Gespräch: Benedikt Narodoslawsky
FALTER: Nr. 10/2017
Erscheinungsdatum: 8. März 2017
-Christian_Fische_2.jpg "© Christian Fischer")
Max Schrems, 1987 in Salzburg geboren, ist Datenschutzjurist. 2018 gründete er die Organisation noyb („None of your business“) mit dem Ziel, in Europa Datenschutz durchzusetzen. Schrems klagt seit Jahren gegen Facebook: Noch als Student brachte er 2011 die erste Beschwerde gegen den Konzern vor der irischen Datenschutzbehörde ein. Sein Vorgehen brachte 2015 vor dem EuGH die Übereinkunft zwischen EU und USA zum Datenaustausch, das Safe-Harbor-Abkommen, zu Fall, der US-amerikanische Whistleblower Edward Snowden gratulierte Schrems. Aktuell klagt noyb vor dem EuGH gegen die „Privacy Shield“-Übereinkunft zwischen der EU und den USA.
Sein Terminkalender ist voll, aber Stress sieht man Max Schrems nicht an. Der 29-jährige Jurist sitzt im Café Ritter, und es sprudelt nur so aus ihm heraus. Am Wochenende sprach er beim Elevate Festival über Datenschutz und Fake News, nächsten Dienstag ist er als Redner zum Wiener Stadtgespräch geladen. Zwischendurch: Dublin, Dublin, Dublin.
Dort geht es um den Fall seines Lebens. Er hat weltweit Aufmerksamkeit erregt. Seit 2011 liegt Schrems mit Facebook im Clinch, weil sich der Internetgigant zu wenig um den Datenschutz seiner Nutzer schert. Im Oktober 2015 kippte der Europäische Gerichtshof (EuGH) auf Schrems’ Betreiben die EU-Bestimmung namens „Safe Harbor“.
Safe Harbor regelte den Datenfluss von der EU in die USA. Facebook konnte dadurch private Daten seiner europäischen Nutzer in die Konzernzentrale in den USA verschieben. Dort griff sie der US-Geheimdienst NSA ab, wie die Enthüllungen des Whistleblowers Edward Snowden zeigten. Schrems konnte vor dem EuGH beweisen, dass die Safe-Harbor-Bestimmung die Daten der Europäer nicht schützt.
Facebook, das in Irland seinen europäischen Sitz hat, schickt heute die Daten seiner europäischen Nutzer über einen alternativen Weg von Dublin in die USA, nämlich mit der sogenannten Standardvertragsklausel („Standard Contractual Clauses“). Weil Facebook nach wie vor den Massenüberwachungsgesetzen der USA unterliegt, geht das Verfahren weiter. Schrems setzte seine Beschwerde neu auf und forderte nach dem EuGH-Urteil die irische Datenschutzbehörde auf, den Datenfluss von Europa in die USA zu stoppen. Die Datenschutzbehörde prüfte Schrems’ Beschwerde, fand sie „wohlbegründet“ – und klagte Schrems.
Der kafkaeske Fall „Schrems gegen Facebook“ ist damit in die nächste Runde gegangen.
Sie wollen die Frage, ob ich mit meiner Beschwerde gegen Facebook recht habe, dem EuGH vorlegen. Die Datenschutzbehörde ist der Meinung, das könne nur ein Gericht entscheiden. Damit der Fall vor ein Gericht kommt, muss man jemanden klagen. Am logischsten war es für die Datenschutzbehörde, die beiden Streitparteien zu verklagen. Also Facebook und mich.
Ja, die Datenschutzbehörde sagt zwar einerseits, dass wir nicht Parteien im klassischen Sinn sind und nur geklagt wurden, damit wir uns zu dem Fall äußern können. Aber wenn es um die Prozesskosten geht, sagt die Behörde trotzdem, dass wir alles zahlen müssen, wenn wir den Fall verlieren.
Max Schrems
Nein, denn wir haben einen Deal mit der Datenschutzbehörde und Facebook, dass ich keine Kosten von anderen übernehmen müsste. Je nach Prozessausgang müssen sie aber auch meine Kosten übernehmen. Verliere ich, haben meine Anwälte für Gotteslohn gearbeitet. An dem Fall arbeiten fünf Anwälte an meiner Seite. Das Prozessrecht in Irland ist unglaublich uneffektiv. Dem Richter wird jeder Paragraf und jedes Urteil vorgelesen, beginnend mit der Grundrechte-Charta. Rundherum sitzen insgesamt 20 Anwälte und hören zu. Wenn jeder von denen etwa 1000 Euro pro Stunde verdient, heißt das also grob gerechnet: Pro Stunde werden 20.000 Euro verbrannt. Nun geht der Fall in die sechste Woche. Das geht in die Millionen.
