„Schattenprofile“ in den USA

Der Wiener Jusstudent Max Schrems ging auf ein Auslandssemester ins Silicon Valley. Dort stellte er fest, dass US-Internetunternehmen nur wenig über die Datenschutzregeln in der EU wissen und sich auch kaum darum kümmern. Im Gespräch mit ORF.at sagt Schrems, wie Facebook & Co. auch von Usern Daten sammeln, die gar nicht bei ihnen Mitglied sind, und wie sich die Nutzer dagegen schützen können.

ORF.at: Herr Schrems, der irische Datenschutzbeauftragte hat kaum zwei Wochen nach Einlangen Ihrer Anzeige angekündigt, die Facebook-Niederlassung in Dublin einer harten Betriebsprüfung unterziehen zu wollen. Haben Sie damit gerechnet, dass er so schnell reagieren würde?

Max Schrems: Wir waren verwundert, dass so schnell so intensiv gegen Facebook ermittelt wird. Wir sind ursprünglich davon ausgegangen, dass wir rechtlich richtigliegen, aber wir haben auch gedacht, dass die Behörden die Anzeige nicht ganz so intensiv verfolgen werden - wir sind nur „kleine Studenten“, die gegen das „große Facebook“ vorgehen. Die angekündigte Betriebsprüfung ist aber die härteste Maßnahme, die man im irischen Datenschutzrecht setzen kann. Es kommt einer abgeschwächten Hausdurchsuchung gleich.

Wir haben schnell nach Aussenden der Anzeige von der Datenschutzbehörde einen Brief bekommen, in dem sie ankündigt, alle rechtlichen Mittel ausschöpfen zu wollen. Wir haben in einer der Anzeigen dazugeschrieben, dass die Iren europarechtlich dazu verpflichtet sind, den Datenschutz durchzusetzen. Schließlich sitzt die europäische Niederlassung von Facebook in Irland - vermutlich aus Steuergründen - und jeder Facebook-User außerhalb der USA und Kanadas schließt mit der irischen Filiale einen Vertrag ab.

Wenn die Iren sich also nicht um dieses Thema kümmern würden, dann könnte man natürlich nach Brüssel gehen. Wir verstehen die schnelle Reaktion auf die Anzeige so, dass diese Botschaft offenbar angekommen ist. Die irische Behörde hat sich auch schon ausdrücklich für Facebook zuständig erklärt.

ORF.at: Wie sind Sie bei Ihrer Anzeige vorgegangen?

Schrems: Ich bin seit ungefähr drei Jahren bei Facebook. Das EU-Datenschutzrecht gibt jedem Bürger die Möglichkeit, die Daten anzufordern, die ein Unternehmen über ihn gespeichert hat. Das betrifft nicht nur die Daten, die der User sieht, sondern auch alle, die im Hintergrund gespeichert werden. Das haben wir gemacht. Facebook hat uns aber nicht alle Daten geschickt, die sie über uns gespeichert haben. Wir haben 20 Kategorien aufgelistet, die sie uns nicht geschickt haben. Trotzdem haben wir die Daten aus 57 Kategorien bekommen und mein eigener Auszug war zum Beispiel über 1.200 Seiten lang, obwohl ich auf Facebook schon alles lösche, was man irgendwie löschen kann.

Wir haben zwar gewusst, dass es viel wird, es war für mich aber doch ein Schock, dass es so viel war. Welche Institution hat schon 1.200 Seiten über einen Normalbürger gespeichert? Wir haben die Daten analysiert und stellten dabei fest, dass es sich bei sehr vielen Daten um Texte oder Bilder handelt, die wir eigentlich gelöscht hatten. Facebook hat sie aber weiterhin gespeichert. Außerdem waren eigentlich auch bei allen Auszügen sehr sensible Daten zu finden, oft auch über andere Leute. Diese Erkenntnisse haben wir dann mit meinen Recherchen für einen wissenschaftlichen Aufsatz kombiniert und als Anzeigen formuliert. Wir haben der irischen Behörde darin die Beweise gebracht, dass sich Facebook nicht an europäisches Datenschutzrecht hält.

ORF.at: Was war für Sie der entscheidende Punkt, ab dem Sie gesagt haben, dass Sie gegen Facebook vorgehen wollen?

Schrems: Mich ärgert, dass Facebook sich nicht an das europäische Datenschutzrecht hält. Ich war Anfang dieses Jahres für ein Gastsemester in den USA, an der Santa Clara University im Silicon Valley. Dort habe ich viel mit einigen Datenschutzbeauftragten der dortigen IT-Unternehmen gesprochen.

