LNP354 „Schrems II“

Das Ende des Privacy Shields

Im Oktober 2015 hat Max Schrems mit seiner Klage gegen Facebook das Safe-Harbour-Abkommen vor dem EUGH zu Fall gebracht. Das Safe-Harbour-Abkommen wurde durch das Privacy Shield "ersetzt." Doch auch dieses wurde nun vom EUGH für ungültig erklärt. Und wieder war Max maßgeblich daran beteiligt – dieses Mal jedoch als Beklagter!
Im Gespräch mit Linus erklärt Max, wie es dazu kam.

avatar
Linus Neumann
avatar
Max Schrems

Für diese Episode von Logbuch:Netzpolitik liegt auch ein vollständiges Transkript mit Zeitmarken und Sprecheridentifikation vor.

Bitte beachten: das Transkript wurde automatisiert erzeugt und wurde nicht nachträglich gegengelesen oder korrigiert. Dieser Prozess ist nicht sonderlich genau und das Ergebnis enthält daher mit Sicherheit eine Reihe von Fehlern. Im Zweifel gilt immer das in der Sendung aufgezeichnete gesprochene Wort. Formate: HTML, WEBVTT.


Transkript
Max Schrems
Guten Morgen Linus.
Linus Neumann
Logbuch, Netzpolitik, hier wieder mit einer kleinen Spezialfolge. Ähm Tim sitzt irgendwo in der Pampa, wir haben den zweiundzwanzigsten, Juli und die dreihundertvierundfünfzigste Folge. Und heute spreche ich mit, Max Schrems über seinen erneuten Erfolg vor internationalen Gerichten in im internationalen Datenrecht im Kampf. Ja, gegen was eigentlich genau? Die Presseberichterstattung ist irgendwie zwischen die rechtliche Grundlage des Datenverkehrs, des internationalen Datenverkehrs, nun weg und das Internet äh wird ausgeschaltet, das haben sie bisher so ungefähr bei jedem den der von Max und seinem Team erstritten Urteile gesagt. Und was das genau bedeutet, wollen wir hier mal. Erörtern. Max, du hast, glaube ich, wann war das denn? Du hast vor fünf, sechs Jahren angefangen, äh bei mit dem Erklagen deiner Daten von Facebook, ne? Das war so ein bisschen dein, dein Aufschlag in dieser Auseinandersetzung, oder?
Max Schrems
Mehr der erste Ding war eher ein ergaunern, also wir haben denen gesagt, ich habe ja mein Auskunftsrecht, ich hätte gerne meine Daten und die waren damals ein bisschen doof genug unter Anführungszeichen auch wirklich sich ans Gesetz zu halten. Ähm und haben ja damals halt die ganzen Daten geschickt, die sie eigentlich gar nicht mehr haben sollten, also Dinge, die halt einfach nur geflackt waren, als gelöscht, wo es offiziell geheißen hat, die sind natürlich gelöscht, aber in Wirklichkeit waren sie halt nur gepfleg. Und waren weit auf den Server drauf, solche Dinge. Ja und dann ist irgendwie ähm Snoten irgendwie daher gekommen und wir hatten ganz viel Aufregung und eine See und böse und überhaupt und die muss einen Schlag mich tot. Aber irgendwie war allen, glaube ich, ein bisschen klar, dass die USA sich jetzt wahrscheinlich von Merkels Presse aus Sendungen oder Statements nicht wahnsinnig beeinflussen lassen werden. Und mich hat damals ein Journalist äh oder eine Journalistin angerufen und habe gesagt, naja, wie ist denn das eigentlich aus europäischer Sicht da auf Facebook, Irland, da überhaupt die Daten hinschicken, wenn wir wissen, dass das am Ende alles bei der NSA land. Und ich meine, normalerweise sind die meisten Journalisten fragen, doch ein bisschen Repetativ und so denkst du, ja, je und aber in dem war ich so, hm, das ist eine wirklich gute Frage. Ich rufe sie in fünf Minuten zurück. Weil eben nach europäischen Recht diese dieser Datentransfers nur dann erlaubt sind, wenn ähm ich sicherstellen kann, dass im Ausland die Daten auch ordentlich geschützt werden. Und ähm das war eigentlich dann so ein Hook, um diese ganzes Notendebatte irgendwie vor die Gerichte zu bekommen und auch irgendwo einen Druckpunkt zu haben, weil die US-Industrie halt stark darauf. Ähm aus, also davon abhängig ist, dass die halt die Daten hin und her schippern können. Ähm wenn jetzt die Industrie sagt, oh, wir haben ein Problem, weil die Europäer uns jetzt auf einmal klären, wir dürfen die Daten dann nicht hin und her schicken. Dann hat man vielleicht durchaus auch ein wirtschaftliches Interesse da bei diesem Massenüberwachungsthemen mal ein bisschen reinzugrätschen. Ähm und das ist ein bisschen so die, die ganze Idee von dem Projekt ist, dass man praktisch die Wirtschaft auch mit ins Boot reinholt, ein bisschen. Gezwungener Reise, um ähm vielleicht auch ein bisschen Gehör in den USA zu haben, weil derzeit ist halt der Status dort. Es gibt Grundrechte, aber nur für Amerikaner. Und wenn du halt kein Amerikaner bist, dann bist du rechte los. Und es ist ein bisschen problematisch, wenn die USA halt sagen, wir hätten gern die Daten der ganzen Welt zum Hosten, Auswahl die Daten mal bei uns sind. Ähm habt ihr übrigens keine Rechte mehr. Und ich hab schon ein bisschen gescherzt, ihr kriegt das ein bisschen so wie wenn die Schweiz sagen wird, bitte gebt uns alle euer Gold, aber sobald das Gold mit der Schweiz, das habt ihr kein eigenen Eigentumsrecht mehr. Glaube nicht, dass viele Nazis dann gerne ihr Gold in der Schweiz gepunktert hätten und ähm und ich glaube in den, da ist es ein legitimer Argumentation sozusagen, gut, wenn ihr der Cloud Provider der Welt sein wollt und ihr glaubt's, es ist, als Volkswirtschaft ein großes Themabereich, dann müsst ihr eure Kunden auch irgendwie halbwegs normal behandeln.
