„None of your business“ – Max Schrems, Facebook und die irische Datenschutzbehörde
Max Schrems gilt als der sprichwörtliche David, der gegen den übermächtigen Goliath kämpft. Denn der österreichische Jurist und Datenschutzaktivist ist bekannt für zahlreiche Klagen gegen Facebook, den Riesen unter den sozialen Netzwerken. Auch gegen Apple ist Schrems bereits juristisch vorgegangen.
Mittlerweile ist Schrems mit seiner Nichtregierungsorganisation „NOYB – Europäisches Zentrum für digitale Rechte“ aktiv. NOYB ist die Abkürzung von „none of your business“, zu Deutsch: „Das geht dich nichts an“. Der Verein versteht sich als Datenschutz-Plattform und treibt private Klagen auf Grundlage der EU-Datenschutz-Grundverordnung („DSGVO“) voran. Das Ziel: Die Privatsphäre von Verbraucher*innen in der digitalen Welt schützen.
Reihe „Datenschutz auf Webseiten“: Updates zur Datenschutz-Grundverordnung
Webseiten, die sich an Kinder richten, stehen vor besonderen Fragen beim Datenschutz. Die Reihe „Datenschutz auf Webseiten“ von iRights.info und Seitenstark e.V. berücksichtigt jetzt die neue EU-Datenschutz-Grundverordnung. » mehr
Bekannt wurde Max Schrems durch zwei wegweisende Entscheidungen des Europäischen Gerichtshofes (EuGH): Die Urteile „Schrems I“ und „Schrems II“. Im Zuge von Schrems‘ Auseinandersetzungen mit Facebook hatte das höchste Gericht der Europäischen Union 2015 die EU-US-Datenschutzvereinbarung „Safe Harbor“ und fünf Jahre später auch die Nachfolgeregelung „Privacy Shield“ gekippt. Beide Abkommen betreffen den Datenaustausch zwischen den USA und der EU.
Wer sich mit Schrems und der DSGVO beschäftigt, merkt schnell, wie kompliziert internationaler Datenschutz sein kann. Dieser Text erklärt die Hintergründe, infomiert über Max Schrems als Datenschützer und wie er sich zusammen mit NOYB juristisch gegen Plattform-Riesen engagiert.
Stichtag 25. Mai 2018: Die DSGVO und das „Recht auf Auskunft“
Der von Schrems gegründete Verein NOYB nahm am 25. Mai 2018 seine Tätigkeit auf – jenem Tag, an dem die Datenschutz-Grundverordnung (DSGVO) wirksam wurde.
Die DSGVO bildet den datenschutzrechtlichen Rahmen innerhalb der Europäischen Union und hat neue Möglichkeiten der Rechtsdurchsetzung gegen Datenschutzverstöße geschaffen: So wurden die Transparenzpflichten von Unternehmen gegenüber ihren Kund*innen erhöht und die Betroffenen erhielten mehr Rechte, etwa das „Recht auf Auskunft“ (Art. 15 DSGVO). Damit können Verbraucher*innen zum Beispiel bei Unternehmen anfragen, welche Daten von ihnen verarbeitet werden, was damit geschieht und zu welchen Zwecken. Die DSGVO hatte die davor geltenden europäischen Datenschutzgesetze abgelöst.
Warum ist der Datenaustausch mit den USA so umstritten?
2013 enthüllte Edward Snowden, dass US-Geheimdienste mit Hilfe von Überwachungsprogrammen wie „PRISM“ Zugang zu persönlichen Daten amerikanischer und europäischer Nutzer*innen haben (zum Beispiel digitale Kommunikationsdaten). Die US-amerikanische Washington Post und der britische Guardian berichteten, dass an dem Geheimdienst-Überwachungsprogramm auch neun der größten Internetkonzerne und Dienste der USA beteiligt waren, darunter Google und Facebook.
Die US-Geheimdienste konnten ihre Datenzugriffe dabei teilweise auf ein Gesetz stützen, das ihnen den Zugang erleichterte. Aber auch die amerikanischen Plattformen und Diensteanbieter sammeln immer mehr personenbezogene Daten (zum Beispiel durch Webtracking), auf die die US-Behörden zugreifen konnten.
Der Fall Snowden hat gezeigt, dass das Datenschutzniveau in den USA nicht mit den europäischen Regelungen vergleichbar ist: In Europa ist man deutlich strenger. Das europäische Datenschutzgesetz sieht vor, dass europäische Unternehmen Daten, etwa ihrer Kund*innen, nur dann in einen Staat außerhalb der EU übermitteln dürfen, wenn sichergestellt ist, dass die Daten auch dort besonders geschützt werden und Betroffene sich gegen Verstöße wehren können.
