David schlägt Goliath – Max Schrems schlägt Facebook

Stolze 16 Anzeigen brachte Schrems am 18. August 2011 beim irischen Data Protection Commissioner, kurz DPC, ein. Danach folgten weitere 6 am 19. September 2011. Zudem veröffentlichte er diese, gemeinsam mit den dazugehörigen Unterlagen, auf der Website europe-v-facebook.org. Daraufhin gab es ein Treffen zwischen Schrems und den Vertretern von Facebook in Wien zur gemeinsamen Lösung der Streitsache.

Allerdings vereitelte die irische Behörde den Versuch Akteneinsicht zu bekommen. Weshalb am 21. September 2012 der DPC ein Review veröffentlichte, in dem es heißt, Facebook halte sich an die Vorschläge. Gut drei Jahre zog sich diese Angelegenheit. Da sich aber die Datenschutzbehörde weiterhin bei der Gewährung der Akteneinsicht querstellte, zog Max Schrems die Beschwerden zurück.

Im Jahr 2000 gab die EU-Kommission die Safe Harbor-Regeln bekannt, welche den Datenverkehr sichern sollten. Das gleichnamige Abkommen erlaubte die Weiterverarbeitung sensibler Daten außerhalb der EU bei Einhaltung bestimmter Grundsätze. Trotz der Enthüllung von Edward Snowden im Jahr 2013, die NSA, US-Geheimdienste sowie andere Behörde hätten ungehinderten Zugriff auf die Server von Konzernen wie Google und Facebook, hielten Wirtschaft und Politik an Safe Harbor fest.

Im Zuge der Aufdeckung von PRISM brachte man neue Anzeigen gegen Apple sowie die europäische Tochter Facebook Ltd. in Irland beim irischen DPC ein. Unter PRISM wird ein als Top Secret eingestuftes Programm zur Überwachung bzw. Auswertung elektronischer Medien, inklusive elektronisch gespeicherter Daten, verstanden. Gleichlautende Anzeigen gegen Yahoo, Microsoft und Skype brachte Schrems beim Bayerischen Landesamt für Datenschutzaufsicht ein.

Die Beschwerden führten zu keinem Verfahren, da sie die irische DPC am 23. Juli 2013 für “frivolous” bzw. unsinnig erklärte. Dabei berief sich die irische Behörde auf das Safe Harbor. Damit war die Schmerzgrenze von Max Schrems erreicht, und er verklagte die irische Datenschutzbehörde. Der Fall landete vor dem EuGH. Dies resultierte in der Infragestellung des Safe Harbor-Abkommens. Schlussendlich erklärte der EuGH am 6. Oktober 2015 das Abkommen für rechtswidrig und ungültig. Ein Meilenstein für die Online Privatsphäre!

25.000 Personen schlossen sich 2014 der in Irland eingebrachten Sammelklage an. Die Facebook-User brachten ihre Ansprüche bei Schrems ein, der sie daraufhin kostenlos eingeklagte.

Dieses Projekt entstand im Zusammenarbeit mit OpenDataCity. Ein Verdienst der Plattform ist die Aufdeckung der wortgleichen Übernahme von Änderungsvorschlägen zur europäischen DSGVO aus den Lobby-Papieren im Jahr 2013. Dadurch löste die Initiative eine Debatte über den Umgang mit Lobbyismus innerhalb des Europäischen Parlaments aus.

Des Weiteren führten die Aktivitäten der LobbyPlag.eu zu einem Skandal in Belgien. Dieser hatte zufolge, dass der belgische EU-Abgeordnete Louis Michel einen Großteil seiner Abänderungen zur DSGVO zurücknehmen musste.

Das Europäische Zentrum für Digitale Rechte ist eine Datenschutz-NGO. Max Schrems gründete sie im November 2017. Wie oben erwähnt, steht das Akronym für “none of your business”, zu Deutsch “Das geht dich nichts an”. Die Organisation geht gegen Datenschutzverletzungen von Unternehmen vor.

Im Kontext dieses Projekts kippte der EuGH am 16. Juli 2020 die zwischen der EU und den USA bestehende Datenschutzvereinbarung Privacy Shield. In seiner Anklage beanstandete Schrems die Weiterleitung seiner Daten durch Facebook Ireland an den US-Mutterkonzern. Infolgedessen landete der Fall beim EuGH, der die DSGVO-Konformität des Privacy Shield sowie der Standardvertragsklauseln prüfte. Das Ergebnis: die Luxemburger Richters erklärten das Abkommen für ungültig. Aufgrund der Zugriffsmöglichkeiten der Behörden in den USA war der Rechtsschutz für Betroffene schlichtweg nicht gewährleistet.