Offener Brief: Datenschützer Max Schrems schießt scharf gegen irische Behörden

Datenschützer Max Schrems wünscht sicht Schützenhilfe von Europäischen Datenschutzbehörden. [JULIEN WARNAND/EPA]

Seit zwei Jahren bearbeitet die irische Datenschutzbehörde Klagen gegen Facebook. Datenschützer Max Schrems dauert das zu lange. In einem offenen Brief kritisiert er  das Vorgehen der Iren, und fordert die Unterstützung der EU und Mitgliedsstaaten. EURACTIV Deutschland besprach den Plan mit Schrems.

Am 25. Mai 2018 trat die europäische Datenschutz-Grundverordnung (DSGVO) in Geltung. Pünktlich zum Jubiläum übt einer der prominentesten Datenschützer Europas, der Österreicher Max Schrems, in einem offenen Brief heftige Kritik an ihrer Umsetzung. Konkret geht es um eine Klage gegen Facebook und seine Töchter Whatsapp und Instagram, bei der die irische Datenschutzbehörde auf der Bremse steht, so Schrems. Er fordert internationale Datenschutzbehörden sowie die Kommission auf, Druck auf die irischen Behörden zu machen.

Schrems wurde bekannt durch die Sammelklage gegen Facebook wegen angeblicher Verstöße gegen Datenschutzregeln. Die Klage wurde zwar 2018 vom Europäischen Gerichtshof zurückgewiesen, doch der Jurist Schrems blieb dran. Gemeinsam mit seiner Organisation „nyob“ (kurz für „none of your business“) betreute er am 25. Mai 2018, nur Stunden nachdem die DSGVO in Kraft trat, drei neue Klagen gegen Facebook, Whatsapp und Instagram.

EU-Datenschutzrat "sehr besorgt" über DSGVO-Aussetzung in Ungarn

Der Europäische Datenschutzausschuss (EDPB) hat seine Besorgnis über die Aussetzung der Datenschutzrechte in Ungarn zum Ausdruck gebracht.

„Zwangszustimmung“ zur Datennutzung

Diesmal ging es um die Zustimmung von NutzerInnen, ihre Daten von Facebook bearbeiten zu lassen. Der Fall klingt nach bürokratischer Haarspalterei, in Wahrheit aber geht es hier um die Frage, ob Daten verarbeitet werden dürfen oder nicht. Seit die DSGVO in Kraft ist, sind die Daten von NutzerInnen kein Freiwild mehr: Wer sie verarbeiten will, muss sich eine Zustimmung holen. Dafür gibt es Kriterien: Diese Zustimmung darf nicht erzwungen oder versteckt sein (beispielsweise tief vergraben in den AGBs).

Facebook löste das Problem, indem es in der Nacht auf den 25. Mai sein Zustimmungs-Modell änderte. Anstatt um Zustimmung zu bitten, änderte es seine AGBs so ab, dass daraus ein Vertrag wurde. Dieser neue Vertrag stellt Facebooks Kuration von Inhalten, die per Algorithmen auf NutzerInnen zugeschnitten werden, als Dienstleistungen dar. Und für diese Dienstleistungen ist die Verarbeitung von Daten zwingend erforderlich. Der Clou: Laut DSGVO ist Datenverarbeitung erlaubt, um Verträge zu erfüllen.

Doch Schrems sieht darin eine „Zwangszustimmung“, wie er es im Gespräch mit EURACTIV Deutschland verdeutlichte. Denn diese Vertragsänderungen wurde NutzerInnen nur in Form eines Pop-Ups mitgeteilt, das man eilig wegklickt. Das sei keine DSGVO-konforme Zustimmung, so Schrems. Daher betreute er eine Klage wegen einer DSGVO-inkompatiblen Einwilligung zur Datenverarbeitung. Vorgelegt wurde diese Klage in Österreich. Die Österreicher leiteten diese wiederum weiter an das irische Pendant, da Facebooks Hauptquartier in Irland liegt.

