Datenschutz-Aktivist Schrems:Ein Student legt sich mit Facebook an

Der Österreicher Max Schrems wollte wissen, welche Informationen Facebook über ihn speichert - und löste damit das größte Datenschutzverfahren in der Geschichte des Unternehmens aus. Für den Konzern kommt der Aktivismus des Studenten zur Unzeit.

Julia Prummer

Irgendwann wollte es Max Schrems ganz genau wissen. Er bat Facebook um Auskunft über alle Daten, die dort von ihm gespeichert sind. Die Antwort, die er von dem Netzwerk erhielt, übertraf seine Befürchtungen: Alle Daten, die er gelöscht hatte, waren immer noch da. Statusmeldungen, Freundesanfragen und private Nachrichten.

Datenschutz-Aktivist Schrems: Europa gegen Facebook: Der österreichische Student Max Schrems bringt Facebook in Bedrängnis, weil er auf sein Recht pocht.

Europa gegen Facebook: Der österreichische Student Max Schrems bringt Facebook in Bedrängnis, weil er auf sein Recht pocht.

(Foto: AFP)

Facebook hatte alle persönlichen Informationen des Österreichers weiter gespeichert - gegen seinen Willen und entgegen den Regeln des europäischen Datenschutzrechtes. Diese verbieten die unbefristete Speicherung von Benutzerdaten.

Ein Jahr ist das her, und eigentlich hatte der 24-Jährige nur sein Recht nutzen wollen. Jeder Europäer kann Auskunft über persönliche Daten verlangen, das wusste der Jura-Student. Dass er damit das größte Datenschutzverfahren in der Firmengeschichte von Facebook lostreten würde - das wusste er damals nicht. Und auch nicht, dass er nicht nur mit Facebook, sondern auch mit einer europäischen Behörde massiv in Konflikt geraten würde.

Am Anfang war es nur ein Spaß

Denn aktuell ist es die irische Datenschutzkommission, die jedes weitere Vorgehen gegen Facebook blockiert. Ende April wollte Schrems deshalb die Behörde rechtlich belangen - das wussten die Iren zu verhindern.

Am Anfang war es für ihn nur ein Spaß gewesen. Doch dann brauchte Facebook sechs Wochen und 23 E-Mails, um dem österreichischen Studenten seine Daten zu schicken. Es waren genau 1222 PDF-Seiten - nur über Max Schrems, einen einzigen von 854 Millionen Facebook-Nutzern. Schrems wollte es zuerst nicht glauben. Dann nahm er das Ganze als sportliche juristische Herausforderung und verwendete das Material als Beweismittel. Er zeigte den mächtigen Internetkonzern an. Facebook habe "einen riesigen Fehler gemacht", ihm das gelöschte Material frei Haus zu liefern, sagt er.

Beschwerde "auf den richtigen Tisch" gebracht

Das Netzwerk hat den österreichischen Studenten damals vermutlich unterschätzt. Gleich 22-mal erstattete der Anzeige: Wegen gelöschter Daten, die immer noch da waren, wegen irreführender Geschäftsbedingungen, wegen der automatischen Gesichtserkennung; wegen all der Dinge also, die ihm nicht gesetzeskonform schienen. "Wenn Facebook in Europa Geschäfte machen will, muss sich das Unternehmen auch an die Gesetze halten", sagt er.

Datenschützer kritisieren die "Privacy Policy" des sozialen Netzwerks schon lange. Schrems ist der erste, der die Beschwerde "auf den richtigen Tisch" gebracht hat - nämlich bei der irischen Datenschutzbehörde. Denn dort hat Facebook seinen europäischen Firmensitz, für den EU-Recht gilt. Nach Schrems Anzeigen ordnete die Behörde prompt zwei Unternehmensprüfungen für die irische Facebook-Tochter an.

Über Nacht wurde Schrems zum Datenschutzhelden

Über Nacht wurde aus dem österreichischen Studenten der europäische Datenschutzheld. CNN, Al Jazeera und die New York Times - alle haben sie den eloquenten Schrems interviewt. Die Bild-Zeitung hat ihm sogar eine Titelgeschichte gewidmet. Die Medien feierten ihn als David, der den bösen Goliath Facebook mit seiner Steinschleuder befeuert. "Ernst nehm ich das nicht; oder sollt ich?", sagt Schrems. Schließlich ginge es um das soziale Netzwerk, nicht um ihn als Person. Kokett gibt er sich trotzdem, wenn die Weltpresse anklopft: Es ist wohl noch kein Journalist ohne ein freches Zitat des jungen Österreichers nach Hause gegangen.