Linus Neumann
Und jetzt, ich denke, also der der rechtliche Hintergrund scheint ja so ein bisschen zu sein, du korrigierst mich da, wenn ich das äh laienhaft äh noch nicht mal korrekt sage. Wir haben jetzt irgendwie Datenschutzgesetze im weitesten Sinne in den USA. Wir haben Datenschutzgesetze in Europa insbesondere natürlich die Datenschutzgrundverordnung, aber auch schon vorher hatten wir ein Datenschutzrecht der Europäischen Union und, äh das war noch ein bisschen, ja, noch nicht so einheitlich, das kam ja erst, also diese Vereinheitlichen kamen durch die Datenschutzgrundverordnung und es gab damals im Prinzip einen juristischen. Schnellweg zu sagen, ja, oh Mann, ey, das wird jetzt wirklich kompliziert, wenn jedes US-amerikanische Unternehmen irgendwie sein eigenes Datenschutzrecht und das europäische und so weiter. Also machen wir irgendwie einen Pakt der mehr oder weniger zum Inhalt hat, passt schon, Ne? Also europäisches Datenschutzrecht ist mit US-amerikanischen Datenschutzrecht Equivalent Punkt.
Max Schrems
Ja, es ist noch ein bisschen komplizierter. Also, ich kann's jetzt nicht ganz den Juristen ignorieren in mir. Es ist praktisch so, dass du in den USA kein generelles Datenschutzrecht hast. Also du hast in den USA schlichtweg ein Vakuum im, in diesem Bereich, und ähm das ist. Ausnahmen, also es gibt besondere Rechte für Gesundheitsdaten, Auskunft ein für so Sonderfälle, aber generell gibt's kein Daten. Inzwischen gibt's in Kalifornien jetzt eine Staatsregelung, es gibt teilweise sowas, wie was weiß ich, Biometriegesetze, in und so, aus, gibt kein generelles Datenschutzrecht in den USA. Das ist aus europäischer Sicht auch okay, es gibt genug Länder, die sowas nicht haben und was wir machen ist, dass wir dieses Vakuum dann durch irgendwelche vertraglichen Regelungen füllen. Das heißt, ähm ein Unternehmen irgendwo im Takatuka Land kann sagen gut, ich habe zwar hier kein Gesetz, aber ich ähm tu's, also ich ich unterschreibe irgendeinen Vertrag, irgendeine Zertifizierung, irgendwas anderes, dass ich mich an europäisches Recht halte. Das ist jetzt auch nichts besonderes im Datenschutz, wenn ich jetzt, was weiß ich, ein Biobauer irgendwo im Takatuka Land bin und dort gibt's keine Bioregelungen, dann kann ich ja einfach sagen, gut, ich halte mich an europäischer Bio, Regelungen und kann dann meine meine was weiß ich, Äpfel als Bio in der EU anbieten. Das ist ja, das machen wir in vielen Bereichen, so ist es nicht besonders. Das Problem in den USA ist, dass es nicht nur diese, dieses Fehlen von Datenschutzregelungen, sondern, dass es aktiv Gesetze gibt, die sagt, ihr müsst uns diese Daten alle übergeben, das ist hauptsächlich in dem Fall, das ist sozusagen dieses, und dann gibt's noch die, die ist überhaupt kein Gesetz, das ist einfach nur eine Anweisung von Präsidenten, das ist, wird gesagt, das, was Trump da so fröhlich immer unterschreibt, mit großem Fitstift und dann in die Kamera hält. Ähm und das erlaubter US-Regierung ähm unmittelbar weltweit zu spionieren, solange es keine Amerikaner betrifft. Ähm und das ist überhaupt keine gesetzliche Grundlage. Auch ein bisschen Unterschied des beiden Dinge, selber Natur ist durchsetzbar gegenüber Unternehmen, das heißt, die kriegen dann einen Wisch vor den Latzgeknall, wo drinnen steht. So, ihr müsst jetzt eine aufmachen. Nicht durchsetzbar, das ist sozusagen nur eine interne Dienstanweisung, dass alle dürfen, ähm und kann aber gegenüber einem Unternehmen nicht direkt durchgesetzt werden. De facto haben aber viele Unternehmens einfach freiwillig mit der NSA da zusammengearbeitet. Also, es hat ja diesen ähm Überwachungsraum, dein Cent Francisco bei ITMT gegeben, solche Dinge, das dürfte teilweise einfach freiwillig in Kooperation passiert sein, ähm ohne dass es da eigentlich eine gesetzliche Grundlage gegeben hat. Und ähm das Problem ist jetzt, dass wenn meine Daten da in die USA marschieren, können diese Unternehmen alles mögliche, lustige unterschrieben haben, ob's