Wer viele Menschen erreichen will, hat kaum eine Alternative zu Facebook, meint Max Schrems. Bei anderen sozialen Netzwerken, die sorgsamer mit Nutzerdaten umgehen, könne man leider nur „seine eigenen Fotos einstellen und selbst liken“. Foto: AFP

Max Schrems war der erste Privanutzer, der Facebook gesetzlich gezwungen hat, seine Privatdaten herauszugeben. Zudem hat er das Safe-Harbour-Abkommen gekippt. Grund für Optimismus sieht er dennoch nicht.

Stuttgart - Die zentrale Frage hat Max Schrems am Ende gar nicht beantwortet: „Hat Datenschutz noch einen Sinn?“, hatte der österreichische Jurist am Freitag an der Uni Stuttgart gefragt. Aber wenn nach seinem Vortrag eines klar ist, dann das: Datenschutz ist nicht nur wichtiger denn je. Er wird auch in Europa sträflich vernachlässigt – trotz theoretisch deutlich besserer Gesetze als in den USA.

Der Österreicher wurde 2011 berühmt als erster privater Nutzer, der Facebook gerichtlich gezwungen hat, die über ihn gespeicherten Daten herauszugeben. Schon die wenigen Ausschnitte dieser 1200 pdf-Seiten, die Facebook dem damaligen Studenten nach einem aufwendigen Rechtsverfahren zukommen ließ und die Schrems im Vortrag präsentierte, lassen aufhorchen. Schließlich wird auf Facebooks Servern nicht nur gespeichert, was der Nutzer eingegeben hat, sondern auch das, was Facebook aus diesen Daten schließt. Unter anderem mit Hilfe von Netzwerken zwischen einzelnen Nutzern sei es eine Sache von Sekunden, nicht nur seine sexuelle Orientierung aufzudecken, sondern auch allerlei andere privaten Informationen, die er nie auf Facebook geteilt habe.

Mit der Option, das gesamte Adressbuch eines Smartphones hochzuladen, kann Facebook zudem Netzwerke von Personen erstellen, die selbst keinen Account haben. Angesichts der Nutzerzahlen und der Zahl von Smartphones kann man sich vorstellen, wie Facebook vermutlich schon große Teile der westlichen Welt komplett kartographiert hat. Dazu kommt, dass gelöschte Inhalte zwar als gelöscht markiert werden, aber auf den Facebook-Servern gespeichert bleiben – mit allem, was man aus ihnen über einen Menschen herausfinden kann.

Die Mär vom vergleichbaren Datenschutz

Als Eduard Snowden 2013 aufdeckte, wie breit der US-Geheimdienst die Bevölkerung überwacht und als mit Schrems vielen anderen EU-Bürgern klar wurde, dass Facebook – wie andere US-Unternehmen auch – der NSA Einblick in seine Daten gewähren muss, wurde es Zeit für die nächste Klage. Schließlich sah das Safe-Harbour-Abkommen zwischen der EU und den USA einen „vergleichbaren“ Datenschutz zwischen Europa und den USA vor (siehe Infobox).

„Massenüberwachung ist wohl kaum ein angemessenes Schutzniveau“, sagt Schrems. Mit diesem Argument und seiner Hartnäckigkeit schaffte er es schließlich, Safe Harbour zu kippen: Der Europäische Gerichtshof erklärte das Abkommen für ungültig. Erst an diesem Punkt reagierten auch US-Medien erstaunt, die den kleinen österreichischen Studenten bis dahin nicht besonders ernst genommen hatten. „Die Europäer und ihre Bedenken mit dem Datenschutz kannst du vergessen“, hat Schrems in einem Studienjahr in den USA oft gehört, „da passiert sowieso nichts.“

Leicht ist der Kampf um die eigenen Daten jedenfalls nicht. Da für Facebook-Nutzer außerhalb den USA und Kanada eine irische Facebook-Tochter Vertragspartner ist, müssen rechtliche Fragen dort geklärt werden. So war die irische Datenschutzbehörde, bei der kein einziger ausgebildeter Datenschützer arbeitet und auch sonst nur sehr wenige Leute, Schrems erster Ansprechpartner. Er zeigt das Foto eines winzigen Bürogebäudes und eine Statistik: Nahezu keine der eingegangenen Beschwerden wird bearbeitet.

Doch die Verantwortlichen hatten nicht mit Schrems Hartnäckigkeit gerechnet, der sich auch durch das irische Rechtssystem kämpfte – obwohl Prozesskosten dort nicht gedeckelt sind und für eine Klage schnell mal Kosten von einer halben Million Euro anfallen. „De facto besteht hier keine Rechtssicherheit“, sagt Schrems – denn welche Privatperson kann sich das leisten? Ist es in Deutschland besser? „Naja, die deutsche Datenschutzbehörde wurde dadurch bekannt, dass sie sich für die Vorratsdatenspeicherung eingesetzt hat“, sagt Schrems.

