Facebook: "Von Datenschutz keine Ahnung"

Noch hat David den Goliath nicht bezwungen. Aber Max Schrems und seinen Mitstreitern von Europe-v-facebook.org ist es gelungen, dem Internet-Riesen Facebook zumindest auf die Zehen zu steigen. Nach zwei Betriebsprüfungen in der Europazentrale des Konzerns in Dublin hat die irische Datenschutzbehörde einen 150-Seiten-Bericht erstellt, in dem Facebook zu weitreichenden Datenschutzmaßnahmen verpflichtet wird.

Dass der Schritt wehtut, merkt man daran, dass die sonst für Journalisten oft unerreichbaren Vertreter des Social-Media-Giganten plötzlich von selbst aktiv wurden und den Medien verkündeten, dass die irischen Datenschützer ihre Bemühungen um Schutz und Sicherheit der Nutzerdaten gelobt hätten. Das ist freilich nur ein Teil der Wahrheit. Denn ganz so harmlos ist die Sache für Facebook nicht – auch wenn man sie kurz vor dem für das zweite Quartal 2012 erwarteten Börsengang herunterspielt.

„USA ignorieren Datenschutz“

Auslöser der Überprüfung sind Recherchen des Jusstudenten Schrems. Er hat in den USA einen Vortrag eines Facebook-Mitarbeiters gehört: „Der hatte von europäischem Datenschutzrecht keine Ahnung. Die haben auch in den USA so gut wie keine Regelungen in Sachen Datenschutz.“ Wieder daheim, machte er die Probe aufs Exempel – forderte von Facebook seine Daten und bekam zu seiner großen Überraschung 1222 Seiten, auf denen er seine Informationen, Fotos, Chateinträge fand – sogar die, die er längst gelöscht hatte. Das war ihm zu viel. Gemeinsam mit Kommilitonen sammelte er Beweise, dass Facebook die Datenschutzrichtlinien der EU nicht korrekt einhält und schickte sie – verpackt in 22 Anzeigen – an die Datenschutzbehörde in Dublin.

Dort fühlte man sich durch die von den Studenten bestens aufbereiteten Unterlagen zu den Betriebsprüfungen ermuntert – und fand erhebliche Datenschutzprobleme, die Facebook nun beheben soll. Und falls nicht? Dann passiert vorerst gar nichts. Das Papier aus Irland ist nur eine Empfehlung. Erst wenn sich das Unternehmen nicht an die Vorschläge hält, drohen 100.000 Euro Strafe. Die zahlt der Internet-Riese aus der Portokasse, was Schrems absurd findet: „Das ist, wie wenn ein Park-Sheriff sagt: Wenn ihr hier in einer Woche noch immer steht, zahlt ihr 1,50 Euro.“ Erst mit der geplanten EU-Datenschutzrichtlinie sollen schärfere Sanktionen in Kraft treten: „Im ersten Entwurf ist von einer Strafe in der Höhe von fünf Prozent des Unternehmensgewinns die Rede.“

Deutsche Medien boten 5000 Euro

Apropos Gewinn: Seit „Die Presse“ als erstes Medium überhaupt am 20.August 2011 über die Initiative berichtete, kann sich Schrems der Interviewanfragen kaum erwehren. „Ich hätte bei deutschen Medien in nur ein, zwei Wochen locker 5000 Euro verdienen können.“ Er lehnte ab, weil er kein pekuniäres Interesse hat. Vielmehr versteht er sich als Vorkämpfer: „Datenschutz hat für viele Unternehmen keine Priorität.“ Und: „Die, die sich dran halten, sind am Ende die Deppen.“ Wie so oft, kommt er mit einem anschaulichen Vergleich: „Wenn das Gesundheitsamt kommt und was findet, sperrt es die Bude zu. Wenn die Datenschutzkommission kommt, sagt sie: Bitte haltet euch ans Gesetz.“

Die ist chronisch unterbesetzt. „In Irland sitzen vier, fünf Beamte, die zwei Stunden außerhalb von Dublin irgendwo im Nichts arbeiten und es mit einem Weltkonzern aufnehmen müssen.“ Schrems vergleicht die Situation mit jener der Umweltpolitik der 1960er-Jahre, die kaum vorhanden war: „Und ich bin der kleine grüne Fuzzi“ – der, der die Behörden auf Missstände aufmerksam macht.

Wichtigster Kritikpunkt: Dass Facebook zum Teil ungefragt Daten sammelt und alle Informationen über User auch dann gespeichert hat, wenn man auf „löschen“ gedrückt hat. „Und da wundern wir uns, dass es Hackerangriffe gibt und Daten herumschwirren: Alles, was mal draußen ist, kann man nie wieder löschen.“ Lange Zeit habe er damit kein Problem gehabt: „Das sind ja coole Tools. Ich bin gern auf Facebook – aber ich möchte nicht, dass die Firma das missbraucht.“ Das Argument, dass jeder Eigenverantwortung dafür trage, was er auf Facebook stellt, lässt er nicht gelten: „Man kann nicht erwarten, dass sich jeder auskennt. Die Plattform ist so komplex, dass selbst Juristen und Fachleute nicht ganz durchblicken.“ Es könne nicht sein, dass man vor jedem Schritt seitenweise Geschäftsbedingungen lesen müsse: „Das wäre ja wie wenn mir im Supermarkt die Decke auf den Schädel fällt, weil die Bauvorschrift nicht eingehalten wurde und es heißt: Selbst schuld – du hast das Fundament nicht überprüft!“

USA kriegen Daten von Facebook

Wenigstens tun Datenschutzverfehlungen nicht weh. Aber sie können unangenehme Folgen haben. „Zwei Sachen erschrecken mich: Die US-Behörden können leicht auf die Daten zugreifen – ohne richterliche Genehmigung, wenn sie einen National Security Letter schicken. Solche kriegt Facebook permanent. Von mir würde also der Geheimdienst auf Abruf 1222 Seiten bekommen.“

Zweite Sorge: Datenlecks. „Irgendjemand kommt immer rein.“ Internetviren können Daten ausspionieren, die dann in fremde Hände fallen. Deshalb meint Schrems, man sollte sich der Idee des österreichischen Juristen Viktor Mayer-Schönberger – derzeit Professor am Oxford Internet Institute – annehmen, der ein „digitales Vergessen“ fordert: „Es sollte so sein, dass man auf Facebook einstellen kann, dass die Postings nach einer Woche oder einem Jahr gelöscht werden. Wen interessiert denn der Blödsinn, den ich vor fünf Jahren geschrieben habe?“

("Die Presse", Print-Ausgabe, 23.12.2011)