jetzt Standardvertrags laufen und sind, das sind alles irgendwelche zivilrechtlichen, Selbstbescheinigungen, dass man sich brav an irgendwas hält, aber wenn halt mal dort ein Gesetz ist, wo steht, du musst das jetzt genau andersrum machen, dann. Ist dieser Vertrag wirklich nur Konfetti wert. Und das ist im Prinzip das Problem, was wir mit äh mit Datenübermittlungen in solche Länder haben. Und was die EU-Kommission und auch die Industrie einfach nicht wahrhaben will, dass. Da Es ist, da muss man die können, das ist praktisch, wie wenn zwei Züge kollidieren. Das eine ist amerikanisches Recht, das sagt Überwachung, das andere ist europäisches Recht, was sagt bitte, ähm, Datenschutz. Da habe ich einfach sozusagen zu viel gesetzt und das eine sagt huh und das andere sag. Und als als betroffenes Unternehmen kann ich, muss ich eines von diesen beiden Gesetzen brechen, es es geht logisch nicht anders. Was jetzt die EU-Kommission probiert hat, ist zwischen diese zwei kollidierenden Züge noch irgendwie ein Hansaplast dazwischenzukleben und das Privacy Sheal zu nennen, im Effekt, dass die Züge genauso wiederklassen, nur dass halt jetzt das dazwischen auch noch tot ist, ja, also, es ist, es ist wirklich, man muss, es ist juristisch nicht mehr, als das, es ist wirklich sehr banal, es ist reine so Massen, die ineinander drängen. Natürlich hat's dann detailliert hunderte Paragraphen, wo das alles drinnen steht, aber, dass das generelle Problem ist, dieser dieser Konflikt zwischen den Gesetzen, und ähm den kann ich auch nicht durch ein Abkommen lösen, wenn ich die Gesetze nicht ändere. Deswegen war es für uns auch sehr wichtig, jetzt wirklich zu heimern, zu sagen, Leute, ihr werdet sich das Problem nicht lösen, wenn die Amis ihre Gesetze so behalten, wie sie sind, das ist die eine Möglichkeit, man ändert die in den USA, das ist jetzt auch nicht so, dass das in letzter Zeit nicht auch nach Snoten passiert ist, halten nur für Amerikaner, nicht für Ausländer. Und das andere Möglichkeit, die andere Möglichkeit ist, wir schaffen einfach das Grundrecht auf Datenschutz auf europäischer Ebene ab und das Grundrecht auf Rechtsschutz, weil das ist das andere, was der noch verletzt sieht, wenn USA gibt's überhaupt kein Gericht, wo ich mich da beschweren könnte oder so. Und das ist wahrscheinlich auch sehr unwahrscheinlich, dass wir das machen. Und ich glaub. Jetzt, wo das das zweite Mal der EuGH in ausgerichtet hat, ist meine Hoffnung, bis hier gestiegen, dass diese unter Anführungszeichen traurige Wahrheit auch irgendwo anerkannt wird. Ähm und das ist eigentlich das, was jetzt, mich persönlich an dem Fall noch am meisten interessiert, ist wieder das Europäische Höchstgericht so vor einfach gesagt, ein bisschen zu Tode ignoriert wird, ne.
Linus Neumann
Nochmal ganz kurz würde ich hier zurückspringen, weil du hast ja gerade schon genau gesagt, du, also es ist im Prinzip das zweite Mal. Das erste Mal war, glaube ich, wann war September oder Oktober zwanzig fünfzehn, ne. Als quasi das, was, was du das noch alleine äh oder gab's, gab's erst später, ne? Das war.
Max Schrems
Erneut gab's, erst gibt's erst seit zwei Jahren, also das zweite Verfahren ist sogar schon vier Jahre alt, das gibt es bisher alles alleine gemacht, auch noch so als Sidewink, ähm, zum Beispiel, das zweite Fahren kostet, um die zehn Millionen Euro ähm in ihr Landgrad. Werden's jetzt wahrscheinlich nicht zahlen müssen, aber das sind auch als Normalbürger kann man sowas gar nicht bringen, deswegen gibt's jetzt eben neue Vereinen, wo man das auch ein bisschen managen kann und das Risiko ein bisschen abfedern kann, weil du sonst da. Alleine sozusagen auch Haftes dafür. Ich meine, ich habe ja gesagt, ich habe dann halt kein Sommerhaus in Irland, weil solche Verfahren die Kosten nicht durchsetzbar sind, europaweit zum Glück, aber. Dann muss ich halt jedes Mal mein Geld da schon lernen, bevor ich nach Irland fliege, damit auch sozusagen mir an der Grenze keiner was abnehmen kann.
