Max Schrems

Max Schrems (2016)

Maximilian „Max“ Schrems (* 1987[1] in Salzburg) ist ein österreichischer Jurist, Autor und Datenschutzaktivist.[2] Er konnte mit seiner Klage vor dem Europäischen Gerichtshof (EuGH) das transnationale Safe-Harbor-Abkommen[3] zwischen der EU und den USA und den EU-US Privacy Shield[4] beenden, was als starkes Signal für den Grundrechtsschutz in Europa angesehen wird. Er ist Vorstandsvorsitzender der Initiative NOYB, die sich der Durchsetzung von Datenschutzrechten verschrieben hat.

Leben

Schrems wuchs in Salzburg auf und besuchte dort das Bundesrealgymnasium Akademiestraße, an dem er maturierte.[5] 2005 absolvierte er mit AFS ein Auslandssemester in den USA. Von 2005 bis 2010 war er im Vorstand von AFS Österreich.[6] Im Jahr 2007 zog Schrems nach Wien, um dort an der Universität Wien Rechtswissenschaften zu studieren. In seinem Studium beschäftigte er sich vorwiegend mit IT-Recht und Datenschutz. Im Jahr 2011 veröffentlichte er eine Monographie über die rechtliche Lage der Videoüberwachung in Österreich. Im Zuge eines Auslandssemesters an der Santa Clara University in Kalifornien traf er auf Vertreter des US-Konzerns Meta Platforms (vormals Facebook Inc.), was zur Beschäftigung mit Facebook führte. Nachdem er Projektassistent an der Universität Wien gewesen war,[7] schloss er im Jahr 2012 sein Studium ab.[8]

Im Juli 2017 wurde bekannt, dass Schrems die Partei NEOS beim Thema Digitalisierung berät.[9] Bei der Nationalratswahl in Österreich 2017 war er im überparteilichen Personenkomitee von Christian Kern (SPÖ).[10]

Projekte

europe-v-facebook.org

Max Schrems (2012)

Am 18. August 2011 wurden 16 Anzeigen beim irischen Data Protection Commissioner (DPC) eingebracht. Weitere sechs folgten am 19. September 2011. Diese wurden von Schrems auf der Webseite europe-v-facebook.org gemeinsam mit den jeweiligen Unterlagen veröffentlicht.[11] Der DPC veröffentlichte am 21. Dezember 2011 einen ersten Bericht. Am 6. Februar 2012 traf sich Schrems mit Vertretern von Facebook in Wien zu Verhandlungen,[12] da das irische Verfahrensrecht zunächst eine gemeinsame Lösung der Streitsache durch Beteiligung der beiden Streitparteien vorsieht. Zwischen Jänner und Juli wurde versucht, Akteneinsicht zu bekommen, die jedoch bis zuletzt von der irischen Behörde nicht gewährt wurde. Am 21. September 2012 wurde vom DPC ein Review veröffentlicht, in dem Facebook bescheinigt wird, die Vorschläge eingehalten zu haben. Daraufhin wurde am 4. Dezember 2012 ein Gegenbericht mit diversen Anträgen eingebracht, der von der Behörde nicht bearbeitet oder kommentiert wurde. Am 28. August 2013 wurde auf Drängen des DPC ein Antrag auf eine Entscheidung eingebracht, obwohl zuvor keine Akten oder Beweise zugänglich gemacht wurden. Die Beschwerden wurden im Juli 2014 nach gut drei Jahren zurückgezogen, da laut Schrems keine Aussicht auf eine Entscheidung bestand und sich die Datenschutzbehörde weiter weigerte, Akteneinsicht zu gewähren oder eine Entscheidung zu fällen.[13]

PRISM / Safe Harbor

Die EU-Kommission hatte im Jahr 2000 die Safe-Harbor-Regeln für den sicheren Datenhafen ersonnen – sensible Daten sollten auch außerhalb der EU weiterverarbeitet werden dürfen, wenn bestimmte Grundsätze eingehalten werden. Auch nachdem Edward Snowden 2013 geschildert hatte, dass US-Geheimdienste wie die NSA und andere Behörden ungehindert auf Server von US-Konzernen wie Facebook und Google zugreifen können, wurde vonseiten der Politik und der Wirtschaft an Safe Harbor festgehalten.

Am 25. Juni 2013 wurden im Zuge der Aufdeckung von PRISM neue Anzeigen gegen die europäische Tochter Facebook Ltd. in Irland[14] und Apple[15] beim irischen DPC eingebracht. Gleichlautende Anzeigen gegen Microsoft,[16] Skype[17] und Yahoo[18] wurden bei der Nationalen Kommission für den Datenschutz in Luxemburg und beim Bayerischen Landesamt für Datenschutzaufsicht eingebracht. Letztere wurde an den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) weitergeleitet.

