Hinweis zu Affiliate-Links: Alle Produkte werden von der Redaktion unabhängig ausgewählt. Im Falle eines Kaufs des Produkts nach Klick auf den Link erhalten wir ggf. eine Provision.

Dein Freund und Spitzel: Ein Besuch bei Facebook-Ankläger Max Schrems

von Joachim Hentschel
Sorry, wo kriegt man hier seine Daten zurück? Wir haben Facebook-Ankläger Max Schrems in Wien getroffen und mit ihm über seinen Kampf um persönliche Daten gesprochen. Ein Jahr später gibt es Neuigkeiten.

Update 14.09.2016: Mit einer Klage gegen Facebook landet der Datenschutzaktivist Max Schrems noch einmal vor dem Europäischen Gerichtshof (EuGH): Österreichs Oberster Gerichtshof will eine Entscheidung darüber, ob eine Sammelklage wie die von Schrems mit 25.000 anderen Verbrauchern aus ganz Europa in Wien mit europäischem Recht vereinbar ist.

Schrems will gegen die Datenschutzpraxis des sozialen Netzwerks vorgehen, das Nutzerdaten nicht ausreichend schütze. Das Landgericht Wien hatte im Sommer 2015 die Klage abgewiesen. Es sei nicht zuständg. Dann hatte das Oberlandesgericht in Wien einige Monate später die Berufung nur teilweise zurückgewiesen: Schrems dürfe zwar Facebook als Einzelperson verklagen, jedoch nicht zusammen mit 25.000 anderen. Schrems gab sich damit nicht zufrieden. Der OGH will nun eine Klärung auf europäischer Ebene.

Der Fall könnte nach Einschätzung des österreichischen Standard die Rechtsprechung in der EU verändern: Wenn der EuGH entsprechend entscheide, könnte es künftig EU-weite Sammelklagen geben. Es gehe darum, "ob Verbraucher tausende parallele Einzelverfahren vor tausenden Richtern und hunderten Gerichten in vielen verschiedenen Ländern führen müssen, oder ob man das in einem Verfahren gesammelt machen kann", zitiert die Zeitung den Anwalt Wolfram Proksch.

WIRED hat Max Schrems im Spätsommer 2015 besucht. Dieser Artikel erschien zuerst in der gedruckten Ausgabe des WIRED Magazins im September 2015. Wenn ihr die Ersten sein wollt, die einen WIRED-Artikel lesen, bevor er online geht: Hier könnt ihr das WIRED Magazin testen.

Max Schrems hat die weltberühmte Datei dabei. Er klappt den schwarzen Laptop auf, klickt das Dokument an. Es dauert einen Moment, bis die 496 Megabyte aufgehen. Draußen Brüllhitze, im Café im Wiener Museumsquartier rauchen die Leute beim Essen. „Zwei Jahre noch, maximal“, murmelt Schrems, der Jura-Doktorand, mit Blick auf die Kippen, „endlose Verbotsdebatte!“ Süffisant. So wie er an diesem Mittag durchweg leicht amüsiert wirkt, wenn er – zum dreihundertfünfzigsten Mal – von seinem Kampf erzählt. Nicht gegen Facebook, wie oft falsch berichtet wird. Sondern gegen die Brüche des europäischen Datenschutzrechts, die der Social-Media-Konzern nach Schrems’ Überzeugung begeht.

Fatalistisch klingt er nicht. Eher wie einer, der das volle Recht hat, über den Irrsinn auch zu lachen. Weil er ihn ja herausgefordert hat. Das PDF ist offen, 1222 Seiten. 57 Kapitel. „Target“, „Currency“, „Favourite Quotes“, „Last Location“. „Da rechnen sie deinen aktuellen GPS-Standort aus“, erklärt Schrems beim Durchscrollen, „anhand der letzten IP-Adresse, mit der du dich eingeloggt hast.“ Beendete und ausgeschlagene Freundschaften, Einladungen zu politischen Demos, zu denen er gar nicht gegangen ist, alles steht da.

2011, nach rund drei Jahren Mitgliedschaft, hatte er Auskunft über sämtliche Daten angefordert, die bei Facebook über ihn gespeichert sind. Die CD-ROM, die er bekam, enthielt die 1222 Seiten, davon allein 300 mit längst gelöschten Chats und Statusmeldungen. Ein Kapitel namens „Machines“ listet alle Computer auf, mit denen ein Nutzer sich irgendwann eingeloggt hat. Plus zu jedem davon die Klarnamen aller anderen, die je denselben Rechner dazu benutzt haben. Wenn man das erst mal ungeschwärzt auf Schrems’ Laptopbildschirm sieht, wird es einem richtig gruselig.