Linus Neumann
Also du hast äh viel. Zwanzig fünfzehn, als Reaktion im Prinzip auf die Snowden Leaks, weil die den Beweis geliefert haben, dass quasi die Bedingungen von Safe Haber nicht eingehalten werden können. Ist das korrekt?
Max Schrems
Ja, also wir haben's Noten war, glaube ich, sozusagen, der Hintergrund, das Hintergrundtheater und unter dem ist überhaupt möglich, war Gerichte dazu, irgendwie zu begeistern, sich das anzusehen, wir argumentieren eigentlich rein aus den Gesetzen heraus. Also wir sagen in den USA gibt's diese Gesetze, die kann jeder lesen, so ist es und in ein Land, wo solche Gesetze existieren sollen, meine Daten gar nicht hinkommen, ganz egal, ob meine Daten persönliches überwacht werden oder nicht, weil das kann ich normalerweise eben nicht beweisen, jetzt ist es natürlich so und das ist mir auch immer wichtig zu sagen, weil wir machen ja praktisch rechts durchsetzung. Die funktioniert nur, wenn vorher hunderte Aktivisten und NGOs, die sozusagen machen, oder eben bis Noten, diese Themen überhaupt mal öffentlich bekannt machen, weil wenn wir es in den EuGH hineinmarschiert, werden wir net und sagen, ja, da gibt's Massenüberwachung in den USA, ganz schlimm und böse und so weiter, hätten die sich wahrscheinlich gedacht, äh Verschwörungstheoretiker wiedersehen, natürlich nachdem das weit rauf und runter diskutiert worden ist ein Jahr lang kommst du da auf ein ganz andere Grundlage vor so ein Gericht und das ist sozusagen ein bisschen der Hintergrund, das heißt wir haben die durchaus. Verwendet als Beispiele, aber ähm was wichtig ist, auch zu verstehen, dass wir wissen, eigentlich nicht viel, was die USA genau machen. Also, wir wissen von zwei größeren Überwachungsprogrammen. Und da sind die Slights, ich glaube, inzwischen jetzt neun Jahre alt, sowas in der Größenordnung, und jetzt gehe ich mal davon aus, dass ich die Technologie auch in den USA die letzten neun Jahre weiterentwickelt hat und dass dieses Überwachungsprogramm, von denen wir heute reden, also Abstreaming Prisem hauptsächlich. So wahrscheinlich nicht mehr existieren, beziehungsweise kann's inzwischen zehn andere Programme haben können, sich aber bewegen hätten sollen. Und am Ende ist da natürlich nichts rausgekommen. Dann ähm hat's anscheinend Interventionen aus den USA geben, Richtung EU-Kommission und dann ist die Justizkommissarin Juro war, ich glaube achtundvierzig Stunden später im EU-Parlament aufgeschlagen, hat gesagt, hurra, wir haben einen Deal, das heißt und hier ist das Logo. Nur der Text war nicht da. Also äh und ähm und äh wir haben dann über Epic in den USA, die haben eine Informationsfreizusuchung gemacht und haben gesagt, so gut, sie hätten gerne den Text. Und zwei Wochen, nachdem dieses neue Deal da verkündet worden ist, ähm hat seine Antwort der US-Regierung geben, ähm die sozusagen den Text, den sie oder das Dokument, was sie wollen, kann nicht mehr auskünftet werden, da weil es nicht existiert. Und das heißt, dieser. Ähm dieses schielt, was da fröhlich in der Öffentlichkeit herumgetragen worden ist, das hat schlichtweg nicht gegeben. Also das war trojanisches Pferd und fertig, ähm und dann einen Monat später, circa Texte kommt, was die gemacht haben ist, die haben einfach dieses Safehaber, was da für ungültig erklärt hat, genommen haben neuen Titel oben drauf geschrieben, ein neues Logo draufgekleb. Und der Großteil vom Text ist gleich. Es gibt ein paar Editions, es gibt ein paar, Zusatzteile, aber inhaltlich ist das Ganze genau gleich und das Interessante ist, es ist auch im kommerziellen Bereich so, wo es darum geht, was Unternehmen mit den Daten tun können, Meilenwald und der europäischen Datenschutzniveau. Also es gibt zum Beispiel eine Regelung, dass so prinzipiell die Daten verarbeiten kannst. Es sei denn, niemand wieder. Während du in Europa es genau andersrum hast, du darfst prinzipiell Daten nicht verarbeiten, es sei denn, du hast eine Rechtsgrundlage dafür. Ähm und das äh verändert sozusagen neunzig Prozent der Situationen, ähm. Lange Rede, kurzer Sinn. Ich habe dann öfters gefragt, warum sich Europa da so über den Tisch ziehen lasst und da zeigt heißen, ja, wir wollen TTIP verhandeln und Dings und die Amis und überhaupt und bla. Ich muss jetzt auch dazu sagen, als Österreicher kommt man irgendwie aus einem Nicht-NATO-neutralen Land irgendwie und, Ich meine, ich bin immer gerne in den USA und und bin auch viel dort gewesen, aber, äh manchmal wundert man sich dann schon, ich