Der irische DPC antwortete im Schreiben vom 23. Juli 2013, dass kein Verfahren eröffnet werde, da die Beschwerde unsinnig, sinnlos und unseriös („frivolous“) sei. Die Behörde berief sich dabei auf das bestehende Safe-Harbor-System. Schrems verklagte die irische Datenschutzbehörde auf Bearbeitung seiner Beschwerde. Der Fall wurde vom irischen High Court dem Europäischen Gerichtshof zur Entscheidung vorgelegt.[19][20]

Am 23. September 2015 gab der Generalanwalt des EuGH bekannt, dass er den derzeitigen Datentransfer aus der EU in die USA für nicht zulässig halte, und stellte das Safe-Harbor-Abkommen infrage.[21][22] In seinem Urteil vom 6. Oktober 2015 folgte der EuGH dieser Ansicht: Er erklärte das Abkommen für ungültig und die derzeitige Praxis für rechtswidrig.[3] Schrems erklärte dazu: „Das Urteil zeigt, dass die Massenüberwachung unsere fundamentalen Rechte verletzt.“ Er hoffe, dass es einen Meilenstein für die gesamte Online-Privatsphäre bedeute.[23]

Schrems gründete 2012 den Verein zur Durchsetzung des Grundrechts auf Datenschutz „europe-v-facebook.org“. Er sammelt Spenden über die Plattform „crowd4privacy.org“, um beispielsweise das Vorgehen gegen Safe Harbor zu finanzieren.

Über dessen Nachfolger Privacy Shield und das weitere Vorgehen dagegen berichtete Schrems 2017 auf dem Hacker-Kongress 34C3.[24] Die irische Datenschutzbehörde sah weiteren Klärungsbedarf zur Anwendung von EU-Recht und verwies den Fall wieder zum EuGH, wo am 9. Juli 2019 das Verfahren mit einer Anhörung fortgesetzt wurde.[25]

Sammelklage in Wien

2014 wurde in Wien eine Sammelklage gegen Facebook in Irland eingebracht.[26] Der Sammelklage schlossen sich 25.000 Personen an.[27] Nutzer von Facebook konnten ihre Ansprüche auf fbclaim.com an Schrems abtreten, der diese kostenlos für die Nutzer einklagt.[28] Diese Art der Klagenhäufung ist in Österreich als „Sammelklage österreichischer Prägung“ möglich und erlaubt es, die komplexen Sachverhalts- und Rechtsfragen in einem konzentrierten Verfahren zu erledigen. Strittig war die Zuständigkeit der österreichischen Gerichte in diesem Fall. Im Jänner 2018 stellte der vom OGH um eine Stellungnahme ersuchte EuGH fest, dass bei Rechtsnachfolge kein Verbrauchergerichtsstand in Wien geltend gemacht werden kann. Eine Sammelklage in Wien war daher mangels Zuständigkeit der österreichischen Gerichte nicht mehr möglich.[29]

LobbyPlag.eu

In Zusammenarbeit mit OpenDataCity wurde das Projekt LobbyPlag.eu betrieben. Die Plattform deckte 2013 auf, dass EU-Parlamentarier Änderungsvorschläge zur europäischen Datenschutz-Grundverordnung wortgleich aus Lobby-Papieren übernommen hatten.[30] Die Initiative löste vor allem innerhalb des Europäischen Parlaments eine Debatte über den Umgang mit Lobbyismus aus.[31]

In einer zweiten Version wertete LobbyPlag.eu die über 3.100 Abänderungsanträge zur Datenschutz-Grundverordnung aus und zeigte damit, welche EU-Parlamentarier sich für mehr oder weniger Datenschutz einsetzten. Ziel war es, der Öffentlichkeit einen Einblick in die unübersichtliche Flut von Abänderungen zu bieten. Dies führte unter anderem zu einem Skandal in Belgien, wodurch der belgische EU-Abgeordnete Louis Michel einen großen Teil seiner Abänderungen zurücknehmen musste.[32]

NOYB

Im November 2017 gründete er die Datenschutz-NGO NOYB – Europäisches Zentrum für Digitale Rechte. NOYB steht dabei für „none of your business“ ‚Das geht dich nichts an‘. Die Initiative soll gegen Datenschutzverletzungen von Unternehmen vorgehen.[33][34][24]