Was ist und wie funktioniert Webtracking?
Im Netz kann jede Bewegung beobachtet werden: Welche Webseiten ich anschaue, welche Produkte ich kaufe, welche Apps ich nutze. Wie funktioniert das Webtracking? Was dürfen die Anbieter? Wie können Nutzer sich schützen? » mehr
Angemessenheitsbeschlüsse und vertragliche Abkommen
In manchen Ländern ist das Datenschutzniveau mit dem in der EU vergleichbar, weil das dort geltende nationale Recht der DSGVO ähnelt. Das hat die Europäische Kommission etwa für die Schweiz, Israel, Kanada oder Japan festgestellt. Diese Feststellungen werden als Angemessenheitsbeschlüsse bezeichnet: In den dort genannten Ländern existiert ein „angemessenes“ Schutzniveau und Unternehmen können personenbezogene Daten grundsätzlich ohne zusätzliche Sicherungsmaßnahmen dorthin transferieren.
In Ländern, wo dies nicht der Fall ist oder wo es einen solchen Beschluss der Kommission (noch) nicht gibt, können sich Unternehmen freiwillig zu den europäischen Datenschutz-Grundsätzen verpflichten. Das machen sie, indem sie zivilrechtliche Vereinbarungen unterzeichnen. Zu diesen Vereinbarungen gehörte auch das sogenannte „Safe Harbor-Abkommen“, ein Beschluss der Europäischen Kommission mit dem US-Handelsministerium aus dem Jahr 2000. Unternehmen konnten an diesem Abkommen teilnehmen, indem sie öffentlich erklärten, sich an bestimmte Datenschutzprinzipien zu halten. Eine externe Zertifizierung oder eine regelmäßige Überprüfung, dass diese Grundsätze auch wirklich eingehalten wurden, fand aber nicht statt.
Worum geht es in den Verfahren von Max Schrems?
Nach den Enthüllungen von Edward Snowden reichte Schrems 2013 beim irischen Datenschutzbeauftragten, wie die irische Datenschutzbehörde genannt wird, eine Beschwerde gegen Facebook Ireland Ltd. ein. Viele amerikanische Konzerne, so auch Facebook, haben ihre europäische Zentrale in Irland, weil Unternehmen dort besonders wenig Steuern zahlen müssen.
In der Beschwerde forderte Schrems die irische Behörde auf, der irischen Facebook-Gesellschaft zu untersagen, seine persönlichen Daten an die US-Muttergesellschaft von Facebook zu senden, weil dort die Gefahr bestehe, dass US-Behörden auf seine Daten zugreifen.
Die irische Datenschutzbehörde wies die Beschwerde zurück: Facebook könne die Datenübertragung in die USA auf das Safe-Harbor-Entscheidung stützen, weil sich das Unternehmen zu den dort genannten Prinzipien bekannt habe. Gegen die Abweisung seiner Beschwerde klagte Schrems vor irischen Gerichten. Der letztinstanzlich zuständige Irish High Court unterbrach das Verfahren und verwies den Fall an den EuGH, der für die Auslegung europäischer Gesetze zuständig ist.
Schrems bringt Safe Harbor und Privacy Shield zu Fall
Das folgende Urteil des EuGH sorgte für Aufsehen: Das Gericht folgte den Argumenten von Schrems und erklärte Safe-Harbor für ungültig: Die Gesetze in den USA, die Behörden umfassenden Zugang zu Daten gestatten, verstießen gegen das EU-Grundrecht auf Privatsphäre (Artikel 7 der EU- Grundrechte-Charta) und seien mit dem europäischen Datenschutzrecht nicht vereinbar. Der EuGH stellte außerdem fest, dass es in den USA für Nicht-US-Bürger*innen keine Rechtsmittel gegen solche Eingriffe gebe, sie also beispielsweise nicht dagegen klagen könnten.
Die Europäische Kommission und die USA brauchten nur knapp ein Jahr, um ein Nachfolgeabkommen, das EU-US-Privacy-Shield, abzuschließen. Es bestand aus einem Beschluss der Kommission und verschiedenen Zusicherungen der amerikanischen Regierung. Dazu gehört auch das sogenannte Privacy Shield, für das sich US-Unternehmen freiwillig zertifizieren können – eine Art Selbstverpflichtung. Dafür müssen sie sich – wie schon bei Safe Harbor – gegenüber den Bedingungen des Abkommens verpflichten, was anschließend durch das US-Handelsministerium überprüft wird. Danach wird ein Unternehmen in eine öffentlich zugängliche Datenbank aufgenommen. Die Europäische Union erkannte die US-Datenschutzregeln in der Privacy-Shield-Vereinbarung als angemessen an.