habe das auch ein bisschen teilweise in der deutschen Debatte, wenn's auf politischer Ebene geht, ist ein äh geistigen wie Transatlantik und Ding sind auf einmal ist alles mögliche möglich. Ähm und genau, dann war halt dieser Deal da und in Wirklichkeit haben alle gewusst, dass das Bullshit ist. Also es war nur eine Frage der Zei, bis das wieder beim AGH landet. Und ich glaube, was auch ein Faktor ist, die Richter beim EuGH Bernd sich verarscht vorkommen. Also, wenn die da Kommission sagen, sowas geht nicht, und dann kommen die einfach sozusagen, ein paar Monate später mit dem gleichen Text wieder und sagen, ach wir haben ein neues Logo drauf geklickt, geklebt, jetzt soll's doch wieder gut sein, oder? Äh, es, also, wenn ich dort richte, wäre, wenn ich mich zu unglaublich verarscht fühlen, uns mal prinzipiell wieder aufheben, ja, und ich glaube, dass der ist auch ein Teil war von dieser zweiten Entscheidung, weil es war eine rein politische Entscheidung vom AGH, auch noch Privacy Shield sich anzuschauen, die hätten auch einfach sagen können, nicht unbedingt notwendig für diesen Fall, sich das anzusehen, Es gibt eh den zweiten Fall von beim beim unteren Gericht der EU, warum schauen wir uns das jetzt hier nochmal an? Äh schauen wir uns dann nächstes Jahr an. Aber ich glaube, das war auch ein Faktor, dass du einfach da das Höchstgericht wirklich provozierst, ja, und ich hab's schon verglichen, wir haben in Österreich erheira gehabt, unseren Rechtsextremen Landeshauptmann da, und da hat's bei uns mal eine Verfassungsgericht zur Entscheidung geben, dass der zweisprachige Ortstafeln in slowenisch aufgestellt werden müssen, weil Minderheitensprache und so. Und was der gemacht hat, ist einfach diesen Ortstafel ausgebuddelt und sie einfach drei Meter weiter unten wieder eingebuddelt und dann gesagt, das ist eine neue Ortstafel. Jetzt gilt das Verfassungsgerichtsverurteil ist. Und das war damals sozusagen heftig, aber in Wirklichkeit hat die EU-Kommission nichts anderes gemacht. Die hat halt einfach das, was als illegal erklärt worden ist, einmal ausgebuddelt und nur einen Namen drauf geklebt und wieder eingebuddelt und gesagt, so, jetzt geht's wieder weiter, ne? Ähm und das ist schon spannend, ne.
Linus Neumann
Also üblicherweise bei Höchstrichterlichen Urteilen ist es doch so, also so zumindest kenne ich das vom Bundesverfassungsgericht. Die sagen ja nicht nur, das geht so nicht, sondern die begründen das. Und im Prinzip ist dann die, die Urteils, also im Prinzip das Urteil und die Urteilsbegründung sind meistens dann im weitesten Sinne auch eine Anleitung dafür, wie man ist, verfassungskonform richtig machen könnte, und das ist ja bei insbesondere bei Überw.
Max Schrems
Ja, ich glaube, das.
Linus Neumann
In Deutschland ein übliches Prozedere. Jetzt frage ich mich, warum ist das in dem Fall nicht passiert? Also, war.
Max Schrems
Der EuGH ist ein sehr diplomatisches Gericht. Also, das ist ja noch immer die EU ist ja irgendwo ein Zwischenwesen zwischen Staat und und irgendwie internationaler Organisation, und der EUGH ist sehr, sehr, sehr zurückhaltend bei solchen Sachen. Also, rogramatischen Ansagen, wie es in Deutschland üblich sind, sind jetzt auch zum Beispiel in Österreich, beim Verfassungsgerichtshof nicht unbedingt üblich, ja. Ähm also zum Beispiel unser Verhasungsgericht so zieht sich zum großen Teil als negativer Gesetzgeber, der einfach das weglöscht aus dem Gesetz, was nicht geht. Ähm aber es dann praktisch der Politik überlasst es zu sanieren, ähm dass man da wirklich jetzt eine Anleitung schreibt und der Anführungszeichen, das ist beim EuGH nicht nicht üblich und zum Beispiel, ich kenne es auch aus Österreich, nicht bei anderen Gerichten ist, das wäre sehr üblich. Also es müssen eine nationale Frage, was da die Kultur, es war einfach gesagt. Ähm ein Thema ist, dass bei der großen Kammer beim AGH sitzen fünfzehn Richter. Jetzt bei all diesen Verfahren ist normalerweise davon dann wird's der deutsche Richter, der federführende Richter, weil er die Datenschutzwa. Und er ist sicher sehr progressiv bei den Dingen. Ähm und und auch sehr korrekt ähm und. Mehr oder weniger das, was im Gesetz steht und schreibt's halt runter. Ähm und hält sich aus der Politik meiner Meinung nach sehr stark zurück. Jetzt sitzen da aber vierzehn andere Richter, die auch noch irgendeine Meinung dazu haben. Und beim EuGH sind viele Richter jetzt auch eher Diplomaten oder, ehemalige Minister und so weiter, die da am