Die Datenschutzbehörde ist mit uns erstmals einer Meinung, dass es nicht okay ist, wie die USA mit Daten europäischer Nutzer umgehen. Die Behörde beschäftigt vor allem die Frage, ob es einen Rechtsschutz für Europäer gibt. Für mich stellt sich diese Frage gar nicht so sehr.
In den USA dürfen sie uns Europäer bis zum Anschlag überwachen, ohne dass wir irgendein Recht haben. Wenn ich gar kein Recht habe, dann gibt’s folglich auch keinen Rechtsschutz. Das größte Problem liegt also eine Ebene drüber.
Ja, wir sind uns erstmals über das Problem einig, aber nicht über die Lösung. Die Datenschutzbehörde sagt: Der Fall muss vor den EuGH, er muss die Standardvertragsklausel für illegal erklären und sie aufheben. Wir sind der Ansicht, dass das nicht stimmt. Denn in den Standardvertragsklauseln gibt’s den Artikel 4, darin steht sinngemäß: Wenn der Datenfluss in die USA unrechtmäßig ist, kann ihn die zuständige Datenschutzbehörde einfach selbst stoppen. Das wäre die Lösung. Aber die irische Datenschutzbehörde will hier nicht eingreifen.
Nein, in diesem Fall geht’s nur um Facebooks Datenfluss von Europa in die USA. Würde die Datenschutzbehörde sich für einen Stopp des Datenflusses entscheiden, kann Facebook die Entscheidung noch in drei Instanzen anfechten. Bis die Daten nicht mehr fließen, fließt also noch viel Wasser die Donau hinunter.
Ja, aber es geht nicht um den Datenfluss in die USA per se. Sondern um den Fluss personenbezogener Daten zu Unternehmen, die unter eines der Massenüberwachungsgesetze fallen – wie etwa Facebook.
Das ist das Problem. Die USA verpflichten ihre Firmen gesetzlich dazu, Teil der Überwachungssysteme zu sein. Der Aggressor sind also die USA, nicht die EU mit ihrem Datenschutz.
Ja, offiziell sind sie im Fall ein sogenannter „Amicus curiae“. Als solcher sollten sie eigentlich dem Gericht bei Rechtsfragen neutral und unabhängig helfen. Aber sie argumentieren, sie hätten als souveräner Staat viel mehr Recht, etwas zu sagen, als die beiden Parteien. Statt eine helfende Rolle einzunehmen, wollen sie das Verfahren heftig beeinflussen.
Wie das abläuft, kam in der Verhandlung durch die Einvernahmen Stück für Stück heraus: Jede Partei kann Sachverständige nominieren. Der Sachverständige muss neutral sein und ist verpflichtet, vor Gericht die Wahrheit zu sagen. Er ist nicht der Partei verpflichtet, die ihn bezahlt, die Partei darf auch keinen Einfluss auf ihn nehmen. Nun kam raus, dass der Sachverständige von Facebook seine ganzen Berichte vorher mit der Facebook-Anwaltskanzlei abgeklärt hat, die sie wiede-rum an die US-Regierung geschickt hat. Die US-Regierung hat Verbesserungsvorschläge in den Berichten des Sachverständigen vorgenommen. Die US-Regierung hat sich also in dem Verfahren praktisch mit Facebook verbündet. Sie haben sich als Partei hineingeschmuggelt und bewegen sich vollkommen außerhalb dieser Rolle des helfenden „Amicus curiae“. Die USA wollen den Fall abdrehen.
Vor dem EuGH dürfen EU-Mitgliedstaaten Stellung nehmen. Die USA haben damals massiv Druck auf sie ausgeübt. Sie schickten Vertreter aus und erklärten den EU-Staaten, sie sollten nicht gegen Safe Harbor argumentieren. Deutschland nahm zum Beispiel vor Gericht nicht Stellung, obwohl der NSA-Skandal dort am heftigsten von allen EU-Mitgliedstaaten diskutiert wurde. Schließlich war ja bekannt geworden, dass die NSA das Handy der deutschen Bundeskanzlerin Angela Merkel überwacht hatte. Dennoch nahmen die Deutschen vor Gericht nicht Stellung. Mir haben Eingeweihte später erzählt, die Deutschen hätten anscheinend die transatlantischen Beziehungen nicht belasten wollen.
... und unter anderem, weil die USA ihre Vertreter zu spät ausgeschickt haben. So etwas kann natürlich auch eine Gegenreaktion erzeugen.
