Max SchremsMaximilian „Max“ Schrems (* 1987[1] in Salzburg) ist ein österreichischer Jurist, Autor und Datenschutzaktivist.[2] Er konnte mit seiner Klage vor dem Europäischen Gerichtshof (EuGH) das transnationale Safe-Harbor-Abkommen[3] zwischen der EU und den USA und den EU-US Privacy Shield[4] beenden, was als starkes Signal für den Grundrechtsschutz in Europa angesehen wird. Er ist Vorstandsvorsitzender der Initiative NOYB, die sich der Durchsetzung von Datenschutzrechten verschrieben hat. LebenSchrems wuchs in Salzburg auf und besuchte dort das Bundesrealgymnasium Akademiestraße, an dem er maturierte.[5] 2005 absolvierte er mit AFS ein Auslandssemester in den USA. Von 2005 bis 2010 war er im Vorstand von AFS Österreich.[6] Im Jahr 2007 zog Schrems nach Wien, um dort an der Universität Wien Rechtswissenschaften zu studieren. In seinem Studium beschäftigte er sich vorwiegend mit IT-Recht und Datenschutz. Im Jahr 2011 veröffentlichte er eine Monographie über die rechtliche Lage der Videoüberwachung in Österreich. Im Zuge eines Auslandssemesters an der Santa Clara University in Kalifornien traf er auf Vertreter des US-Konzerns Meta Platforms (vormals Facebook Inc.), was zur Beschäftigung mit Facebook führte. Nachdem er Projektassistent an der Universität Wien gewesen war,[7] schloss er im Jahr 2012 sein Studium ab.[8] Im Juli 2017 wurde bekannt, dass Schrems die Partei NEOS beim Thema Digitalisierung berät.[9] Bei der Nationalratswahl in Österreich 2017 war er im überparteilichen Personenkomitee von Christian Kern (SPÖ).[10] Projekteeurope-v-facebook.orgAm 18. August 2011 wurden 16 Anzeigen beim irischen Data Protection Commissioner (DPC) eingebracht. Weitere sechs folgten am 19. September 2011. Diese wurden von Schrems auf der Webseite europe-v-facebook.org gemeinsam mit den jeweiligen Unterlagen veröffentlicht.[11] Der DPC veröffentlichte am 21. Dezember 2011 einen ersten Bericht. Am 6. Februar 2012 traf sich Schrems mit Vertretern von Facebook in Wien zu Verhandlungen,[12] da das irische Verfahrensrecht zunächst eine gemeinsame Lösung der Streitsache durch Beteiligung der beiden Streitparteien vorsieht. Zwischen Jänner und Juli wurde versucht, Akteneinsicht zu bekommen, die jedoch bis zuletzt von der irischen Behörde nicht gewährt wurde. Am 21. September 2012 wurde vom DPC ein Review veröffentlicht, in dem Facebook bescheinigt wird, die Vorschläge eingehalten zu haben. Daraufhin wurde am 4. Dezember 2012 ein Gegenbericht mit diversen Anträgen eingebracht, der von der Behörde nicht bearbeitet oder kommentiert wurde. Am 28. August 2013 wurde auf Drängen des DPC ein Antrag auf eine Entscheidung eingebracht, obwohl zuvor keine Akten oder Beweise zugänglich gemacht wurden. Die Beschwerden wurden im Juli 2014 nach gut drei Jahren zurückgezogen, da laut Schrems keine Aussicht auf eine Entscheidung bestand und sich die Datenschutzbehörde weiter weigerte, Akteneinsicht zu gewähren oder eine Entscheidung zu fällen.[13] PRISM / Safe HarborDie EU-Kommission hatte im Jahr 2000 die Safe-Harbor-Regeln für den sicheren Datenhafen ersonnen – sensible Daten sollten auch außerhalb der EU weiterverarbeitet werden dürfen, wenn bestimmte Grundsätze eingehalten werden. Auch nachdem Edward Snowden 2013 geschildert hatte, dass US-Geheimdienste wie die NSA und andere Behörden ungehindert auf Server von US-Konzernen wie Facebook und Google zugreifen können, wurde vonseiten der Politik und der Wirtschaft an Safe Harbor festgehalten. Am 25. Juni 2013 wurden im Zuge der Aufdeckung von PRISM neue Anzeigen gegen die europäische Tochter Facebook Ltd. in Irland[14] und Apple[15] beim irischen DPC eingebracht. Gleichlautende Anzeigen gegen Microsoft,[16] Skype[17] und Yahoo[18] wurden bei der Nationalen Kommission für den Datenschutz in Luxemburg und beim Bayerischen Landesamt für Datenschutzaufsicht eingebracht. Letztere wurde an den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) weitergeleitet. Der irische DPC antwortete im Schreiben vom 23. Juli 2013, dass kein Verfahren eröffnet werde, da die Beschwerde unsinnig, sinnlos und unseriös („frivolous“) sei. Die Behörde berief sich dabei auf das bestehende Safe-Harbor-System. Schrems verklagte die irische Datenschutzbehörde auf Bearbeitung seiner Beschwerde. Der Fall wurde vom irischen High Court dem Europäischen Gerichtshof zur Entscheidung vorgelegt.[19][20] Am 23. September 2015 gab der Generalanwalt des EuGH bekannt, dass er den derzeitigen Datentransfer aus der EU in die USA für nicht zulässig halte, und stellte das Safe-Harbor-Abkommen infrage.