Dass Facebook damals einen so ausführlichen Auszug aus der Personalakte lustig verschickte, muss eine Panne gewesen sein. Wer sich über das offizielle Tool die eigenen Daten herunterlädt, bekommt nur einen Splitterteil dieser Informationen.
Medial war das PDF ein umso größerer Coup, ein „Stern TV“- und „Markus Lanz“-taugliches Ereignis: Schrems saß dort zwischen Ulrich Wickert und Germany’s Next Topmodel-Finalistin Marie Nasemann. Und er trieb den Fall weiter, nervtötend. Gründete einen Verein. Reichte bei der irischen Datenschutzaufsicht Klage gegen Facebook ein. Dann noch mal in Wien. Beide Versuche sind zwar im ersten Anlauf gescheitert, aber die Geschichte geht weiter, jenseits von Talkshows und Panorama-Aufmachern. Beim Wiener Oberlandesgericht läuft die Berufung. Ein Teil der irischen Klage wurde vom High Court an den Europäischen Gerichtshof überwiesen. Derweil sortiert Schrems Pläne für eine Datenschutz-NGO. Es wird bald News geben. „Bei amerikanischen Unternehmen herrscht ja die Meinung: In Europa kannst du beim Datenschutz treiben, was du willst, da passiert eh nichts“, sagt Schrems. „Nehmen wir mal an, es gäbe einen einzigen High-Profile- Case, der durchginge: Das wäre wie eine Schockwelle.“

Kein Missverständnis: Auch in den USA haben schon Leute probiert, gegen Facebook zu klagen. Im August 2014 forderte eine Frau aus Houston mehr als 120 Millionen Dollar Schadensersatz dafür, dass die Firma nicht gegen den Racheakt ihres Exfreundes eingeschritten war: Er hatte obszöne Fotos von ihr gepostet. Vier Monate später behaupteten zwei Nutzer, sie hätten Beweise, dass Facebook Privatnachrichten nach Links zu Werbekunden durchsuche und mit den Ergebnissen hausieren gehe. Von beiden Fällen hörte man nichts mehr.
Natürlich muss man sachlich bleiben, gerade bei einem so wohlfeilen Feindbild: Entschieden ist der Facebook- Kasus erst, wenn der Richter gesprochen hat. Obwohl einem so viel Fairness mitunter schwerfällt, wenn man erst die Details der Story von Max Schrems hört.

Will er Facebook zerstören? Nein. Er will, dass Facebook sich ändert

Schrems, 27, laut US-Wirtschaftsmagazin Forbes der „österreichische Stachel im Fleisch von Facebook“, hat eine Menge Punkte gesammelt. Die Ungültigkeit bestimmter Passagen der Facebook-AGB, das Tracking durch sogenannte Social Plug-ins, die Aktivierung der berüchtigten Suchmaschine Graph Search, bestimmte Big-Data-Auswertungen, mit denen geworben wird, den Beitrag zum PRISM-Programm und so weiter. Vor Gericht verargumentieren, sagt der junge Jurist, könnte er sie alle. Er muss nur erst bis zum Gericht kommen.
Will er Facebook zerstören? Nein. Er will, dass Facebook sich ändert.Und wenn man ein, zwei Schritte zurücktritt und aus der Distanz hinschaut, begreift man auch, um welche Frage es hier in Wirklichkeit geht. Um eine, die für die Zukunft der digitalen Privatsphäre essenziell sein wird. Eine glasklare Forderung, die wir aus pragmatischen Gründen fast schon aufgegeben haben: Wir wollen das Recht, auch im Internet Dinge rückgängig zu machen. Wir wollen das Eigentum an unseren Daten nicht immer nur behaupten, sondern auch wirklich ausüben. Die Rechte dazu besitzen wir. Wir wissen bloß nicht, wie wir sie durchsetzen sollen.
„Es geht ja gar nicht darum, was privat ist und was nicht“, sagt Schrems. „Sondern darum, ob ich selbst bestimmen kann, was für mich privat ist. Das gilt es zu schützen. Die Selbstbestimmung.“

Ein großer Facebook- Leuchtkopf ist Max Schrems nie. 2008 tritt er bei, als 21-jähriger Jura-Studienanfänger in Wien, kurz nach Start der deutschen Version. Postet höchstens einmal pro Woche, bemitleidet die Freunde, die beim Cocktailtrinken verzweifelt nach Gesprächsthemen suchen, die nicht schon online durchgekäst worden sind. Als er 2011 ein Auslandssemester in Santa Clara studiert, mitten im Silicon Valley, kommt Edward Palmieri, damals Vertreter der Facebook-Rechtsabteilung, für einen Gastvortrag. Wie ein unvermuteter, bestens getarnter Spitzel aus Europa hört Schrems, wie bestürzend wenig Ahnung der Experte vom internationalen Datenschutzrecht hat – das will er gegenchecken. Bis er die berühmte CD-ROM bekommt, muss der Student dem (für Europa zuständigen) Facebook-Filialisten in Dublin erst umständlich per Mail darlegen, was Auskunftspflicht heißt.

