EU-Datenschutzposse: Gute Seiten, schlechte Seiten30. Juli 2012

Vor einem Jahr hatte der Wiener Student Max Schrems das kalifornische Unternehmen Facebook angezeigt. Es ging um mögliche Datenschutz-Verstöße in 22 Fällen. Jetzt hat die zuständige Datenschutzbehörde in Irland mit Max Schluss gemacht – per SMS.

Gute Seiten, schlechte Seiten

Was bisher geschah: Max, ein Wiener Student, hat das Soziale Netzwerk Facebook in 22 Fällen angezeigt. Die für die EU zuständige Datenschutzbehörde sitzt in Irland, wo Facebook seinen Firmensitz für Länder außerhalb der USA und Kanada hat. “Aus steuerlichen Gründen”, wie der angehende Jurist vermutet. Aber sicherlich profitiert das Unternehmen auch davon, dass es Irland scheinbar nicht immer ganz so genau nimmt mit dem Datenschutz. Schon gar nicht, wenn es darum geht, einen Konzern wie Facebook im Land zu behalten, der jüngst wieder angedeutet hatte, seine Dependance in Irland weiter ausbauen zu wollen und damit möglicherweise auch hunderte neue Arbeitsplätze zu schaffen.

Als sich Max Schrems vor einem Jahr zum ersten Mal an die irische Behörde wandte, wusste der 24jährige noch nicht, worauf er sich einlässt. „Europe-v-Facebook.org“ hatte er seine Aktion getauft, die er damals ins Leben rief. Genauso gut hätte er es „Max-gegen-den-Rest-der-Welt“ nennen können. Denn Unterstützung von offizieller Seite erfährt der Jura-Student wenig, schon gar nicht von den landeseigenen Datenschutzämtern, die ja eigentlich für den Schutz ihrer Bürger zuständig wären. So belässt es beispielsweise die deutsche Verbraucherschutz-ministerin bei einem symbolischen Austritt aus Facebook. Auch die sonst für ihre scharfen Worte bekannte Datenschutzbehörde von Schleswig-Holstein stellt in einer Presserklärung von letzter Woche lediglich fest, Facebook verweise stets auf die Zuständigkeit der Iren. „Für mich ist es ein Musterfall“, sagt Schrems. „Man sieht, was passiert, wenn man sich als EU-Bürger mal auf seine Datenschutzrechte beruft, die ja sonst alle immer so hoch halten.“
—-

Ein Bollwerk gegen Facebook

Wie es um den Datenschutz in der EU tatsächlich bestellt ist, begreift man am schnellsten, wenn man das “Bürogebäude” der für die EU zuständigen Datenschutzkommission betrachtet (Google Streetview). Ein Supermarkt, nicht etwa in der irischen Metropole Dublin, wo Firmen wie Apple, Dell oder eben Facebook ihre Europa-Zentralen haben. Hier ist Irlands Datenschutzkommission untergebracht, mitten in der irischen Pampa, dort, wo Schafe grasen und wo verlassene Industrieanlagen von besseren Zeiten zeugen. Und ja: Es handelt sich tatsächlich um die einzige Institution, die in Irland – stellvertretend für die gesamte EU – für die Kontrolle von Facebook zuständig ist. Das wurde mir in einem Telefonat von der Behörde so bestätigt.

Das Büro der irischen Datenschutzkommission in Portarlington: Hier werden Facebooks Datenschutzverstöße aus der ganzen Welt geprüft

 

22 Mitarbeiter sind hier damit beschäftigt, um – neben vielen anderen Vorgängen – die Beschwerden gegen Facebook zu prüfen, die aus der ganzen Welt auflaufen. Allein vergangenes Jahr sollen rund 40.000 Anträge von Menschen eingegangen sein, die nach dem Vorbild von Max Schrems ihre bei Facebook gespeicherten personenbezogenen Daten einsehen wollten. Im Jahresbericht der Behörde (PDF-File) wird die genaue Anzahl der Anfragen übrigens nicht erwähnt.