ernannt werden. Das heißt, äh der da gibt sich ja auch Leute, die uns sozusagen sagen, naja, das sollten wir vielleicht nicht sagen und da können wir vielleicht, das wieder wegstreichen und so weiter. Das heißt, das ist auch ein Prozess innerhalb von diesem Gericht. Und am Ende bleibt halt das übrig, wo irgendwie eine Mehrheitsmeinung dazugegeben hat, weil wir ja im Gegensatz zum Beispiel zu den USA keine dessen haben. Also wir haben ja keine, Richter, die dann sagen können, äh ich sehe es nicht so, sondern es gibt nur einen ultimative Wahrheit, die da am Ende fabriziert wird. Und da gibt's natürlich in Wirklichkeit fünfzehn Wahrheiten bei bei dem Gericht und, deswegen ist es oft sehr zurückhaltet und zurück zum CFH beurteilen und seid eine Frage, da war es eben so, dass technisch gesehen der gesagt hat, na ja, die EU-Kommission hat sich US Überwachungsgesetze nicht mal angesehen, ergo ähm ist das alles nicht mal ordentlich begründet und und äh die Begründung fehlt schon mal. Und das war was, wo sich alle einigen haben können. Jetzt hat's alle möglichen anderen Punkte gegeben, wo sie gesagt haben, ja, die machst du Überwachung, das ist eine, der der Kernbereichs unserer unsere Grundrechte, was das erste Mal ist, dass so eine Kernbereichsverletzung, das ist im europäischen Recht so, ganz große Bogiment, das das der Grundrechtsverletzung. Ähm, äh das war überhaupt das erste Mal, dass sie's gefunden haben, aber das waren alles Dinge, die sozusagen so ein bisschen Zusatzaussagen waren, die man auch, wenn man wollen. Ignorieren hat können. Und genau das passiert, dass halt die Anwaltskanzleien, die da äh halt diese Unternehmen vertreten, sehr viel Lobbyisten und so weiter, gesagt, nein, ja, da war gehart, dass ich auch nur so nebenbei gesagt, das war ja gar nicht so gemeint und ähm das ist ja alles ganz anders zu verstehen, und das war auch das, was dann die USA und die EU-Kommission sozusagen vor sich herumgetragen hat und was dazu geführt hat, dass diese Greidlins, die durchaus da waren, ähm halt auch zu gewissen Grad einfach wieder ignoriert worden sind, ja.
Linus Neumann
Und äh und das ist also auf äh ja ist offensichtlich möglich. Jetzt musst du mal. Erklären, jetzt hast du, jetzt wird dir dieses Logo vorgelegt, du stellst irgendwann fest, ähm aha, der Text ist irgendwie größtenteils der gleiche, mit anderen Worten, Du kannst hier deinen juristischen Weg in weiten Teilen im Zweifelsfall recyceln, Aber wie geht dieser Weg, denn wie bist du denn, wie schaffst du das Thema denn überhaupt bis an den an den EuGH zu bringen? Das ist ja nicht so ein einfaches Firmengeflecht, was Facebook da hat, gut Teile davon kanntest du schon. Du hast dich aber eigentlich auch äh primär angelegt, wenn ich das richtig verstanden habe, mit der irischen, Datenschutzbehörde erklären doch mal bitte grob oder gerne auch genau, wie dieser juristische Weg dann geht.
Max Schrems
Und der einfache, juristische Weg, wenn wir wirklich Privacy Shield killen hätten wollen, als Hauptziel, dann wäre ich einfach in Wien, zu meinem lokalen Gericht gegangen, hä gesagt, ich suche mir irgendeinen Datenranz während der aus, behauptet, Privacy schielt, ist, ist unzulässig, damit muss das Wiener Gericht dann das dem EuGH direkt vorlegen und sagen, ist das jetzt gültig oder nicht, weil sonst kann ich in Österreich da nicht entscheiden, das wäre eine relativ schnelle Nummer gewesen und relativ günstig gewesen, So, ich habe jetzt beschlossen, es bringt eigentlich überhaupt nichts zum AGH gehen, um wieder zu kehlen, weil wir wissen ja schon, dass das so nicht geht. Also, ich meine, wir haben das ja schon gehört und der Safe Haber, es ist auch, glaube ich, das Urteil von letzter Woche einfach nur zum großen Teil, eine Wiederholung von dem, was wir schon unter Seefarbe gehört haben, es ist jetzt wirklich nicht viele neue Erkenntnisstränen, ähm und deswegen habe ich damals beschlossen, mich interessiert sich überhaupt nicht und es ist sich sinnvoll, dass ich um Cookies und die Schufa zu kümmern, weil sozusagen man hat ja auch irgendwie nur ein Leben. Ähm das war damals so meine Meinung, das Problem war dann, dass die irische Behörde, mich und Facebook verklagt hat. Was besonders skurril ist, das ist eigentlich weder in Irland noch bei uns möglich, dass dich dann die Behörde klagt, also du machst eine Beschwerde bei einer Datenschutzbehörde, sollte gratis sein und auf einmal bist du dann sozusagen beklagt da, das ist recht faszinierend. Ähm.
