Im Interview: Wie Wiener Student Facebook-Durchsuchung auslöst
Wien – Hateine Gruppe von Studenten aus Österreich den Hebel gefunden, um Facebook beim Datenschutz attackieren zu können? Es geht um Facebooks Firmensitz in Irland, der dem Unternehmen neben steuerlichen Vorteilen nun Schwierigkeiten bringen könnte. Einer der Initiatoren von 16 Anzeigen freut sich im Interview mit unserer Zeitung, dass Irlands Datenschutzbehörde nun die „dicksten Kanonen auffährt, die das Datenschutzrecht hergibt“.
Der 18. August wird vielleicht in die Geschichte von Facebook eingehen. Das war der Tag, an dem rund ein Dutzend Studenten aus Österreich 16 Anzeigen bei Irlands Datenschutzbehörde eingereicht hatte – schließlich steht in den AGB, dass für Nutzer außerhalb der USA die Nutzung „eine Vereinbarung zwischen dir und Facebook Ireland Limited“ darstellt. Nach den Anzeigen der Initiative Europe vs. Facebook hat die Behörde eine Betriebsprüfung bei Facebook angekündigt. „Wir werden Facebook genau unter die Lupe nehmen, das Firmengelände durchsuchen und uns im Detail jeden Sicherheitsaspekt ansehen“, zitiert die irische Tageszeitung „Independent“ einen Sprecher des Datenschutzbeauftragten. Gegenüber der Initiative hat die Datenschutzbehörde angekündigt, „wenn nötig zur Untersuchung alle gesetzlichen Möglichkeiten auszuschöpfen“. Unsere Zeitung hat mit Max Schrems gesprochen, Sprecher der Initiative.
Wie fühlt man sich, wenn man als Student eine Firma in Schwierigkeiten bringt, die nach Mitgliedern das drittgrößte Land der Erde wäre?
Na ja… Schauen wir mal was rauskommt, das weiß man ja bisher noch nicht. Wir waren am Anfang nicht wirklich sicher, Wir sehen es so, dass wir den Stachel an der richtigen Stelle reingejagt. Jetzt ist die Frage, was weiter passiert und ob das einen Dominofeffekt gibt. So wie es ausschaut bei der Behörde, fahren sie mit die dicksten Kanonen auf, die man im Datenschutz auffahren kann mit dieser Betriebsprüfung. Die gehen über das hinaus, was wir angezeigt haben und wollen Facebook noch genauer überprüfen, und das ist ja schon eine ziemliche Ansage.
Erschrickt man, wenn man merkt, was man da ausgelöst hat?
Es kommt Tröpfchen für Tröpfchen, und man freut sich über jedes Tröpfchen ein bisschen. Man bekommt immer wieder neue Briefe und Meldungen, was da passiert, es war nicht der große Knall, baut sich langsam auf zum größeren Haufen.
Warum muss ein Student aus Wien kommen, um diesen Weg zu beschreiten?
Wie meiner Meinung nach europäisches Datenschutzrecht in den absoluten Kinderschuhen steckt. In den 60er-Jahren wäre ich wahrscheinlich der grüne, zottelige Mensch gewesen, der in den Flüssen nach Umweltgiften gesucht hätte, weil sich die Behörden dessen noch nicht angenommen haben … Heute ist es der Datenschutz, der noch nicht richtig durchgesetzt wird. Meine Erfahrung in den USA war, dass die einzigen Behörden, vor denen sie sich wirklich in den USA fürchten, die deutschen sind, weil das die einzigen sind, die wirklich ein bisschen was tun. Die Firmen dort sagen, wenn wir die Deutschen untergebuttert haben, haben wir die anderen auch geschafft. Wir brauchen langfristig eine ernsthafte Rechtsdurchsetzung Diese Behörde in Irland hat zehn Leute oder so, die können nur heillos überfordert sein. Behörden machen nur etwas, wenn jemand was anzeigt. Außer ein paar Landesbeauftragten in Deutschland wird nur reagiert, wenn die was auf den Tisch gelegt bekommen. Wir bräuchten dauerhaft Behörden, die auch wirklich mehr rausgehen und prüfen. In allen anderen Bereichen, im Umweltschutz, im Lebensmittelrecht, da ist es vollkommen normal, das live vor Ort geschaut wird, was passiert. Gerade im Datenschutz, wo man gar nicht sehen kann, was hinter dem Computer passiert, wo es für den Normalbürger unüberprüfbar ist, überprüft die Behörde überhaupt nicht.