[21][22] In seinem Urteil vom 6. Oktober 2015 folgte der EuGH dieser Ansicht: Er erklärte das Abkommen für ungültig und die derzeitige Praxis für rechtswidrig.[3] Schrems erklärte dazu: „Das Urteil zeigt, dass die Massenüberwachung unsere fundamentalen Rechte verletzt.“ Er hoffe, dass es einen Meilenstein für die gesamte Online-Privatsphäre bedeute.[23] Schrems gründete 2012 den Verein zur Durchsetzung des Grundrechts auf Datenschutz „europe-v-facebook.org“. Er sammelt Spenden über die Plattform „crowd4privacy.org“, um beispielsweise das Vorgehen gegen Safe Harbor zu finanzieren. Über dessen Nachfolger Privacy Shield und das weitere Vorgehen dagegen berichtete Schrems 2017 auf dem Hacker-Kongress 34C3.[24] Die irische Datenschutzbehörde sah weiteren Klärungsbedarf zur Anwendung von EU-Recht und verwies den Fall wieder zum EuGH, wo am 9. Juli 2019 das Verfahren mit einer Anhörung fortgesetzt wurde.[25] Sammelklage in Wien2014 wurde in Wien eine Sammelklage gegen Facebook in Irland eingebracht.[26] Der Sammelklage schlossen sich 25.000 Personen an.[27] Nutzer von Facebook konnten ihre Ansprüche auf fbclaim.com an Schrems abtreten, der diese kostenlos für die Nutzer einklagt.[28] Diese Art der Klagenhäufung ist in Österreich als „Sammelklage österreichischer Prägung“ möglich und erlaubt es, die komplexen Sachverhalts- und Rechtsfragen in einem konzentrierten Verfahren zu erledigen. Strittig war die Zuständigkeit der österreichischen Gerichte in diesem Fall. Im Jänner 2018 stellte der vom OGH um eine Stellungnahme ersuchte EuGH fest, dass bei Rechtsnachfolge kein Verbrauchergerichtsstand in Wien geltend gemacht werden kann. Eine Sammelklage in Wien war daher mangels Zuständigkeit der österreichischen Gerichte nicht mehr möglich.[29] LobbyPlag.euIn Zusammenarbeit mit OpenDataCity wurde das Projekt LobbyPlag.eu betrieben. Die Plattform deckte 2013 auf, dass EU-Parlamentarier Änderungsvorschläge zur europäischen Datenschutz-Grundverordnung wortgleich aus Lobby-Papieren übernommen hatten.[30] Die Initiative löste vor allem innerhalb des Europäischen Parlaments eine Debatte über den Umgang mit Lobbyismus aus.[31] In einer zweiten Version wertete LobbyPlag.eu die über 3.100 Abänderungsanträge zur Datenschutz-Grundverordnung aus und zeigte damit, welche EU-Parlamentarier sich für mehr oder weniger Datenschutz einsetzten. Ziel war es, der Öffentlichkeit einen Einblick in die unübersichtliche Flut von Abänderungen zu bieten. Dies führte unter anderem zu einem Skandal in Belgien, wodurch der belgische EU-Abgeordnete Louis Michel einen großen Teil seiner Abänderungen zurücknehmen musste.[32] NOYBIm November 2017 gründete er die Datenschutz-NGO NOYB – Europäisches Zentrum für Digitale Rechte. NOYB steht dabei für „none of your business“ ‚Das geht dich nichts an‘. Die Initiative soll gegen Datenschutzverletzungen von Unternehmen vorgehen.[33][34][24] Privacy ShieldAm 16. Juli 2020 kippte der Europäische Gerichtshof (EuGH) in seinem Urteil die EU-US-Datenschutzvereinbarung „Privacy Shield“.[35] Schrems hatte bei der irischen Datenschutzbehörde beanstandet, dass Facebook Irland seine Daten an den Mutterkonzern in den USA weiterleitet. Daraufhin wendete sich ein irisches Gericht an den EuGH, der entscheiden sollte, ob die Standardvertragsklauseln und der EU-US-Datenschutzschild („Privacy Shield“) mit dem europäischen Datenschutzniveau vereinbar sind. Die Richter in Luxemburg erklärten den „Privacy Shield“ für ungültig. Mit Blick auf die Zugriffsmöglichkeiten der US-Behörden seien die Anforderungen an den Datenschutz nicht gewährleistet. Zudem sei der Rechtsschutz für Betroffene (Recht auf einen wirksamen Rechtsbehelf[35]) unzureichend.[4] KSV18702024 zeigte Schrems den KSV1870 an, da dieser ihre Kunden in die Irre führe. Eine Auskunft des KSV muss bei einigen Behörden vorgelegt werden, um die eigene Bonität zu beweisen. In der DSGVO ist verankert, dass jeder kostenlos Zugriff auf alle Daten erhalten muss, die ein Unternehmen über ihn gespeichert hat. Dieser Verpflichtung kommt der KSV laut Schrems nur unzureichend nach, da dieser den kostenpflichtigen „InfoPass“ exzessiv auf der eigenen Seite bewerbe und auf der kostenlosen Auskunft geschrieben steht, diese sei nicht zur Weitergabe an Dritte bestimmt. Laut Schrems ist diese Taktik irreführend und somit gesetzeswidrig.[36] Schriften
Auszeichnungen und Ehrungen
WeblinksCommons: Max Schrems – Sammlung von Bildern, Videos und Audiodateien
Einzelnachweise
|