Privatdaten von ÖsterreicherInnen im Netz: Ministerium droht DSGVO-Strafe

Auf der Website des Wirtschaftsministeriums waren die Daten österreichischer BürgerInnen öffentlich abrufbar, und zwar seit 2009. Die Partei prüft rechtliche Schritte – und könnte Erfolg haben, sagt ein DSGVO-Experte im Gespräch mit EURACTIV.

Ein kleiner Schritt für Schrems, ein großer für die Iren

Lange Zeit passierte wenig: die irischen Behörden meldeten immer wieder Verzögerungen. Am 22. April 2020 kam dann der Entscheidungsentwurf für die Facebook-Klage, am 20. Mai 2020 folgte der Berichtsentwurf gegen Instagram und Whatsapp. Als „signifikante Entwicklungen“ bezeichnete das Graham Doyle, irischer Vize-Datenschutzkommissar gegenüber EURACTIV Deutschland.

Doch Schrems betont, dies seien nur zwei Schritte von vier, bevor die Sache von der irischen auf die EU-Ebene kommt (siehe Infografik). Zum Vergleich: Die österreichische Datenschutzbehörde müsste innerhalb von sechs Monaten entscheiden. Schrems fürchtet, das Prozedere könnte sich insgesamt noch zehn Jahre hinziehen. „Das ist nicht so ganz, was die DSGVO bringen sollte“, so Schrems.

Fortschritt der drei von noyb betreuten Beschwerden im irischen Sechs-Schritte-Prozess. Jedes Land hat seine eigenen DSGVO-Beschwerdeprozesse. [noyb]

Darum ruft er in dem offenen Brief dazu auf, Druck auf die irischen Behörden zu machen. In der Lage dazu wären die Datenschutzbehörden anderer Länder, denn sie hätten ein passendes Werkzeug: Ein Dringlichkeitsverfahren, mit dem eine gemeinsame europäische Entscheidung getroffen werden könnte, die für Irland bindend ist. Auch die österreichische Behörde könnte die Klage wieder ins eigene Hoheitsgebiet ziehen. Doch „bisher trauen sich die anderen Behörden nicht, das zu nutzen“, so Schrems.

Keine Geheimtreffen

Auf Anfrage von EURACTIV Deutschland erklärte Christoph Stein, Sprecher der deutschen Datenschutzbehörde: Man habe noch keine offizielle Aufforderung von nyob dazu erhalten, das Gespräch mit den irischen KollegInnen zu suchen. Doch die Themen des offenen Briefes „wurden und werden mit der irischen DPC im Europäischen Datenschutzausschuss besprochen.“

Ein besonderer Dorn im Auge der DatenschützerInnen sind die Treffen zwischen Facebook und der irischen Datenschutzbehörde, zehn an der Zahl, vor dem Inkrafttreten der DSGVO. Trotz mehrfacher Anfragen wurden die Inhalte dieser Treffen nicht veröffentlicht, was noyb im offenen Brief annehmen lässt, dass Unternehmen und Behörden die Zustimmungs-Umgehung in einer „geheimen Kooperation“ ausbaldowerten.

Doch die irische Behörde bestritt jedwede „Geheimtreffen“. Man stehe in regelmäßigem Kontakt mit Privatfirmen als Teil der Aufsichtsfunktion nach Artikel 57 der DSGVO, wie viele andere Datenschutzbehörden es auch tun, teilte der irische Vize-Datenschutzkommissar Doyle mit.

DSGVO-Millionenstrafe: Testlauf für deutsches Modell

Wegen einer Verletzung der DSGVO verhängte die deutsche Datenschutz-Behörde ein Bußgeld von neun Millionen Euro gegen die 1&1 Telecom. Doch das Unternehmen wehrt sich. Ein Präzedenzfall – sowohl für Deutschland, als auch für Europa.

Subscribe to our newsletters

Subscribe
UNTERSTÜTZEN