Datenschutzaktivist Schrems: "Massive Lücke zwischen Recht und Realität"
profil:Ihre Sammelklage gegen Facebook hat erst kürzlich einen Rückschlag erlitten, der Generalanwalt des Europäischen Gerichtshofs (EuGH) schätzte sie als nicht zulässig ein.
Max Schrems: Eine solche Sammelklage läuft über "Zession", das heißt die anderen Betroffenen überlassen mir ihren Rechtsanspruch. Ähnlich wie bei einem Inkasso-Büro, das Forderungen für andere eintreibt. Das Gleiche mache ich für 25.000 Menschen. So wird es für uns alle leistbar, Facebook zu klagen. Facebook war aber der Ansicht, dass ich kein Verbraucher bin, weil ich mich über den Verbrauch hinaus mit dem Thema als Aktivist beschäftige. Außerdem meinen sie, dass nur der ursprüngliche Vertragspartner Verbraucher ist, und nicht jemand, der seinen Anspruch weiterreicht. Diese Argumentation hat nun auch der Generalanwalt übernommen. Eine sehr extreme Auslegung, die ich so noch in keinem Rechtsbuch gesehen habe. Das würde nämlich auch bedeuten, das alle, die secondhand kaufen oder etwas geschenkt bekommen keine Verbraucher mehr sind. Das ist vollkommen absurd und ein massives Problem für den Verbraucherschutz, wenn das der EuGH so stehen lässt.
Zwischen Recht und Realität klaffte eine massive Lücke. Nun gibt es neue Möglichkeiten der Durchsetzung.
profil:Ab Ende Mai gilt in der ganzen EU die neue Datenschutz-Grundverordnung, was heißt das für User?
Schrems:Vom Datenschutzniveau her hat sich nicht sehr viel verändert. Bisher war das Problem in der EU, dass wir all diese Datenschutz-Grundrechte vor uns hergetragen, aber nicht durchgesetzt haben. Zwischen Recht und Realität klaffte eine massive Lücke. Nun gibt es neue Möglichkeiten der Durchsetzung. Die Strafandrohungen der DSGVO von 20 Millionen Euro oder vier Prozent des weltweiten Umsatzes machen Sinn. Auch wenn sie theoretisch ebenso kleine Unternehmen treffen könnten, was ich durchaus kritisiere. Gerade für kleinere Firmen, die Daten verwenden, bedeutet die DSGVO einen deutlichen Mehraufwand.
Ebenfalls neu ist die Möglichkeit "emotionalen Schadenersatz" zu verlangen. Bisher musste man einen direkten Schaden durch Datenschutzverstöße nachweisen. Zum Beispiel, dass man einen bestimmten Job nicht bekommen hat, weil eine E-Mail an die Öffentlichkeit gelangt ist. Allein das Faktum, dass in die eigene Privatsphäre eingegriffen wird, ist jetzt mit der Verordnung schon schadensersatzfähig.
profil:Warum braucht es zur Durchsetzung trotzdem Ihre neu gegründete NGO "None of your business" (noyb)?
Schrems:Unsere Datenschutzbehörden werden mit den vielen Fällen überfordert sein, hier kommt noyb ins Spiel. Die DSGVO sieht vor, dass auch NGOs die Rechtsdurchsetzung übernehmen können. Wie es auch der Verein für Konsumenteninformation im Konsumentenschutz macht. Beim Thema Datenschutz wird viel geredet und wenig getan. Mir hat es Spaß gemacht ein "europäisches Medienphänomen" zu sein, nur weil ich Facebook geklagt und dem Thema ein Gesicht gegeben habe, aber jetzt brauchen wir ein Zentrum auf europäischer Ebene, das professionell agiert. So können wir uns auch innerhalb von Europa mit jenen Behörden zusammentun, die wirklich interessiert sind, etwas zu ändern und Vorteile der lokalen Prozessgesetzgebung nutzen. Dadurch wollen wir auch für einen faireren Wettbewerb sorgen, denn momentan zahlt es sich für Firmen immer noch aus, Datenschutzvorgaben einfach zu ignorieren.
profil:Wenn durch Userdaten kein Geld mehr verdient werden kann, werden viele Gratisdienste dann kostenpflichtig?
Schrems:Das denke ich nicht. Es wird weiterhin Werbung geschalten werden, nur nicht mehr auf Userdaten basierend, sondern wie davor: Nach Zielgruppen, nach Jahreszeit, nach Kontext der Website. Ich kann Werbung machen und steuern auch ohne personenbezogene Daten. Printmagazine sind hier der beste Beweis. Personalisierte Werbung bringt aber natürlich wesentlich mehr Geld. Mit der Auswertung persönlicher Daten, zum Beispiel um den "perfekten" Mitarbeiter zu finden oder die Kreditwürdigkeit festzustellen, könnte man noch viel mehr verdienen. Hier muss ich abwägen, was wichtiger ist. Wenn durch besseren Datenschutz Geschäftsmodelle zerstört werden - was ja oft argumentiert wird - dann muss ich mir eben ein Geschäftsmodell überlegen, das nicht auf Gesetzesbruch basiert.
profil:Gibt es inzwischen eine gewisse Sucht der Unternehmen nach Userdaten?
