Facebook droht ein langwieriges Gerichtsverfahren in Europa: Die österreichische Studentengruppe "Europe-v-Facebook" wirft dem größten sozialen Internet-Netzwerk mangelnden Datenschutz vor und will vor Gericht ziehen.
In dem seit August 2011 laufenden Verfahren einer Studentengruppe aus Österreich gegen Facebook wegen Verletzung der europäischen Datenschutzgesetze durch den US Konzern ist der nächste Schritt getan. Die Studentengruppe veröffentlicht heute einen „Gegenbericht“ von über 70 Seiten in welchem alle Probleme minutiös abgearbeitet werden.
Die irische Datenschutzbehörde hatte zuvor das Beschwerdeverfahren der Studenten gegen Facebook unterbrochen und ein eigenes Untersuchungsverfahren geführt, welche zu mehreren Berichten und einigen „unverbindlichen Empfehlungen“ führte. Nach diesem Zwischenschritt wurde die Studentengruppe zur Stellungnahme aufgefordert, welche nun in Form des „Gegenberichts“ vorliegt.
Max Schrems (Sprecher von „europe-v-facebook.org“): „Die von uns ausgelöste Untersuchung brachte viele Erfolge, so musste Facebook den Nutzern mehr Daten rausrücken, die Gesichtserkennung abschalten oder Löschungsfristen verkürzen. Auch die Datenschutzrichtlinie wurde geändert.“ und „Generell hat die Arbeit der irischen Behörde schon viele Schritte in die richtige Richtung gebracht, was man auch ausdrücklich anerkennen muss“, so Schrems. Der „Gegenbericht“ geht aber nun unter die Oberfläche:
Schlampig und weit weg vom Gesetz
Nach genauer Analyse der Tätigkeit der irischen Behörde, wurde klar, dass die Behörde zwar Schritte in die richtige Richtung durchsetzen konnte, aber im Detail oft schlampig und ungenau gearbeitet hat. Schrems: „In vielen Fällen fragt man sich, ob die Behörde auch nur irgendwas ordentlich überprüft hat, oder Facebook einfach blind vertraute. Teilweise hat Facebook der Behörde auch einfach etwas vorgespielt und diese eiskalt an der Nase herumgeführt.“
In vielen Punkten weicht die irische Behörde massiv von EU Recht ab. Schrems: „Wir haben uns strikt an die Rechtsansichten des gemeinsamen Gremiums der europäischen Datenschutzbehörden gehalten (Anm.: „Art. 29 Gruppe“). Was die Iren behaupten ist oft meilenweit vom Rest der EU entfernt.“ Andere Datenschutzbehörden kritisieren die irischen Kollegen hinter vorgehaltener Hand oder sogar öffentlich.
In Irland haben (aus Steuergründen) viele amerikanische IT Unternehmen ihren internationalen Hauptsitz. Die irische Behörde hat nur 21 Mitarbeiter, davon keinen einzigen Juristen oder Techniker. Schrems: „Man muss die irische Behörde verstehen: Sie sind von Facebook mit unzähligen Anwälten überrollt worden. Auf der anderen Seite haben wir in der EU aber auch ein Grundrecht auf Datenschutz und bei Grundrechten hört sich unser Verständnis für halbe Lösungen auf.“
Viele Scheinlösungen
In vielen Punkten hat es Lösungen gegeben, aber meistens bleiben diese am halben Weg stecken. So haben die 40.000 Nutzer, die das Recht auf Auskunft ausgeübt haben, bis dato keine Chance alle Daten zu erhalten. Facebook überschreitet die gesetzliche Frist von 40 Tagen nun schon um das 13-fache. Im Test haben die „Auskunftstools“ von Facebook oft nur weiße Seiten produziert. Schrems: „Man fragt sich wer das überprüft und abgenommen hat.“ Bei der Gesichtserkennung ist vollkommen unklar warum diese nur für EU/EWR Bürger deaktiviert wurde, den Irland ist für alle Nutzer außerhalb der USA und Kanada zuständig. Zusätzlich ist die technische Umsetzung des „Gesichtserkennungsverbots“ unklar. Schrems: „Schweizer Bürger oder Leute aus Südamerika werden sich schön bedanken, dass die Iren sie nicht schützen. Außerdem ist es unklar wie es technisch umzusetzen ist, denn ich muss ja Personen in einem Bild erst mal identifizieren, um dann abzuklären ob es ein EU-Bürger ist und ob dieser zugestimmt hat. Das ist in der Praxis nicht umsetzbar.“