Das erklärt aber nicht, warum nicht Behörden auf diesem Weg aktiv geworden sind?
Es gibt zwei Meinungen. Die Einen sagen, Facebook Irland ist nur eine Briefkastenfirma, und die sind nicht wirklich der Controller, also der Zuständige. Deutsche Behörden stehen bisher auf dem Standpunkt, dass nur Facebook USA wirklich zuständig ist, weil die faktisch die Macht ausführen. Wir haben jetzt gesagt, wir haben aber einen Vertrag mit Facebook Irland – P.S. Irisches Recht ist natürlich für uns viel besser als das amerikanische. Das hat jetzt auch die irische Behörde in mehreren Interviews bestätigt, dass nach ihrer Ansicht irisches Recht voll anwendbar ist. Und wenn ein Facebook-Verantwortlicher irgendwo in der EU sitzt, dann ist ausschließlich dieses Land zuständig. Ist der Sitz der Verantwortlichen außerhalb, können alle Länder was tun. Ich gehe davon aus, dass die deutschen Behörden lieber selbst was tun, als das den Iren abzutreten. Man kann beide Rechtsmeinungen vertreten – und argumentiert eher dass, was einem selbst lieber ist. Und ich kann mir vorstellen, dass deswegen es da verschiedene Interpretationen gibt. Facebook hat schon ausdrücklich erklärt, dass sie sich dem irischen Recht untergeordnet fühlen. Nachdem die irische Behörde das auch gesagt, wird das wohl jetzt die herrschende Meinung werden. Es ist sehr spannend, weil man dann weiß, wohin man wirklich gehen soll. Bisher heißt es zu oft „Die sitzen in den USA, da können wir eh nichts tun.“
Haben Sie erwartet, dass sich Facebook meldet? Dass jemand mit einem Scheck winkt und fragt, ob man sich nicht vielleicht anders einigen kann?
Wir haben eine E-Mail vom oberen Management bekommen, dass die mit uns reden wollen, aus Irland. Wir haben zurückgeschrieben, dass wir sie gerne auf einen Kaffee in Wien einladen. Dann kam retour, sie kommen in den nächsten Wochen gerne mal auf einen Kaffee und sie melden sich. Das ist jetzt schon wieder zwei Wochen her, ob und wie das weitergeht – keine Ahnung. Mein Angebot zum Kaffee steht noch immer. Ansonsten weiß ich nicht, was wir uns da groß treffen sollen, das ist ein Austausch von vorgefertigten Meinungen. Ich glaube, dass sie mal sehen wollen, wer das überhaupt ist.
Und, wer ist das?
Ich bin gerne eher im Hintergrund. Ich hätte gern, dass alle über Facebook schreiben und möglichst wenig über mich. Aber ich habe den Plan schon aufgegeben. Ich studiere in Wien Jura und war jetzt ein halbes Jahr im Silicon Valley, wo die ganzen IT-Firmen sind und da habe ich einige Privacy-Leute kennengelernt. In einem Jahr sollte ich mit dem Studium fertig sein. Ich bin 23 und in der Initiative von zehn Leuten nicht der einzige, aber sozusagen der „Poster-Boy“. Das bin ich. Nähere Details?
Würde ich die auf Facebook finden?
Ich bin auf Facebook – aber mit einem kyrillischen Namen. Ich bin oft gefragt worden, ob ich ein kleiner Facebook-Hasser bin. Ich finde es cool und nutze es fast jeden Tag. Ich bin der Meinung, man kann es verweigern oder verbessern. Und für mich ist Verbesserung besser als Verweigerung. Man sollte das in einem halben Jahr nutzen können, ohne größere Sorgen dabei zu haben.
