Vor einem Jahr hatte der Wiener Student Max Schrems das kalifornische Unternehmen Facebook angezeigt. Es ging um mögliche Datenschutz-Verstöße in 22 Fällen. Jetzt hat die zuständige Datenschutzbehörde in Irland mit Max Schluss gemacht – per SMS.
Gute Seiten, schlechte Seiten
Was bisher geschah: Max, ein Wiener Student, hat das Soziale Netzwerk Facebook in 22 Fällen angezeigt. Die für die EU zuständige Datenschutzbehörde sitzt in Irland, wo Facebook seinen Firmensitz für Länder außerhalb der USA und Kanada hat. „Aus steuerlichen Gründen“, wie der angehende Jurist vermutet. Aber sicherlich profitiert das Unternehmen auch davon, dass es Irland scheinbar nicht immer ganz so genau nimmt mit dem Datenschutz. Schon gar nicht, wenn es darum geht, einen Konzern wie Facebook im Land zu behalten, der jüngst wieder angedeutet hatte, seine Dependance in Irland weiter ausbauen zu wollen und damit möglicherweise auch hunderte neue Arbeitsplätze zu schaffen.
Als sich Max Schrems vor einem Jahr zum ersten Mal an die irische Behörde wandte, wusste der 24jährige noch nicht, worauf er sich einlässt. „Europe-v-Facebook.org“ hatte er seine Aktion getauft, die er damals ins Leben rief. Genauso gut hätte er es „Max-gegen-den-Rest-der-Welt“ nennen können. Denn Unterstützung von offizieller Seite erfährt der Jura-Student wenig, schon gar nicht von den landeseigenen Datenschutzämtern, die ja eigentlich für den Schutz ihrer Bürger zuständig wären. So belässt es beispielsweise die deutsche Verbraucherschutz-ministerin bei einem symbolischen Austritt aus Facebook. Auch die sonst für ihre scharfen Worte bekannte Datenschutzbehörde von Schleswig-Holstein stellt in einer Presserklärung von letzter Woche lediglich fest, Facebook verweise stets auf die Zuständigkeit der Iren. „Für mich ist es ein Musterfall“, sagt Schrems. „Man sieht, was passiert, wenn man sich als EU-Bürger mal auf seine Datenschutzrechte beruft, die ja sonst alle immer so hoch halten.“
—-
Ein Bollwerk gegen Facebook
Wie es um den Datenschutz in der EU tatsächlich bestellt ist, begreift man am schnellsten, wenn man das „Bürogebäude“ der für die EU zuständigen Datenschutzkommission betrachtet (Google Streetview). Ein Supermarkt, nicht etwa in der irischen Metropole Dublin, wo Firmen wie Apple, Dell oder eben Facebook ihre Europa-Zentralen haben. Hier ist Irlands Datenschutzkommission untergebracht, mitten in der irischen Pampa, dort, wo Schafe grasen und wo verlassene Industrieanlagen von besseren Zeiten zeugen. Und ja: Es handelt sich tatsächlich um die einzige Institution, die in Irland – stellvertretend für die gesamte EU – für die Kontrolle von Facebook zuständig ist. Das wurde mir in einem Telefonat von der Behörde so bestätigt.
22 Mitarbeiter sind hier damit beschäftigt, um – neben vielen anderen Vorgängen – die Beschwerden gegen Facebook zu prüfen, die aus der ganzen Welt auflaufen. Allein vergangenes Jahr sollen rund 40.000 Anträge von Menschen eingegangen sein, die nach dem Vorbild von Max Schrems ihre bei Facebook gespeicherten personenbezogenen Daten einsehen wollten. Im Jahresbericht der Behörde (PDF-File) wird die genaue Anzahl der Anfragen übrigens nicht erwähnt.
In einem Audit-Verfahren haben sich Facebook und die Behörde auf bessere Datenschutz-Maßnahmen verständigt, die Facebook auf freiwilliger Basis bis Juli 2012 bieten wollte. Dazu gehört auch ein Download-Tool, über das sich Facebook-Nutzer ihre Daten herunterladen können. Das Problem: Die über das Tool gelieferten Daten stellen nur einen Bruchteil dessen dar, was Facebook tatsächlich über seine Nutzer auf seinen Servern gespeichert hat. Gelöschte Texte, Geolocation-Daten, Gesichtsprofile – all sowas sucht man vergeblich in diesem „Do-it-yourself-Datenpaket“. Zur Erinnerung: Die Rohdaten, die Facebook letztes Jahr wahrscheinlich versehentlich an Max Schrems ausgeliefert hatte, umfassten 1200 Schreibmaschinenseiten.
Zustände wie in Russland
Nach irischem Datenschutzrecht, auf das sich auch alle EU-Bürger berufen können, muss eine Firma innerhalb von 40 Tagen sämtliche Daten vorlegen, die sie über den Antragsteller gespeichert hat. Nicht so bei Facebook. „Die Behörde findet das unproblematisch“, so Max Schrems. Argumentation gäbe es keine. „Die sagen, es sei doch schon viel besser, als das, was Facebook früher gemacht habe.“ Probematisch findet der Jura-Student vor allem, dass in der irischen Datenschutzkommission offensichtlich kein einziger Jurist beschäftigt sei. (Anmerkung: Auf telefonische Nachfrage wollte die Behörde mir gegenüber keine Stellungnahme hierzu abgeben.) „Zustände wie in Russland“, so Schrems.
Das Ende kam per SMS
Und so kommt es auch, dass das Verfahren um die 22 Anzeigen, die Max Schrems vor einem Jahr bei der Behörde eingereicht hatte, offenbar eingeschlafen ist. Journalisten werden auf den abschließenden Audit-Bericht vertröstet, der im September veröffentlicht werden soll. Konkrete Fragen, die Schrems zum weiteren Vorgehen hat, werden nicht beantwortet, seine Anrufe abgewimmelt. Das ganze gipfelt jetzt in einer SMS, die der stellvertretende Datenschutz-Kommissar vergangenen Freitag schickte:
„Max, I know you have contacted the Office. Neither the Commissioner nor myself are available to speak to you. Regards Gary“
Die Behörde hat offensichtlich Schluss gemacht – in 122 Zeichen via SMS. „Wie unter Teenagern“ grinst Max Schrems. Ob ihn Gary jetzt wohl auch noch bei Facebook entfreundet?
Das Kapitel zeigt, wie hilflos Politiker, Behörden und Institutionen den Entwicklungen im Internet-Zeitalter hinterherlaufen. Wie es mit Max, Gary* und Facebook weiter geht, erfahrt Ihr in diesem Blog (siehe Comic). Fortsetzung folgt.
* der stellv. Datenschutz-Kommissar Gary Davis war für mich leider nicht zu sprechen
Weiterführende Dokumente (PDF-Files):
Wird der Comic jemals lustig sein?
Hat der Ersteller des Comics seine Zeit sinnvoll investiert?
Und wird man Gutjahr als „Journalisten“ jemals ernst nehmen können?
Nein.
…wird der Verfasser dieses Kommentars den Mut haben, unter seinem richtigen Namen zu kommentieren? ;-)
Das haben die Verfasser solcher Kommentare nie!!!
Wo Sie Recht haben… (kommentiere hier nur unter dem Schock einen Menschen mit dem gleichen Namen zu finden)
[…] Datenschutzbehörde aussieht, die für das Treiben des Fratzenbuches in der EU zuständig ist? Hier gibts (unter anderem) ein Foto. Und noch eine Menge mehr. Datenschutz, EU, Facebook, Irland, […]