Bei anderen Fragen, wie der Datensicherheit, beruft sich ein beigezogener „externer Sachverständiger“ auf unüberprüfte Angaben von Facebook. Wenn die Facebooks Angaben stimmten, dann wäre die Plattform sicher, schreibt dieser. Überprüft wurde den diese Angaben aber nie. Der Experte argumentiert er hatte in den Medien noch nichts von Datenlecks bei Facebook gelesen, daher gäbe es keinen Grund zum Zweifel. Schrems: „Das ist wie wenn ein Bautechniker sagt, dass so lang er in der Zeitung nichts vom Einsturz einer Brücke gelesen hat, wird diese schon sicher sein. Abgesehen davon gab es genug Vorfälle wo Facebook Nutzerdaten abhandengekommen sind.“
Die Sachverständigenfirma „FTR Solutions“ scheint eine ‚Postkastenfirma‘ zu sein. Auf der Webseite findet man keine Adresse und die URL ist auf ein Unternehmen in Florida zugelassen. Im irischen Firmenregister ist der Firmenname unter einer Wohnadresse in einem kleinen Dorf zu finden .
Nächste Schritte
Wir werden jetzt die Behörde abermals auffordern uns die notwendigen Unterlagen und Beweise zu geben. Bisher verweigert die Behörde jede Akteneinsicht. Danach werden wir eine formelle und rechtsgültige Entscheidung aller Anzeigen verlangen. Schrems: „Nach über einem Jahr wird es Zeit Nägel mit Köpfen zu machen und eine verbindliche Entscheidung in Irland zu bekommen.“
Gerichtsverfahren erwartet
Obwohl wir auf eine günstige Entscheidung hoffen, müssen wir nach der bisherigen Erfahrung damit rechnen, dass die Behörde in vielen Punkten nicht im Sinne der Nutzer entscheiden wird. Schrems: „Wir haben dann nach irischem Recht nur 21 Tage Zeit für eine Berufung und das Kostenrisiko liegt bei € 100.000 - € 300.000. Eine Prozesskostenbegrenzung oder Prozesskostenhilfe gibt es nicht. Wer also nicht zufällig ein überfülltes Konto hat, muss vorsorgen oder schaut durch die Finger.“ Gleichzeitig wär ein Gerichtsverfahren gegen Facebook ein extrem weitreichendes Musterverfahren. Schrems: „Wenn wir die Sache vor die Gerichte bekommen, dann würde das mit großen Chancen sogar bis zum Europäischen Gerichtshof gehen. Eine Entscheidung dort hätte Signalwirkung für die gesamte Online Industrie, ähnlich wie damals die Microsoft-Entscheidungen im Kartellrecht. Für den Fall Facebook alleine, würde sich ein solches Verfahren für uns eher nicht auszahlen.“
Spendenplattform eingerichtet
Um diese unglaublichen Gerichtskosten zu finanzieren, hat der gemeinnützige Verein „europe-v-facebook.org“ eine „Crowd Funding“ Plattform eingerichtet. Unter www.crowd4privacy.org können Nutzer kleine Beiträge spenden. Wird nicht genug Geld gesammelt, oder wird nicht alles gebraucht, können die Spender ihr Geld sogar zurückbekommen. Zusätzlich werden alle Zahlungen aus den Spenden online veröffentlicht. Schrems: „Wir wollten eine möglichst transparente Spendenaktion machen. Das ist auch Selbstschutz, denn wir wollen klarstellen, dass wir daran nichts verdienen.“ Das Ziel von €100.000 bis € 300.000 ist sehr ambitioniert. Schrems: „Durchschnittlich haben die Leute bisher € 20 gespendet. Wenn wir 5.000 Unterstützer finden, dann können wir die wichtigsten Dinge vor die Gerichte bringen. Wenn wir sogar 15.000 Leute finden können wir aus allen Kanonen schießen. Wenn es nicht funktioniert, dann haben wir zumindest alles versucht.“
