglichen, überprüft sehen. Im Kern geht es darum, dass Facebook Daten aus der EU der NSA zur Verfügung stellt und dabei diese Klauseln nutzt. Wir sind der Ansicht, die Behörde kann hier ohnehin selbst tätig werden und den Datenfluss stoppen. Am wichtigsten wird, ob das Gericht in diesem Zusammenhang erneut ausführt, dass es unter dem Vorzeichen der nationalen Sicherheit in den USA massenweise Datenmissbrauch gibt. Ich gehe davon aus, dass das im irischen Verfahren wieder sehr klar wurde.
Die momentane Rechtsgrundlage zum Datenaustausch mit den USA, "Privacy Shield", wollen sie selber zu Fall bringen?
Schrems: Nein, das soll jemand Anderer machen. Die Aussichten wären jedenfalls sehr günstig und zwei Klagen gibt es auch schon. Der von der EU-Kommission fälschlich gefeierte "Privacy Shield" ist zu weiten Teilen identisch mit dem vom EuGH gekippten "Safe Harbour". Es ist großteils der gleiche Text mit neuer Überschrift. Weiterhin können Unternehmen zu 90 Prozent mit Daten beinahe unreguliert alles tun. Gleichzeitig wird "Privacy Shield" aber durch die baldige EU-Verordnung ohnehin fast keine Rolle mehr spielen, weil US-Unternehmen direkt unter EU-Recht fallen.
Wie hat sich Ihr Leben mit dem Kampf gegen Facebook verändert und wie finanzieren Sie das?
Schrems: Ich nehme das ernst, sehe es aber nicht emotional oder verbissen. Es ist eher ein Pingpong-Spiel. Absurd ist vor allem, dass ich meine eigene Privatsphäre zum Teil verloren habe. Zu den Kosten: Im irischen Verfahren haben Facebook und die Datenschutzbehörde im Vorfeld zugesagt, dass ich auch bei einer Niederlage nichts zahlen muss. Die Prozesskosten dort sind enorm. In der fünfwöchigen Anhörung dürften Anwaltskosten von fünf bis zehn Millionen Euro aufgelaufen sein. Im Fall der Sammelklage bin ich über einen deutschen Prozesskostenfinanzierer abgesichert, der bei einem Sieg 20 Prozent einer Schadenersatzzahlung erhält und dafür alle Kosten übernimmt.
Zur Person: Mit dem Datenschutz hat sich Schrems schon als 17-jähriger Austauschschüler in den USA befasst. Seit 2011 führt der Jurist die Auseinandersetzung speziell mit Facebook, weil das Unternehmen ihm auf Nachfrage rund 1200 Seiten mit persönlichen und angeblich gelöschten Daten übermittelt hatte. Als Hobby-Programmierer kennt er auch die technischen Seiten des Themas. (Matthias Röder und Albert Otti, dpa/ ib)