Die waren alle irgendwie der Meinung, dass europäisches Datenschutzrecht ganz niedlich sei und man halt so tun müsse, als ob man sich daran halte, aber schlussendlich passiere nichts und man könne machen, was man wolle. Das war der Punkt, an dem ich mir gedacht habe: Da könnte man doch schauen, ob man doch was weiterbringt und das Datenschutzrecht nicht nur als Feigenblatt funktioniert, sondern auch durchgesetzt wird.

ORF.at: Sie haben bisher 16 Anzeigen zu verschiedenen Themen nach Irland geschickt. Welches Vorgehen von Facebook beurteilen Sie als besonders problematisch?

Schrems: Schlimm fand ich, dass viele Daten, die ich eigentlich gelöscht zu haben glaubte, nach wie vor von Facebook gespeichert worden sind. Problematisch sind dabei vor allem die Messages, die Kurznachrichten, über die man schnell mit seinen Freunden kommuniziert. Das ist so, als würde die Post sagen: Wir machen jetzt jeden deiner Briefe auf und speichern den Inhalt bei uns und analysieren das alles und löschen die Daten nie wieder.

Das würde in der Bevölkerung einen Proteststurm auslösen. Genau das macht Facebook aber mit allen Messages. Facebook ist deutlich schlimmer als die viel diskutierte Vorratsdatenspeicherung, wo die Daten nach sechs Monaten gelöscht werden müssen und keine Inhalte erfasst sind. Außerdem speichert Facebook die Daten in den USA, wo ich als EU-Bürger keine Möglichkeit habe, zu kontrollieren, ob nicht die dortigen Behörden unter dem Patriot Act darauf zugreifen.

ORF.at: Sie haben bei Facebook auch eine Anfrage zu den „Schattenprofilen“ gestellt. Hat das Unternehmen zugegeben, dass es Daten über Menschen speichert, die gar nicht Facebook-Mitglieder sind?

Schrems: Facebook hat das natürlich nicht zugegeben. Das Unternehmen mauert bei allen Anfragen. Man ist also auf Indizien angewiesen, beispielsweise auf die Einladungsmails, die Facebook an Menschen verschickt hat, die noch keine Mitglieder sind. Das kommt daher, dass viele Facebook-Mitglieder die Kontaktdaten aus ihrem Computer oder ihrem Smartphone in ihr Profil hochgeladen haben.

Facebook kennt also unter Umständen Name, E-Mail, Telefonnummer, Adresse, Arbeitsdaten oder Geburtsdatum und diverse Freunde des Nichtusers. Daraus lässt sich schon viel ableiten, wenn beispielsweise diese Freunde alle eine bestimmte politische Ausrichtung haben, dann lässt sich daraus auch auf die Tendenz des Nichtmitglieds schließen. Ähnlich kann man auch auf Konsumverhalten, Arbeitsverhältnisse oder sexuelle Orientierung schließen. Diese Indizien - plus den bereits hochgeladenen Namen und die Adresse - sind schon relativ viel, wenn man bedenkt, dass der Betroffene gar nicht Mitglied bei Facebook ist.

ORF.at: Hat Facebook in den Antworten auf Ihre Anfragen auch mitgeteilt, was es genau mit diesen Daten vorhat - außer sie natürlich zu Werbezwecken zu nutzen?

Schrems: Nachdem ich mich damit befasst und mit Facebook-Vertretern in den USA gesprochen habe, vermute ich, dass sie es selbst noch nicht so genau wissen. Sie sitzen zwar auf diesem riesigen Goldschatz, wissen aber noch nicht, wie sie ihn hinheben sollen. Was sie genau tun, weiß man nicht, weil Facebook furchtbar intransparent ist. In ihrer Policy steht, dass sie die Daten verwenden, um „ein sicheres, effizientes und individuelles Nutzungserlebnis zu bieten“, ich glaube, es ist fast unmöglich, eine Worthülse zu erfinden, die noch weniger aussagt als das.

ORF.at: Die Untersuchung läuft. Was passiert als nächstes?

Schrems: Das wird spannend. Wir wissen nun, dass die Behörde mit allen ihren Möglichkeiten ermittelt. Das ist schon einmal ein Riesenschritt. Ob sich die Datenschützer dann auch trauen, die Konsequenzen gegen einen solchen Konzern zu ziehen, bleibt abzuwarten. Wir werden noch einige Anzeigen nachlegen, die noch nicht fertig sind. Ansonsten warten wir ab, wie sich die irische Behörde entscheidet.