Schrems:Es ist so ein bisschen nach dem Motto "Wir haben Öl gefunden und jetzt pumpen wir, auch wenn wir noch nicht ganz wissen, wofür wir es verwenden". Das widerspricht völlig dem Grundsatz des Datenschutzes: der Datenminimierung. Ich darf Daten sammeln, wenn ich einen fixen Zweck dafür habe und wenn der erfüllt ist, müssen sie gelöscht werden. Heute kostet aber das Löschen von Daten oft mehr als das Speichern, weil Speicherplatz günstig ist und das Löschen auch Energie braucht. Wer säubert heute noch seine Festplatte?
Wenn wir in der EU unsere Standards gut durchsetzen, hat das Vorteile für alle, die den Dienst weltweit nutzen.
profil:Kann man ein so globales Problem überhaupt auf EU-Ebene lösen?
Schrems:Europa ist weltweit der größte Binnenmarkt, wenn ich ein globales Unternehmen bin, muss ich also dort sein. Diese Firmen haben aber nur eine Software, die weltweit funktionieren muss. Darum kommt es zum "California-Effect": Kalifornien ist die größte Wirtschaft der USA und hat die strengsten Abgasstandards, jedes große US-Autounternehmen muss also die kalifornischen Standards einhalten. So ähnlich kann man es im Datenschutz machen. Wenn wir in der EU unsere Standards gut durchsetzen, hat das Vorteile für alle, die den Dienst weltweit nutzen.
Der Standort des Unternehmens spielt aber eine große Rolle bei der Durchsetzung von EU-Recht. Mittlerweile haben fast alle großen Konzerne – aus steuerlichen oder technischen Gründen - eine physische Präsenz in Europa. Schwieriger ist es, wenn sich die Gesetze in verschiedenen Ländern widersprechen. Wenn die EU vorgibt, dass keine Daten an die NSA ausgeliefert werden dürfen, die NSA in den USA diese aber von Facebook verlangt, muss Facebook ein Recht brechen. Die alte Frage "Wer hat Jurisdiktion im Internet?" wird mit der DSGVO noch relevanter werden.
Wer die Kontrolle über etwas hat, trägt auch die Verantwortung dafür.
profil:Hat man sich heutzutage schon ein bisschen zu sehr damit abgefunden, dass die eigenen Daten nicht geschützt sind?
Schrems:Das ist das große Problem, das wir im Datenschutz haben. Das Thema ist eben doch sehr komplex. Ich weiß nach Jahren immer noch nicht ganz genau, was Facebook mit all unseren Daten macht. Man muss ehrlich sagen, dass wir Experten brauchen, die sich damit auseinandersetzen und unser Recht für uns durchsetzen. Dass den Nutzern oft die Verantwortung für ihre Daten umgehängt wird, ist absurd. Rechtlich ist klar: Wer die Kontrolle über etwas hat, trägt auch die Verantwortung dafür. Wer ein riesengroßes Datenanalysesystem baut, muss dafür sorgen, dass er die Gesetze einhält.
Als ich zu dem Thema gekommen bin, hatten viele Juristen akzeptiert, dass Datenschutz nicht durchsetzbar ist. Ich als junger Jus-Student habe mich dann gewundert, dass in diesem Bereich so wenig gemacht wird. Dass sich hier so ein Cluster gebildet hat, der total außerhalb des Rechts agiert. Dieses Verhalten hat sich vom Silicon Valley ausgebreitet und wird heute oft unhinterfragt als "innovativ" übernommen. Beispiel Airbnb oder Uber: Auf die Idee keine Steuern zu zahlen sind schon viele gekommen. Das ist nicht innovativ.
profil:Innovationen wie selbstlernende Programme stellen Datenschützer vor neue Herausforderungen, wie wird sich hier der technische Fortschritt auswirken?
Schrems:Man kann durch Regulierung durchaus Innovation in die richtige Richtung steuern. Wenn jemand kreativ ist beim Datenauswerten, kann er sicher auch dazu beitragen, dass meine Daten besser geschützt sind. Nur derzeit gibt es null Anreize dafür, die gilt es zu schaffen.
profil:Sie äußern sich auf Twitter immer wieder kritisch zur neuen Regierung, was erwarten Sie sich von Schwarz-Blau in Sachen Datenschutz?
Schrems:Interessant wird, wie sie an das Thema staatliche Überwachung herangehen wird. Die steht ja bei der ÖVP hoch im Kurs, die FPÖ ist hier überraschenderweise – auch wenn sie offiziell eine Law-and-Order-Politik vertritt – im Hintergrund oft sehr kritisch.
Max Schrems ist Jurist, Autor und Datenschutzaktivist. Momentan sammelt er Unterstützer für seine NGO "noyb - Europäisches Zentrum für Digitale Rechte".