Linus Neumann
Der Datenschutz verstößt gegen dich.
Max Schrems
Ja, also es ist, ich, nicht mal meine irischen Anwälte verstehen, dass und das heißt, viel war, in Irland ist sehr viel möglich, also mein Großvater hat anscheinend oft gesagt, ich habe schon Karosserie, Pferde, Kotzen gesehen, also in in ihren Sperben, die den ganzen Tag her, ähm aber sei es drum, ähm die, die Geschichte ist dann so gewesen, dass wir praktisch. Auf einmal auf der Verteidigerbank gesessen sind und ähm dann kannst du halt nicht sagen, ich mache da nicht mit, weil dann bist du praktisch die Faktorpartei und und Beklag. Wir sind ja normalerweise.
Linus Neumann
Haben die dich denn verklagt?
Max Schrems
Ja, das ist das geilste, normalerweise musst du jemanden verklagen auf irgendwas, was auch leisten kann. Also ich kann immer einen klagen, dass er mal Geld zahlt, dass er irgendwas tut, dass er was weiß ich, ja. Aber die ganze Klage ist gelaufen auf Vorlage dieser Standardvertragsklauseln an den EuGH, das Ganze ist einfach nur Bullshit gewesen. Die irische Behörde wollte einfach nicht entscheiden. Und ein Teil vom Europ.
Linus Neumann
Moment, das verstehe ich nicht. Also was.
Max Schrems
Also diese, wir kommen mit zurück und das Gericht in Irland sagt, so, jetzt ist ja Saefa, aber tot, jetzt kann das kein Problem mehr sein. Liebe Behörde, mach doch jetzt mal einfach deine Arbei. So, jetzt kommt die irische Behörde herum und sagt, naja, schön, dass Save Habertodis, aber was wir euch seit drei Jahren nicht gesagt haben, obwohl wir ein E-Mail von Facebook dazu bekommen habt, ist, dass die eigentlich gar nicht äh genutzt haben, sondern Standardvertragslaus. Und das ist ein anderes Tool, um Daten in die USA zu zu transferier. Das heißt, diese irisch Behörde hat uns praktisch zum AGH laufen lassen, auf der falschen Rechtsgrundlage. Und uns Casualey verschwiegen, das wäre eigentlich gerade am falschen Dampfer sind. Und erster als wir gewonnen und haben gesagt, oh, übrigens, ähm, ihr habt's ja jetzt gerade die ganze Zeit so falschen Rechtsgrundlage geklag, mir war sehr wurscht, weil für uns ist ja relativ egal, was jetzt Facebook genau macht, sondern es geht ja hauptsächlich darum, ob diese Datentransfersolidar sind oder nicht. Und da was perfekt, das wäre das Unterseefarber vorgebracht haben. Also, unser Schaden war überschaubar. Nur wenn du jetzt dein Recht auch wirklich mal durchsetzen willst und die Behörde dich dann halt nicht mal die Akten gibt, die sie hat, obwohl du sie verlangst. Ähm also in, in Österreich wäre das alles Amt missbraucht, ja, um ums mal irgendwie in in. In Relation zu setzen, ja. Ähm das wäre bei uns durchaus eine kriminell Problematische Sache. In Irland gibt's ein Glück, keinen Anzugsbraucher, so kann man machen, was man will. Ähm.
Linus Neumann
Ähnlich ähnlich wie die Polizeigewalt in Deutschland.
Max Schrems
Ja, also die haben wir in Österreich auch, ja, aber.
Linus Neumann
Nee, nee, geht's nicht. Geht's nicht deswegen kannst du machen, was er willst, aber.
Max Schrems
Ist es. Genau ähm und das ist eben das Problem gewesen, dass wir dann unter Vertragslaus und da waren, dann steht in diesen Standardvertragsklauseln drinnen, dass im Fall, dass es da im ausländischen Recht gibt, was problematisch ist, die Behörde, den Datenschutz stoppen kann, das haben wir auch beantragt und die ihre Schublade gesagt, na, da kennen sie sich jetzt gar nicht aus. Das ist super birrent, sie muss jetzt unbedingt vorlegen, dass dem AGH und hat irgendwie sich aus dem Arsch gezogen, dass diese Standardvertragsklauseln irgendwie ungültig sein sollen, was wirklich niemand so gesehen hat, dass ich und Facebook und alles in Daxis und sage, was soll da dran ungültig sein? Und wenn ich und Facebook und schon mal einer Meinung sind, dann ist das doch irgendwie rot im Kalender zu markieren, ja. Und ähm und äh na ja, auf jeden Fall, die Behörde hat das weiter aufrecht erhalten, weil eben eine Gültigkeitsfrage von europäischem Recht, nur vom EuGH geklärt werden darf. Das heißt, es kann nicht irgendein Bezirksgericht sagen, dieses Europarecht ist ungültig. Ähm und das war sozusagen ihr Mythos, den sie aufrecht erhalten haben, zu sagen, warum das unbedingt zum EuGH gehen muss. Naja, jetzt hätte eigentlich.