Privacy Shield ist kaum besser als Safe Harbour

Der Nachfolger von Safe Harbour, das so genannte „Privacy Shield“, ist laut Schrems kaum besser als das gekippte Abkommen. Bis auf wenige Zusätze sei der Text gleich. Zudem müssen US-Konzerne nach dem neuen Abkommen nur dann die explizite Zustimmung der Nutzer einholen, wenn sie Daten an Dritte weitergeben oder den Zweck ändern, für den sie diese nutzen. Die informierte und freiwillige Zustimmung des Nutzers, die das EU-Recht vorsieht, ist allerdings meist gut versteckt, und den Verbrauchern werden nur zwei Möglichkeiten angeboten: zustimmen oder den Dienst nicht nutzen. Ebenso macht es Facebook: Wer nicht einverstanden ist, kann keinen Account anlegen.

„Facebook müsste schreiben: Wir geben deine Daten an die NSA weiter, stimmst du zu?“, sagt Schrems. Doch das wäre gegen amerikanisches Recht: Konzerne dürfen nicht verkünden, was sie an die NSA weitergeben. Trotz „Privacy Shield“ dürfen Facebook und alle anderen US-Konzerne weiterhin Daten sammeln, speichern und auswerten – ohne um Zustimmung zu bitten. „Das ist meilenweit weg vom europäischen Datenschutzrecht“, sagt Schrems.

Wenig Grund für Optimismus

Von daher bleibt trotz der beeindruckenden Erfolge des David Schrems gegen den Goliath Facebook am Ende des Vortrags wenig Grund für Optimismus. „Wie kann ich als Bürger denn meine Daten schützen, wenn das größte europäische Gericht entscheiden muss, wo über solche Fragen überhaupt verhandelt werden darf?“, fragt ein ratloser Zuhörer. Die ehrliche Antwort lautet: gar nicht. Wer hat schon so viel Zeit, Energie und Fachwissen, um sich wie Max Schrems mit den Behörden anzulegen?

Und was hat es am Ende genutzt? Aktuell hat Schrems eine Sammelklage gegen Facebook eingereicht, an der sich 25 000 Nutzer beteiligen. Die Klage bringt zumindest öffentliche Aufmerksamkeit und vielleicht macht sie auch manchen Facebook-Nutzer nachdenklich. Aber was ist die Alternative? Es gibt datenschutzfreundlichere Netzwerke als Facebook. Nur leider mangelt es diesen an Nutzern. „Da kannst du dann deine Fotos einstellen und selbst liken“, sagt Schrems.

Das Safe-Harbour-Abkommen

Gesetz: Das Abkommen war eine 2010 getroffene Vereinbarung zwischen den USA und der EU, die es ermöglichte, dass personenbezogene Daten in die USA übertragen werden konnten. Hintergrund waren die Vorschriften der Artikel 25 und 26 der Europäischen Datenschutzrichtlinie, nach denen ein Datentransfer in Drittstaaten verboten ist, die über kein dem EU-Recht vergleichbares Datenschutzniveau verfügen. Genau das trifft für die USA zu. Das Gesetz sieht aber vor, dass die EU-Kommission den Datenschutz in einem Drittland für angemessen erklären kann, wenn dieses bestimmte Anforderungen erfüllt. Dazu gehörten unter anderem sieben Kriterien, zu deren Einhaltung sich in den USA tätige Unternehmen verpflichten mussten.

Regeln: Zu den sieben Prinzipien des Abkommens gehört unter anderem die Informationspflicht: die Unternehmen müssen die Betroffenen darüber unterrichten, welche Daten sie für welche Zwecke erheben und welche Rechte die Betroffenen haben. Zudem muss es für Nutzer eine Möglichkeit geben, der Weitergabe ihrer Daten zu widersprechen. Eine weitere Regel betrifft das Zugangsrecht, das auch Schrems genutzt hat: Betroffene müssen die Möglichkeit haben, die über sie gespeicherten Daten einzusehen.

Urteil: Mit seiner Entscheidung vom 6. Oktober 2016 hat der Europäische Gerichtshof das Safe-Harbour-Abkommen für ungültig erklärt. Unternehmen mussten nun überprüfen, ob sie angesichts der veränderten Rechtslage weiterhin Daten in die USA transferieren durften. Als Nachfolger von Safe Harbour wurde das so genannte Privacy Shield eingeführt. Dessen Datenschutzregeln lehnen sich in weiten Teilen an die des Vorgängers an – und liegen nach wie vor weit unter dem EU-Standard.