Mit wenig Aufwand hat er viel Aufmerksamkeit für sein Thema generiert. Und das ohne Anwälte oder PR-Leute und neben seinem Studium: Wenn er nicht gerade in der Bibliothek Verfassungsrecht lernt, gibt er Interviews, befüllt seine Plattform "Europe versus Facebook" oder korrespondiert mit der irischen Datenschutzbehörde. Das alles kostet ihn 9,90 Euro im Monat - für den Server seiner Homepage. Der Internetkonzern hingegen verliert Millionen, wenn er in Europa nicht mehr x-beliebig Daten sammeln darf.

Das macht das Unternehmen, das kurz vor dem Börsengang steht, nervös. Schrems bekam Besuch in Wien: Facebook-Gründer Mark Zuckerberg kam zwar nicht selbst, schickte aber seinen europäischen Chef-Lobbyisten Richard Allan und eine Mitarbeiterin des Global Policy Teams.

In einem Kaffeehaus versuchten die beiden, den Studenten von einer Klage abzubringen. Außerdem richtete das Unternehmen ein eigenes Team für Datenanfragen ein. Denn Schrems ist längst nicht mehr der einzige, der bei Facebook nach Daten fragt. 44.000 Menschen sind dem Aufruf von "Europe versus Facebook" gefolgt, es ihm gleich zu tun. Aber Facebook wurde vorsichtiger, schickte immer weniger Daten. Und die verärgerten Nutzer beschwerten sich.

Das neue Tool als "Nutzerverarsche"

Mitte des Monats gab Facebook scheinbar dem Druck nach: Ein neues Tool sollte "den Download von mehr Daten ermöglichen". "Nutzerverarsche", nennt Schrems das auf seiner Homepage. Denn es stünden nur weniger als die Hälfte der über die Nutzer gespeicherten Datenkategorien zur Verfügung. Außerdem seien es keine Rohdaten mehr, so wie er sie damals erhalten hat. "Daran kann man nicht mehr erkennen, ob gelöschte Infos weitergespeichert werden."

Es scheint, als stünden alle auf der Seite des Studenten. Alle, bis auf die irische Datenschutzbehörde. Die weigert sich, eine formelle Entscheidung zu treffen, ob die Datenpraktiken des Konzerns nun legal sind oder nicht. Nach den Unternehmensprüfungen hat sie lediglich vorsichtig formulierte Empfehlungen ausgesprochen, die nicht rechtsverbindlich sind.

Und selbst an die hat Facebook sich nicht gehalten: Bis Ende März hätte das Unternehmen unter anderem seine Datenschutzrichtlinie vereinfachen sollen - geschehen ist nichts. Die Iren wollen das Netzwerk und andere Konzerne wie Google oder IBM wohl nicht von der Insel vertreiben, mutmaßt Schrems. Gerade in einer Zeit, in der Arbeitsplätze und Geld in Irland so dringend gebraucht würden. Seit Ende 2010 wirtschaftet Irland mit Hilfskrediten der anderen Euro-Länder.

Handelt Irlands Datenschützer ohne gesetzliche Grundlage?

Ohne eine formelle Entscheidung der Behörde kann Schrems aber keine weiteren rechtlichen Schritte gegen den Konzern einleiten. Deshalb wollte er jetzt einen Beschluss beantragen; das ermöglicht ihm das irische Gesetz, sagt er. Doch die irischen Datenschützer sind da anderer Meinung: Bis Ende des Monats werde man erst einmal abwarten, ob Facebook nicht doch noch die Empfehlungen umsetzt, ließen sie ihn wissen. Strafen für die nicht eingehaltene Frist gibt es keine.

Der Süddeutschen Zeitung teilte die Behörde mit, dass der Student keinen Antrag auf formelle Entscheidung stellen könne, bis die Frist für alle Empfehlungen im Sommer abgelaufen ist. "Die handeln da ohne gesetzliche Grundlage", sagt Schrems, der die irische Gesetzgebung detailliert studiert hat; die Behörde dürfe einen Antrag nicht aufschieben. An Aufgeben denkt er nicht - und bis jetzt hat er immer Mittel gefunden, sein Recht durchzusetzen.

Zur SZ-Startseite

Lesen Sie mehr zum Thema

Jetzt entdecken

Gutscheine: