Der Aktivist, der die großen Technologiekonzerne vor Gericht bringt

Max Schrems ist der Anwalt, der die großen Technologiekonzerne herausfordert, doch er ist kein großer Anhänger des Titels „Held der Privatsphäre“, den er sich für seine juristischen Auseinandersetzungen im Bereich Datenschutz verdient hat. Der 37-jährige Österreicher studierte einige Zeit in Kalifornien, USA, und hörte dort einen Satz, der ihn aufregte. „Damals gab es einen Typen von Facebook, der meinte : ‚Die Europäer sind komisch mit all ihren Gesetzen, aber wenn man sie nicht befolgt, passiert nichts.‘“ , erklärt er im Gespräch mit Observador.

„Datenschutz ist ein Grundrecht, er ist Teil der Charta der Grundrechte, wie die Meinungsfreiheit oder das Eigentumsrecht, er ist ein in der Verfassung garantiertes Recht. Gleichzeitig stellt man bei der Arbeit in diesem Bereich fest, dass sich niemand daran hält “, gibt er zu. „Das wurde mir schon während meines Studiums in Kalifornien klar.“ Nachdem er diese Aussage von jemandem aus dem Umfeld des weltgrößten sozialen Netzwerks gehört hatte, beschloss er, Facebook wegen Datenschutzverletzungen zu verklagen. Im Jahr 2011 reichte er seine ersten Beschwerden gegen das soziale Netzwerk ein. Zwei Jahre später reichte er bei der irischen Datenschutzkommission, die Facebooks Einhaltung des Datenschutzes in der Europäischen Union überwacht, Beschwerde gegen das Unternehmen ein. Der Fall zog sich durch die Gerichte, bis er schließlich vor den Gerichtshof der Europäischen Union (EuGH) kam.

Plötzlich erlangten Schrems’ Beschwerden und Klagen internationale Aufmerksamkeit. „Die Presse aus aller Welt kam zu mir nach Wien, und dann wurde ihnen klar: ‚Oh, das ist ein Typ, der gegen Facebook ist‘, was völlig lächerlich war.“

Damals studierte er noch Jura. „Ich dachte, wenn ich derjenige bin, der sich in Sachen Datenschutz in Europa an die Spitze setzt, sagt das viel darüber aus, wie schlimm es um die Sache steht“, gibt er zu. „Nicht ein Student sollte im Fernsehen darüber sprechen, sondern Regulierungsbehörden und Experten.“

So gründete Schrems 2018, im selben Jahr, in dem die Datenschutz-Grundverordnung (DSGVO) in der Europäischen Union in Kraft trat, „None of your Business“ (Noyb), eine europäische Organisation zum Schutz der Privatsphäre. Daraufhin reichte er keine Klagen mehr in eigenem Namen gegen große Technologieunternehmen ein, sondern begann, dies gemeinsam mit einem Team aus Österreich zu tun. In sieben Jahren reichte Noyb 877 Klagen im Bereich Datenschutz und Privatsphäre ein und richtete sich unter anderem gegen Unternehmen wie Meta, Google, Microsoft und Amazon. Die meisten Fälle (487) sind laut der Website der Organisation noch anhängig.

Der Gründer erklärt, dass Noybs ursprüngliche Idee darin bestand, „Fälle, in denen das Justizsystem arbeitet, im Rahmen der DSGVO zu optimieren und zu präsentieren“. Diese Verordnung soll sicherstellen, dass in allen Mitgliedstaaten die gleichen Regeln zum Schutz personenbezogener Daten gelten. Dieses Regelwerk legt beispielsweise fest, dass für die Verarbeitung personenbezogener Daten eine ausdrückliche Einwilligung erforderlich ist oder dass es je nach Sensibilität unterschiedliche Datenkategorien gibt. Die DSGVO trat am 25. Mai 2018 in der EU unmittelbar in Kraft.

Datenschutzbestimmungen ändern sich. Erfahren Sie, was auf dem Spiel steht

Doch es gebe Unterschiede zwischen den Erwartungen von 2018 und der Realität von 2025, räumt der Anwalt gegenüber dem Observador ein. „ Das Problem ist, dass es sieben Jahre nach Inkrafttreten der DSGVO keine einzige Rechtsordnung gibt, in der sie funktioniert“ , kritisiert er. „Manchmal sind die Regulierungsbehörden einfach nur ‚Mist‘ und wenden sie einfach nicht an. Manchmal wollen sie es sogar tun, aber ihnen fehlen die Ressourcen, sie erhalten nicht genügend staatliche Mittel und können daher ihre Arbeit nicht erledigen.“

Er weist auf „kleine Unterschiede“ im Vorgehen der europäischen Regulierungsbehörden beim Thema Datenschutz hin. „Einer der interessantesten Fälle in Europa ist Spanien, weil dort täglich etwa sechs bis sieben Entscheidungen getroffen werden und Unternehmen über die Strafen und Konsequenzen informiert werden.“ In Irland sieht er weniger Aktivität. „Die Iren treffen pro Jahr etwa die gleiche Anzahl von Entscheidungen wie die Spanier an einem Tag“, erklärt er.

Max Schrems argumentiert, dass es sich in vielen Fällen nicht um eine Frage der Ressourcen handele, sondern vielmehr um „politische Fragen“. „In vielen Rechtsräumen kommt es immer häufiger vor, dass [Datenschutzbehörden] politisch ernannt werden“ , was ihre Unabhängigkeit bei der Durchsetzung von Datenschutzgesetzen einschränken und Technologieunternehmen härter bestrafen könne, erklärt er.

Er kritisiert außerdem, dass die DSGVO insbesondere für kleinere Unternehmen zu mehr Bürokratie führt. „Sie ist ein enormer Zeit- und Ressourcenaufwand und meiner Meinung nach nutzlos. Diejenigen, die mit diesen [Risiko-]Ansätzen regulieren wollen, sind diejenigen, die die Informationen nicht ausfüllen und für die es keine Konsequenzen hat.“ Der Anwalt und Aktivist argumentiert, dass es für eine effektivere Anwendbarkeit der DSGVO sinnvoll wäre, die Anwendung der Regeln zu differenzieren. „Ich denke, wir müssen das Thema viel stärker differenzieren: Es geht nicht um weniger Regulierung, sondern darum, dass die Regulierung wirklich diejenigen erreicht, die sie erreichen soll.“ Als Beispiel nennt er die sozialen Netzwerke von Meta.

„Die DSGVO verlangt, dass alle Datenverarbeitungsvorgänge aufgezeichnet werden. (…) Wir haben eine dieser Aufzeichnungen von Facebook erhalten. Man hätte erwarten können, dass es die komplexeste Aufzeichnung von allen ist. Sie war vier Seiten lang. Es ist ihnen einfach egal, sie füllen sie nicht aus“, sagt er.