ORF.at: Welche Sanktionsmöglichkeiten hat die Datenschutzbehörde?

Schrems: Sie kann Facebook Auflagen machen. Das läuft leider auf dem Verhandlungsweg, was etwas absurd ist. Man muss sich vorstellen, die verstoßen gegen ein Gesetz. Jemand, der sein Auto falsch parkt, wird auch nicht auf dem Verhandlungsweg mit dem Polizisten klären können, ob er was zahlen muss oder nicht. Aber so läuft das derzeit noch im europäischen Datenschutzrecht.

Wovor die Firmen Angst haben, ist jedoch der Imageschaden. Es geht nicht um das Geld, sondern darum, in der Öffentlichkeit schlecht dazustehen, wenn von offizieller Seite festgestellt wurde, dass sich das Unternehmen nicht an die Gesetze gehalten hat. Deshalb kann man davon ausgehen, dass Facebook sich an die Vorgaben der irischen Behörde halten wird, zumindest soweit man es nachprüfen kann.

ORF.at: Sie hoffen auch, dass Sie über die Untersuchung der Datenschützer mehr über Facebooks Vorgehen erfahren.

Schrems: Genau. Wir haben in einer Anzeige auch festgestellt, dass wir bestimmte Auskünfte bisher von Facebook nicht bekommen haben. Facebook hat aber schon zugesagt, uns diese Daten schicken zu wollen, soweit es möglich ist. Dabei handelt es sich um die spannendsten Daten, nämlich um die Gesichtserkennung, um die Websites, die die User besucht haben und so weiter.

ORF.at: Haben Sie eigentlich vor, Facebook zu klagen?

Schrems: Nein. Uns geht es nur darum, die Nutzer zu sensibilisieren und Facebook so weit zu bekommen, dass sie sich an die europäischen Gesetze halten. Ein finanzielles Interesse haben wir auch nicht. Wir wollen Facebook auch weiter nutzen können, aber eben ohne darüber Sorgenfalten bekommen zu müssen. Außerdem wäre es schön, wenn irgendwann auch im Silicon Valley europäisches Recht respektiert werden würde.

ORF.at: Was würden Sie heimischen Facebook-Usern raten?

Schrems: Zuallererst sollten sie die Privatsphäreeinstellungen überprüfen. Viele meiner Freunde waren der Überzeugung, dass alle ihre Postings privat sind, aber dem war eben nicht so, weil sie vergessen hatten, den einen oder anderen Aspekt korrekt einzustellen. In Österreich würde ich auch aus rechtlichen Gründen nur mit Freunden teilen. Wenn ich in größeren Kreisen poste, dann kann es passieren, dass ich rechtliche Probleme bekomme, wenn ich Material von Dritten ins Netz hochlade.

Außerdem sollte man die Schnittstelle zu den Facebook-Applications abschalten. Die ist nämlich ein riesiges Loch, durch das Daten an Dritte weitergeleitet werden können. Zusätzlich würde ich ein Auskunftsersuchen bei Facebook starten, um nachzusehen, welche Daten sie genau gespeichert haben. Recht viel mehr kann man als User nicht mehr machen.

ORF.at: Was könnte die Politik tun, um die Nutzer besser zu schützen?

Schrems: Datenschutzrecht ist ein sehr junges Rechtsgebiet, ähnlich wie Umweltschutzrecht in den 1960er Jahren. Zehn Jahre nach 9/11 ist es leider noch immer ein Gebiet, das gegenüber der immer größeren Überwachung den Kürzeren zieht.

Eigentlich sollten sich die Behörden intensiv um dieses Thema kümmern. Bei uns ist die Datenschutzkommission zuständig. Die ist unterbesetzt und hat nicht genug Leute, um von sich aus nachhaltig handeln zu können - sie können nur das prüfen, was bei ihnen auf dem Tisch landet. Wir bräuchten eigentlich Behörden, die von sich aus aktiv überprüfen, wie Unternehmen mit unseren Daten umgehen.

Derzeit gibt es fast keine Kontrolle und minimale Strafen. Deshalb sind die Aktionen der Unternehmen auch eher von PR-Überlegungen geleitet als vom Recht. Dieses Problem werden wir in den nächsten Jahren auf europäischer Ebene verstärkt angehen müssen, es bleibt also spannend.

Das Gespräch führte Günter Hack, ORF.at

Links:

• Europe vs. Facebook
• Europe vs. Facebook: So kann man seine Daten von Facebook anfordern