Privacy Shield

Am 16. Juli 2020 kippte der Europäische Gerichtshof (EuGH) in seinem Urteil die EU-US-Datenschutzvereinbarung „Privacy Shield“.[35] Schrems hatte bei der irischen Datenschutzbehörde beanstandet, dass Facebook Irland seine Daten an den Mutterkonzern in den USA weiterleitet. Daraufhin wendete sich ein irisches Gericht an den EuGH, der entscheiden sollte, ob die Standardvertragsklauseln und der EU-US-Datenschutzschild („Privacy Shield“) mit dem europäischen Datenschutzniveau vereinbar sind. Die Richter in Luxemburg erklärten den „Privacy Shield“ für ungültig. Mit Blick auf die Zugriffsmöglichkeiten der US-Behörden seien die Anforderungen an den Datenschutz nicht gewährleistet. Zudem sei der Rechtsschutz für Betroffene (Recht auf einen wirksamen Rechtsbehelf[35]) unzureichend.[4]

KSV1870

2024 zeigte Schrems den KSV1870 an, da dieser ihre Kunden in die Irre führe. Eine Auskunft des KSV muss bei einigen Behörden vorgelegt werden, um die eigene Bonität zu beweisen. In der DSGVO ist verankert, dass jeder kostenlos Zugriff auf alle Daten erhalten muss, die ein Unternehmen über ihn gespeichert hat. Dieser Verpflichtung kommt der KSV laut Schrems nur unzureichend nach, da dieser den kostenpflichtigen „InfoPass“ exzessiv auf der eigenen Seite bewerbe und auf der kostenlosen Auskunft geschrieben steht, diese sei nicht zur Weitergabe an Dritte bestimmt. Laut Schrems ist diese Taktik irreführend und somit gesetzeswidrig.[36]