In einem Audit-Verfahren haben sich Facebook und die Behörde auf bessere Datenschutz-Maßnahmen verständigt, die Facebook auf freiwilliger Basis bis Juli 2012 bieten wollte. Dazu gehört auch ein Download-Tool, über das sich Facebook-Nutzer ihre Daten herunterladen können. Das Problem: Die über das Tool gelieferten Daten stellen nur einen Bruchteil dessen dar, was Facebook tatsächlich über seine Nutzer auf seinen Servern gespeichert hat. Gelöschte Texte, Geolocation-Daten, Gesichtsprofile – all sowas sucht man vergeblich in diesem „Do-it-yourself-Datenpaket“. Zur Erinnerung: Die Rohdaten, die Facebook letztes Jahr wahrscheinlich versehentlich an Max Schrems ausgeliefert hatte, umfassten 1200 Schreibmaschinenseiten.

 

 

Zustände wie in Russland

Nach irischem Datenschutzrecht, auf das sich auch alle EU-Bürger berufen können, muss eine Firma innerhalb von 40 Tagen sämtliche Daten vorlegen, die sie über den Antragsteller gespeichert hat. Nicht so bei Facebook. „Die Behörde findet das unproblematisch“, so Max Schrems. Argumentation gäbe es keine. „Die sagen, es sei doch schon viel besser, als das, was Facebook früher gemacht habe.“ Probematisch findet der Jura-Student vor allem, dass in der irischen Datenschutzkommission offensichtlich kein einziger Jurist beschäftigt sei. (Anmerkung: Auf telefonische Nachfrage wollte die Behörde mir gegenüber keine Stellungnahme hierzu abgeben.) „Zustände wie in Russland“, so Schrems.

 

Foto: Max Schrems

 

Das Ende kam per SMS

Und so kommt es auch, dass das Verfahren um die 22 Anzeigen, die Max Schrems vor einem Jahr bei der Behörde eingereicht hatte, offenbar eingeschlafen ist. Journalisten werden auf den abschließenden Audit-Bericht vertröstet, der im September veröffentlicht werden soll. Konkrete Fragen, die Schrems zum weiteren Vorgehen hat, werden nicht beantwortet, seine Anrufe abgewimmelt. Das ganze gipfelt jetzt in einer SMS, die der stellvertretende Datenschutz-Kommissar vergangenen Freitag schickte:

„Max, I know you have contacted the Office. Neither the Commissioner nor myself are available to speak to you. Regards Gary“

Die Behörde hat offensichtlich Schluss gemacht – in 122 Zeichen via SMS. „Wie unter Teenagern“ grinst Max Schrems. Ob ihn Gary jetzt wohl auch noch bei Facebook entfreundet?

Das Kapitel zeigt, wie hilflos Politiker, Behörden und Institutionen den Entwicklungen im Internet-Zeitalter hinterherlaufen. Wie es mit Max, Gary* und Facebook weiter geht, erfahrt Ihr in diesem Blog (siehe Comic). Fortsetzung folgt.

* der stellv. Datenschutz-Kommissar Gary Davis war für mich leider nicht zu sprechen

Weiterführende Dokumente (PDF-Files): 

Hinterlassen Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Notwendige Felder sind mit * markiert.

13 Kommentare
  1. Livia G. Meister schreibt:

    Danke für diese wichtige Info :)

  2. kinglaser schreibt:

    Ich verfolge auf Ihren blog dieses Thema mit FB von Anfang an… Und bin doch nun sehr enttäuscht wie es ausgegangen ist. Wieso sind unsere Politiker und Datenschützer nur so machtlos? Warum können Lobbykriminelle ungestraft die Arbeit von Gestetzgebern zu ihren eigenen Zielen hinbewegen? Die Staatssicherheit der DDR hätte sich gefreut, wenn so viele “Kunden” ihre Daten zur Verfügung gestellt hätten ;) . Doch wie wird es weitergehen, wenn der Hype FB wieder ein Ende nimmt? Was kommt als nächstes auf uns zu? Die Netzwerkforschung ist erst am Anfang und findet immer mehr technische Anwendungen im Leben eines “Internet-Users”, “payback-Punktesammlers” und “Gewinnspielteilnehmers”.

    • Richard schreibt:

      Ich sehe noch nicht einmal in Facebook das Übel. Soll man mit unseren Daten doch Werbung schalten. Das Problem sehe ich, wenn Dritte, insbesondere Staaten und deren Geheimdienste auf dieses Wissen zugreifen. Kann im Westen nicht passieren? Ha!