Und warum haben sie für 16 Kritikpunkte 16 Anzeigen gestellt?
Wir haben nur einen Teilbereich angezeigt, der wirklich offensichtlich ist. Was die genau im Hintergrund noch tun, weiß man ja überhaupt nicht. Das Problem ist, das zu fassen. Man muss es filettieren, damit man einzelne Häppchen bearbeiten kann, weil Facebook als Gesamtsystem einfach zu groß ist, um das in eine Anzeige zu fassen. Was wir gemacht haben, ist einzelne Stücke herauszulösen, wo wir eindeutige Beweise haben und eindeutig klar ist, dass die Recht brechen und wir das belegen können mit Screenshots. Das haben wir angezeigt, damit es für die Behörde auch handhabbar ist. Bei jedem Punkt gibt es andere Begründungen, warum gegen Recht verstoßen wird. In einem Fall ist es nicht legal, weil nicht der Nutzer adäquat informiert wird. Beim anderen Mal fehlt die Zustimmung des Users, beim dritten Mal werden die Sachen nicht gelöscht, obwohl sie gelöscht werden müssten. Das sind jeweils andere Paragrafen, auf denen man das aufbaut.
Und wie verbreitet ist nach ihrem Eindruck das Wissen darüber bei den Facebook-Nutzern, und wie sehr juckt die das?
Ich glaube, dass Problembewusstsein ist gerade im Datenschutz nicht ausgeprägt, weil es im Digitalen etwas ist, was nicht handfest ist. Bei Facebook wären alle Nachrichten gespeichert, egal ob ich sie später lösche, sie werden analysiert und für die Zwecke von Facebook weiterverwendet. „Ist mir eigentlich wurscht, sollen sie doch“, sagen da viele Nutzer. Wenn man sich das gleiche bei der Post vorstellt, und die würde alle Briefe aufreißen, kopieren, speichern und für ihre eigenen Zwecke weiterverwenden. Dann würde jeder einen Herzinfarkt bekommen und sagen „Briefgeheimnis! Das geht doch nicht!“ Facebook macht das Gleiche, bloß im Hintergrund und digital und ohne Briefe aufreißen zu müssen. Und die Reaktion ist „Na ja, machen sie halt.“ Das ist schon faszinierend, wie die Menschen, sobald etwas digital ist, den gleichen Sachverhalt völlig anders bewerten. Uns fehlt noch das Bauchgefühl für solche digitalen Rechts- oder Vertrauensbrüche. Das ist etwas, was die Gesellschaft vielleicht noch lernt oder eben so erträgt, und in den nächsten 10, 20 Jahren werden wir sehen, wohin es sich entwickelt hat.
Und die Anzeigen verstehen Sie auch als Öffentlichkeitsarbeit, um das Bewusstsein zu schärfen?
Uns geht’s vor allem darum, dass ein bissel Gegendruck entsteht. Diese Behörde ist hutzelklein, das sind zehn Leute irgendwo in einem Kuhdorf in Irland, und die stehen einem Weltkonzern gegenüber. Und da ist es wichtig, dass von der anderen Seite berichtet wird und ein gewisser Druck entsteht. Ansonsten muss ich sagen, jeder der Facebook nutzt, hat auch die Pflicht, sich zu informieren. Das heißt nicht, dass Facebook nicht trotzdem „böse“ ist, aber man muss sich als Nutzer trotzdem überlegen, was man tut. Hoffentlich bekommen wir es hin, dass man sich als User nicht mehr alles ganz genau anschauen muss, sondern auch ein bisschen darauf vertrauen kann, dass Facebook gute Dinge mit dem tut, was man ihnen anvertraut. Es ist bekannt, dass Facebook nicht sehr datenschutzfreundlich ist. Aber das haben wir jetzt schon fünf Jahre in der Zeitung gelesen. Das Neue ist, dass mal jemand was tut.
Die Fragen stellte unser Redakteur Lars Wienand