Es ist zäh, aber wichtig, die vielen, lästigen Details der folgenden Klagen durchzublättern. Viele Vorwürfe, die immer wieder gegen Schrems’ Aktion geschossen werden, lösen sich dann auf. Dass er sich wie ein gelangweilter Leserbrief-Rentner einfach aufs Nervensägen verlegt habe. Dass dies seine Personality-Show wäre. Dass es ums Geld ginge. Und plötzlich versteht man auch, warum der Fall sich zieht und zieht. Daran ist ja nicht allein Facebook schuld. Sondern auch die europäische Justiz.

„Das irische System, zum Beispiel, ist die reine Katastrophe“, sagt Schrems, und dabei vergeht auch ihm der abgewatscht-österreichische Sarkasmus. „Ein klassisches Multiorganversagen, kaputt, sauteuer. Du hast zwar wunderbare Grundrechte, aber du kommst nicht durch.“
Als er sich 2011 – kurz nach Erhalt der irren Datei – entschließt, den Fall bis vor die Autoritäten zu eskalieren, hat er prinzipiell zwei Möglichkeiten: die verwaltungsrechtliche oder die zivilrechtliche Klage. Also: entweder die direkte Beschwerde bei der zuständigen Aufsichtsbehörde. Oder eine Klage vor Gericht, auf Verletzung seiner Rechte. Er nimmt die erste Option. Adressat für seine Eingaben ist der Data Protection Commissioner, die nationale Datenschutzbehörde Irlands. Facebooks Europazentrale sitzt in Dublin. Verwaltungsrechtliche Verfahren müssen am Standort des Verursachers laufen.

Schrems gründet den Verein „Europe versus Facebook“, schickt im August und September 2011 separate Anzeigen zu insgesamt 22 Streitpunkten an die irische Behörde. Die reagiert im Dezember mit einem Bericht, fordert Facebook zu Nachbesserungen auf. Schrems reicht das nicht, er wittert Beschwichtigung, beantragt eine formelle Entscheidung, die den Fall vor ein irisches Gericht bringen könnte. Das Dubliner Amt verschleppt. Lässt ein Gutachten folgen, das Facebook praktisch reinwäscht. Gegenanträge. Wieder Wartezeiten. Mauertaktik. Ende Juli 2014 zieht Schrems dann alle 22 Beschwerden zurück.
„Lieber nach drei Jahren abbrechen“, sagt er heute, „als nach fünf Jahren eine Schwachsinns-Entscheidung kassieren zu müssen.“ Amerikanische Journalisten rufen ihn an, fragen: „Wozu habt ihr eigentlich dieses Datenschutzrecht? Wegen der Nazis oder wegen der Kommunisten?“

Zurück ins Frühjahr 2014. Eine Möglichkeit bleibt: die Klage nach Zivilrecht. Schrems könnte versuchen, Facebook selbst vor Gericht zu bringen, ohne Hilfe der Datenschützer. Nachteil: höhere Prozesskosten. Vorteile: Ein Gericht darf Fälle nicht versanden lassen. Und eine Zivilrechtsklage kann, wenn es um private Angelegenheiten von Verbrauchern geht, am Schadensort geführt werden. Also in Wien. Dass dabei kalifornisches Zivilrecht gelten soll, das Entschädigungen explizit auch für nicht-materielle Schäden vorsieht (so wie Datenmissbrauch), hat sich Facebook gleich selbst in die AGB geschrieben. Ziemlich praktisch für den Kläger.

Das bringt Schrems auf die nächste Idee. Angenommen, er würde gegen Facebook gewinnen – dann könnte das Unternehmen sich leicht aus der Schusslinie ziehen, indem es nur dessen, also Schrems’ Daten löschen würde. Aber was, wenn mehrere Tausend Menschen gemeinsam vor Gericht ziehen? Österreich erlaubt (anders als zum Beispiel Deutschland) Sammelklagen, Schrems müsste nur Gleichgesinnte finden, die ihre Ansprüche an ihn abtreten.
Anfang August 2014, direkt nach dem Rückzug der Irland-Klagen, startet auf der Homepage von „Europe vs. Facebook“ ein Aufruf. Zeitweise melden sich pro Stunde 700, 800 Leute an. Nur wenigen scheint es um die 500 Euro pro Person zu gehen, die Schrems als symbolische Schadenssumme festgesetzt hat. Nachdem er 25 000 Teilnehmer gegengecheckt hat, schließt er die Anmeldung. Weitere 50 000 behält er in der Hinterhand.