Doch auch diese Vereinbarung brachte der EuGH 2020 zu Fall: In seinem „Schrems II“-Urteil stellte das Gericht fest, dass die amerikanischen Behörden trotz des Abkommens weiterreichende Überwachungsbefugnisse haben. Das Privacy Shield könne daher auch weiterhin kein angemessenes, mit der DSGVO vergleichbares Schutzniveau bieten.
Dass der Fall ein zweites Mal vor dem EuGH handelte, lag daran, dass die irische Datenschutzbehörde in dem ersten Verfahren nach dem Schrems-I-Urteil argumentiert hatte, Facebook habe sich bei der Datenübermittlung gar nicht auf das Safe-Harbor-Abkommen gestützt, sondern auf vertragliche Vereinbarungen, die sogenannten Standardvertragsklauseln. Dagegen beschwerte sich Schrems ein weiteres Mal bei der irischen Datenbehörde. Die Behörde klagte dieses Mal gegen Schrems und die europäische Facebook-Tochter – und der Fall nahm abermals seinen Lauf bis zum obersten EU-Gericht.
Was bedeuten die beiden Urteile für Nutzer*innen?
Das Internet funktioniert international: Europäische Nutzer*innen beispielsweise können ihre Daten digital in die USA übertragen – etwa, weil sie dort eine Unterkunft buchen, auf einer amerikanischen Webseite surfen, einen amerikanischen Dienst nutzen und der Übermittlung ihrer Daten zugestimmt haben. Daran hat sich auch durch die beiden EuGH-Urteile nichts geändert.
Unternehmen dürfen aber nicht mehr Daten ihrer Nutzer*innen und Kund*innen ohne Anlass in die USA übertragen, etwa weil sie einen amerikanischen Anbieter für Dienstleistungen wie Hosting oder für Softwarelösungen nutzen. Sie dürfen das in Zukunft nur, wenn sie technisch sicherstellen können, dass US-Behörden auf diese Daten nicht zugreifen können. Andernfalls müssen sie sich Dienstleister suchen, die die Daten in Europa oder einem Land mit einem angemessenen Datenschutzniveau verarbeiten. Halten sie sich nicht daran, müssen die Unternehmen mit hohen Bußgeldern rechnen.
Wie weitreichend die Zugriffsbefugnisse amerikanischer Geheimdienste sind, zeigt ein Gutachten für die Datenschutzkonferenz von Bund und Ländern (DSK), das kürzlich am 25. Januar 2022 veröffentlicht wurde: Danach fallen weit mehr Unternehmen als bisher gedacht unter das amerikanische Gesetz, das die Zugriffe erlaubt. Und auch wenn die Server, auf denen Daten verarbeitet werden, in der EU stehen, können sensible Daten gefährdet sein.
Die DSK versammelt alle unabhängigen deutschen Datenschutzbehörden in einem Gremium, das sich mit aktuellen Fragen des Datenschutzes in Deutschland befasst und zu ihnen Stellung nimmt. Welche Konsequenzen diese Befunde haben, wollen die Datenschutzbehörden noch bewerten.
Wie es weitergeht: Schrems nimmt die irische Datenschutzbehörde ins Visier
Den nächsten Goliath hat Schrems schon im Visier: Im November 2021 zeigte Schrems die irische Datenschutzbehörde bei der Wirtschafts- und Korruptionsstaatsanwaltschaft in Österreich an. Mit der irischen Behörde hat Schrems wegen des europäischen Sitzes von Facebook seit langem zu tun.
Die Behörde wollte Schrems daran hindern, Dokumente aus den Verfahren gegen Facebook zu veröffentlichen und hatte seinem Verein NOYB eine Verschwiegenheitserklärung zur Unterzeichnung vorgelegt. Das könne nach österreichischem Recht eine illegale Vorteilsannahme darstellen, begründete Schrems seinen Schritt. Die irische Behörde steht schon lange in der Kritik, nicht konsequent genug gegen Datenschutzverstöße insbesondere von Facebook vorzugehen.
In einem Online-Spezial des ZDF Magazin Royale kündigte Schrems zudem an, gemeinsam mit Jan Böhmermann gegen zielgerichtete Werbeanzeigen deutscher Parteien auf Facebook, sogenanntes politisches Targeting, vorgehen zu wollen.
Aktuelle Projekte von Schrems und NOYB finden sich auch auf der Webseite der Organisation.
Was sagen Sie dazu?