Schriften

Auszeichnungen und Ehrungen

Commons: Max Schrems – Sammlung von Bildern, Videos und Audiodateien

Einzelnachweise

  1. Max Zierer: Netzlexikon: M wie Max Schrems. In: br.de. 16. September 2016, abgerufen am 5. April 2024.
  2. Max Schrems: Sein Gegner heißt Facebook. Kleine Zeitung, 7. Februar 2012, abgerufen am 27. Januar 2018.
  3. a b „Safe Harbor“: EuGH erklärt Datenabkommen mit USA für ungültig. Spiegel Online; abgerufen am 6. Oktober 2015.
  4. a b Erfolg für Schrems: EuGH kippt Datentransferabkommen mit USA. ORF, 16. Juli 2020, abgerufen am 16. Juli 2020.
  5. ELSA. Archiviert vom Original am 20. Oktober 2013; abgerufen am 5. August 2013.
  6. Juristl 04/12. (PDF; 1,3 MB) Archiviert vom Original am 20. Oktober 2013; abgerufen am 19. Oktober 2013.
  7. Arbeitsgruppe Rechtsinformatik. Abgerufen am 19. Oktober 2013.
  8. FOR-net. 2000, archiviert vom Original am 20. Oktober 2013; abgerufen am 5. August 2013.
  9. Datenschutz-Aktivist Schrems hilft Neos bei „Chancen-Plan“. In: Die Presse. (diepresse.com [abgerufen am 21. Juli 2017]).
  10. Max Schrems hilft den Neos und unterstützt Kanzler Kern. In: Die Presse. 31. August 2017, abgerufen am 15. Februar 2018.
  11. Maximilian Schrems: Europe versus facebook Neuigkeiten. In: europe-v-facebook.org. 24. Januar 2018, abgerufen am 11. März 2018.
  12. Martin U. Müller: Kulturkampf ums Speichern. In: Der Spiegel. Nr. 24, 2014 (online).
  13. europe-v-facebook Anzeigen. Abgerufen am 5. August 2013.
  14. europe-v-facebook. (PDF; 544 kB) Abgerufen am 5. August 2013.
  15. europe-v-facebook Apple (Complaint against “Apple Distribution International”). 25. Juni 2013 (englisch, europe-v-facebook.org [PDF; abgerufen am 5. August 2013]).
  16. europe-v-facebook Microsoft (Antrag auf Einhaltung meiner Grundrechte (Art 32 Abs 4 DSG)). (PDF) In: europe-v-facebook.org. 25. Juni 2013, abgerufen am 5. August 2013.
  17. europe-v-facebook Skype (Antrag auf Einhaltung meiner Grundrechte (Art 32 Abs 4 DSG)). (PDF) 26. Juni 2013, abgerufen am 5. August 2013.
  18. europe-v-facebook Yahoo! (Beschwerde gegen die „Yahoo! Deutschland GmbH“). (PDF) 25. Juni 2013, abgerufen am 5. August 2013.
  19. EuGH Fall C-362/14. Abgerufen am 16. Oktober 2014.
  20. Johannes Wendt, Patrick Beuth: Angriff auf Safe Harbor. In: Zeit Online. 24. März 2015, abgerufen am 27. Januar 2018.
  21. EuGH-Generalanwalt hält Datentransfer von EU in USA für ungültig. Abgerufen am 23. September 2015.
  22. Salzburger Nachrichten: Salzburger Klage gegen Facebook: Etappensieg für Max Schrems. Abgerufen am 23. September 2015.
  23. Max Schrems gegen Facebook: der David der digitalen Welt. Hannoversche Allgemeine, 6. Oktober 2015, abgerufen am 7. Oktober 2015.
  24. a b Maximilian Schrems: Privacy Shield – Lipstick on a Pig? In: 34C3. media.ccc.de, 30. Dezember 2017, abgerufen am 31. Dezember 2017 (englisch, Video).
  25. Monika Ermert: Schrems vs. Facebook: Der EuGH hat wieder das Wort. In: heise online. 10. Juli 2019, abgerufen am 14. Juli 2019.
  26. europe-v-facebook Sammelklage. Abgerufen am 17. Oktober 2014.
  27. 25.000 gegen Facebook. Max Schrems Prozess beginnt. In: Spiegel Online. 9. April 2015, abgerufen am 9. August 2023.
  28. Maximilian Schrems: facebook class action: Updates / Media. In: fbclaim.com. 4. November 2017, abgerufen am 31. Dezember 2017.
  29. Daniel AJ Sokolov: Niederlage für Max Schrems: EuGH lehnt Sammelklage gegen Facebook ab. In: Heise online. 25. Januar 2018, abgerufen am 27. Januar 2018.
  30. Jakob Steinschaden: Langeweile wird das Ende von Facebook sein. Netzpiloten.de, 21. Juni 2013, abgerufen am 31. Dezember 2017.
  31. EU Observer. Abgerufen am 19. Oktober 2013.
  32. EUobserver. Abgerufen am 29. Januar 2014.
  33. Schrems gründet in Wien Datenschutz-NGO „noyb“. In: diePresse.com/APA. 28. November 2017, abgerufen am 7. Dezember 2017.
  34. Allegra Pirker: Privatsphäre als Realität. In: Frankfurter Allgemeine Zeitung. 2. Dezember 2017, abgerufen am 7. Dezember 2017.
  35. a b EuGH, Urteil vom 16. Juli 2020, Facebook Ireland und Schrems, Rechtssache C‑311/18, ECLI:EU:C:2020:559.
  36. ORF at/Agenturen red: Datenschützer Schrems klagt Kreditschutzverein KSV1870. 4. Januar 2024, abgerufen am 25. Januar 2024.
  37. Big Brother Awards: Die Gewinner stehen fest. Abgerufen am 19. Oktober 2013.
  38. Salzburger Fenster. (PDF) S. 3, archiviert vom Original am 22. Mai 2014; abgerufen am 22. Mai 2014.
  39. EPIC.org. Abgerufen am 5. August 2013.
  40. Privacy Activist Max Schrems Receives Internet and Society Award from the Oxford Internet Institute. In: OII Internet Awards. Archiviert vom Original am 4. März 2016; abgerufen am 17. Oktober 2014 (englisch).
  41. Mutmacher des Monats: Ein Europäer gegen Facebook In: Finanztest 5/2014 und test.de am 22. April 2014.
  42. Pressemitteilung Jubiläumspreisverleihung 4. Mai 2015 (Memento vom 15. August 2015 im Internet Archive), abgerufen am 17. Mai 2015
  43. EFF Announces 2016 Pioneer Award Winners. Electronic Frontier Foundation, 9. August 2016, abgerufen am 18. Januar 2017.
  44. Maximilian Schrems. Forbes, 2017, abgerufen am 18. Januar 2017.
  45. Bundespreis Verbraucherschutz 2019 – Preisträger Maximilian Schrems. Deutsche Stiftung Verbraucherschutz, 2019, abgerufen am 5. Dezember 2019.
Personendaten
NAME Schrems, Max
ALTERNATIVNAMEN Schrems, Maximilian (vollständiger Name)
KURZBESCHREIBUNG österreichischer Jurist, Autor und Datenschutzaktivist
GEBURTSDATUM 1987
GEBURTSORT Salzburg