Was keiner ahnt, zumindest kein Nicht-Jurist: Die Sammelklage liegt zu dem Zeitpunkt längst beim Wiener Gericht. Mit Schrems als Kläger und sieben guten Freunden als Mini-Back-up. Das Risiko, Facebook könnte nach Bekanntwerden der Aktion schnell an irgendwelchen Schrauben drehen, will er ausschließen. Die 25 000 sollen später nachnominiert werden, das geht.


Natürlich geht es nicht um 12,5 Millionen Euro, die Facebook kaum schaden. Sondern ums Prinzip, ums Zeichenhafte, um die Präzedenz. Ein politischer Fall. Was ihn, man kann es sich denken, bei Richtern nicht beliebter macht.
9. April 2015: der Verhandlungstermin für die Sammelklage, Landesgericht für Zivilrechtssachen in Wien. Allein die erste Vernehmung von Schrems dauert zwei Stunden, das Foyer ist voller Fotografen. Anfang Juli wird das schriftliche Urteil öffentlich: Klage abgewiesen, nicht zuständig. Die Richterin argumentiert, Schrems habe seinen Feldzug gegen den Konzern professionalisiert, reise als Redner zum Thema durchs Land und ziehe daraus ja irgendwie auch beruflichen Nutzen. Daher müsse er in der Rolle des Unternehmers klagen. Das geht nur am Standort der beklagten Firma, in Dublin. Zum Inhalt der Klage wird nichts gesagt.

„Wenn du das Urteil liest, merkst du: Sie wollte das Ding um jeden Preis loswerden“, meint Schrems. Die WIRED-Anfrage an den Wiener Anwalt, der Facebook vertritt, wird erst zur Facebook- Pressestelle nach Hamburg weitergeleitet, dann zu einer Berliner Kommunikationsagentur. Die Agentur schickt eine vorformulierte Stellungnahme des Konzerns, in der Schrems’ Aktion ein „Kreuzzug gegen Facebook“ genannt wird, seine Anträge „sinnloses Prozessieren“ und eine „professionelle juristische Kampagne“. Auch auf einige inhaltliche Punkte geht die Erklärung kurz ein: Beispielsweise habe Mark Zuckerberg schon 2013 abgestritten, je mit der NSA kooperiert zu haben. Sinngemäß: Das müsste als Beweis doch reichen.

Juristen checken oft nicht,was technisch abgeht und Techniker wissen nicht, was legal ist und was nicht

Max Schrems


Man wüsste zu gern, was passieren würde, wenn Max Schrems seine Argumente und Beweismittel tatsächlich vor einem Gericht ausbreiten könnte. Es bleibt das Ziel der langen, atemraubenden Geschichte, und ausgeschlossen ist es nicht. In einem Nebenstrang brachte er einen Punkt aus der abgepfiffenen Dubliner Klage nämlich schon 2014 vor den irischen High Court, von dort ging er zum Europäischen Gerichtshof: Gilt das Safe-Harbor-Abkommen, das den Datentransfer von Europa in die USA erlaubt, auch im Fall Facebook?
Auf die Entscheidung wartet er im Herbst 2015 ebenso wie auf die Berufung zum Wiener Urteil. Im Rekursschreiben hat er extra einen Präzedenzfall erwähnt, in dem es um einen Gärtner ging, der tiefgekühltes Pferdesperma bestellt hatte. Auch Juristerei soll zwischendurch Spaß machen.
„Wir brauchen so etwas wie eine Stiftung Warentest fürs Internet“, sagt Max Schrems. „Das Problem ist: Die Juristen checken oft nicht, was technisch abgeht – und die Techniker wissen nicht, was legal ist und was nicht. Man muss das Know-how kombinieren.“

Seine Facebook-Seite hat er noch. Am Ende ist das ja die grundsätzlichste, gar nicht so naheliegende Erkenntnis, zu der jeder kommt, der sich derzeit mit dem Wandel der Privatsphäre beschäftigt: Keine Daten sind heute auch keine Lösung mehr.

Hier geht's zum großen Privatsphäre-Dossier der aktuellen WIRED.

GQ Empfiehlt