Eher nicht, aber Sie müssen sich das so vorstellen: Vor dem Richter sitzen in so einem Fall rund zehn bis 20 Parteien. Jede davon hat gleich viel Redezeit. Zwei Parteien davon sind die Datenschutzbehörde und ich, wir haben jeweils zehn bis 15 Minuten Zeit. Einen so komplexen Fall in 15 Minuten zu erzählen, das muss man erst einmal zusammenbringen. Den restlichen Tag wird dann auf dich eingedroschen, jeder argumentiert gegen dich und erklärt dem Richter, warum wir unrecht haben. Wenn der Gesamtschwall von einer Seite kommt, dann kann das das Klima in einer Verhandlung in eine Richtung beeinflussen. Der Richter kann uns natürlich dennoch recht geben. Aber 90 Prozent der Zeit wird dann für die Gegenseite aufgewendet.
Ja, das wird die spannende Frage. Sagen sie bei Trump: Jetzt erst recht! Oder sagen sie: Es ist gerade so problematisch, jetzt werden wir uns nicht wegen so einem Thema mit den USA anlegen. Bei Trump kann man sich ja nicht sicher sein, ob er wegen so etwas nicht auch die diplomatischen Beziehungen infrage stellt.
Wer da warum was gemacht hat, ist schwer zu sagen, aber die Panik vor einer höheren Kontrollmacht, die alles von jedem weiß, ist berechtigt. Sie kann Information über Personen nützen, um sie zu steuern – oder eben fertigzumachen. Das beginnt bei Entscheidungsträgern in der Politik und der Wirtschaft. Am Ende kannst du das ganze System massiv korrumpieren und ändern. Hätte es die ganzen Debatten um Clintons E-Mails nicht gegeben, wäre Trump heute vielleicht nicht Präsident. Dass wir das aber überhaupt für möglich halten müssen, kratzt massiv an der Demokratie. Ein Skandal kann Wahlen entscheiden. Und wir wissen, dass es über jeden Dinge gibt, die problematisch sind. Es gibt keinen Mr. Perfect.
Nach der Debatte um die NSA und Snowden ist wirklich jedem Vollidioten klar, dass es Überwachung gibt. Terroristen reagieren darauf und haben hunderttausend Möglichkeiten, ihre Spuren zu verwischen oder ihre Kommunikation zu verschlüsseln. Mit der Vorratsdatenspeicherung wird es also wohl immer schwerer, die großen Fische zu fangen. Damit verschwindet allerdings das Hauptargument für die Vorratsdatenspeicherung wie Terror. Übrig bleibt wohl immer mehr der allgemeine Überwachungsdruck: das Gefühl zu wissen, dass jedes Mal, wenn ich mit jemandem telefoniere, die Daten aufgezeichnet werden. Vielleicht rufe ich bestimmte Leute dann nicht mehr an oder sage gewisse Dinge nicht mehr. Insbesondere in Zeiten, in denen sich politische Systeme stark verändern. Das schränkt die Freiheit von Menschen ein, die überhaupt nichts mit Terrorismus zu tun haben.
Das Problem in der Datenschutz-debatte ist, dass es juristisch oft kein eindeutiges Richtig oder Falsch gibt. Es ist immer eine Abwägungssache. Aber wenn wir schon darüber diskutieren, ob wir in Österreich Überwachungsmaßnahmen ausweiten wollen, muss es gezielt und logisch begründbar sein. Und es muss einen automatischen Reflex geben. Nämlich den, dass wir gleichzeitig auch den Rechtsschutz und die Kontrolle ausweiten müssen. Es muss geklärt werden, dass zum Beispiel immer ein Richter der Überwachungsmaßnahme zustimmen muss, um sensible Daten auswerten zu dürfen, oder dass Betroffene später informiert werden. Das schließt den Missbrauch durch den Staat großteils aus.
Die Lösung für uns alle kann nicht sein, dass Einzelne Facebook, Whatsapp und Co nicht mehr verwenden, sondern die Lösung wäre, die Sachen rechtskonform zu bekommen.
In den USA operieren Unternehmen nach dem Prinzip „Notice and choice“: Solange sich das Unternehmen transparent verhält, kann es alles machen, denn der Konsument wird informiert und hat dann somit die Wahl, ein Produkt zu erwerben oder nicht, ein Mietauto zu fahren oder nicht, etc. Ähnlich verhält es sich mit dem US-amerikanischen Zugang zu Datenschutz im Internet. In Europa hingegen ist es so, dass eine Zustimmung nur dann gültig ist, wenn sie eindeutig spezifisch informiert abgegeben worden ist.
Datenschutz oder Privatsphäre heißt nicht, dass alles privat sein muss. Sondern Datenschutz bedeutet informelle Selbstbestimmung: Jeder kann prinzipiell bestimmen, was er öffentlich macht und was nicht – doch niemand anderer.