Linus Neumann
Warte mal, also das war musst du jetzt nochmal.
Max Schrems
Wir kommen e.
Linus Neumann
Irische Datenschutzbehörde hat Standardvertragsklauseln mit Facebook. Über den Datenaustausch von europäischen Daten in Richtung Facebook.
Max Schrems
Nein, nein, die Facebook Irland hat einen Vertrag mit Facebook USA. Das Ding nennt man Standortrachslaus. Und da drinnen sagt Facebook, USA, mich an europäischen Datenschutz, bla, bla, bla, alles schön. Diese Standardvertragslausen kann man runterladen auf der Webseite von der EU-Kommission, einmal unterschreiben und in die Schublade legen, und da würde eigentlich drin entstehen, dass die US-Firma, also in dem Fall Facebook, USA, Facebook Irland darüber aufklären müsste, dass es da diese Überwachungsgesetze gibt. Das haben sie nicht getan, sondern sie haben eine E-Mail geschrieben und gesagt, na na, alles klar, kein Problem, gar kein Überwachungsgesetz, im Move an, danke, wie das im Pusti aus Bauch. Und genau, falls das passiert, falls dieses ausländische, diese ausländische Unternehmen das nicht ordentlich macht, müsste die Datenschutzbehörde einschreiten und sagen, ha, da gibt's doch diese Gesetze, und ihr müsst jetzt den Datenfluss stoppen, weil die der Empfänger in den USA euch einfach nicht richtig aufgeklärt hat. Ähm wenn das nicht passiert, dann kann ich mich beschweren, die Behörde müsst ihr einschreiten und das so die Behörde sagt, sie sieht diese Möglichkeit nicht, das zu sto. Die steht wortwörtlich so da, sie haben einfach nur gesagt, äh Augen zu, ist nicht da, es gibt wirklich keine logische Begründung, die sie immer vorge. Und deswegen gibt's hier keine Lösung für das Problem und deswegen ist das Ganze dieser ganze Transfermechanismus vollkommen gaga und deswegen muss da AGH diesen Transfermechanismus aufleben, das heißt, de facto war so sehr auf Inflektor Tim. Also, die haben gesagt, na ja, wir sehen keine Lösung hier und weil wir keine Lösung sehen, müssen wir leider den AGH-Fragen dieses ganze Rechtsinstrumente aufzuheben. Also es ist leider wirklich zwanzig verschiedene von Argumenten, die da jetzt gegeneinander herumgeflogen sind, ja. Lange Rede, kurzes.
Linus Neumann
Warum ich dich gibt, warum ich dich persönlich hier haben wollte und das Problem.
Max Schrems
Das ist auch schwierig jetzt von vielen Juristen, die da irgendwie herumwappeln und irgendwelche Meinungen von sich geben, wie das alles zu lösen ist, weil wenn du einfach nicht vier Jahre da diese Verhandlung miterlebt hast. Tanzt einfach viele von diesen Dingen einfach nicht wissen, ja. Und das Problem ist, dass jetzt halt wieder blöde, blöde Anwalt glaubt, der kann da nochmal irgendwo ein paar Klienten abschöpfen mit irgendwelchen Meinungsäußerungen, aber es ist halt doch sehr viel komplexer als wie, dass man da jetzt zwei Stunden nach dem Urteil mal schnell sich vorne vor dem Mikro stellen kann, als Anwalt und sagen kann, ha, so ist die ultimative Lösung hier, Ähm das ist halt so unser Kampf jetzt die letzten Tage, dass wir probieren, ist ein bisschen wieder einzu. Na ja und auf jeden Fall das diese ganze Vorlageidee zum EuGH hätte eigentlich von irischen Gericht gestoppt werden müssen das zuständig richtet ihr dann sagen müssen Bullshit das ist steht ausdrücklich hier und warum belästigt sie da den EuGH ein zweites Mal. Ähm.
Linus Neumann
Und da hat aber diese diese Klage ging jetzt von von der Datenschutzbehörde, Irland gegen.
Max Schrems
Gegen Facebook und mich. Also es ist DPC versus Facebook and Drimes. Die wollten mich beim EUGH sogar neben Facebook setzen, weil wir ja gemeinsam verklagt sind, unter Freunde sind. Ich war so nö, ich hätte gerne einen eigenen Tisch. Und äh. Äh ich habe dann von der irischen Behörde noch einen Sessel weggefladert und. Unter Saltina, wie gesagt, ich sitze sicher nicht neben Facebook, wir sind nicht gemeinsam hier. Ähm ja, ich habe den Deutschen gegeben und habe mein Handtuch hingelegt, ne.
Linus Neumann
Sehr gut, sehr gut. Was, was war jetzt die konkrete Forderung.
Max Schrems
Es gibt keine konkrete Forderung, das ist eben das Spannende. Du kannst normalerweise als Beklagter. Ich meine, das ist jetzt sehr nur noch fünfzehn Juristerei, ja, aber du kannst dir jemanden nur klagen auf was, was auch leisten kann, und ich kann ja nicht leisten, eine Vorlage zum Euge hat. Es kann nur das Gericht dort leisten. Sie haben gesagt, wir sind und, wir sind halt gerade da gewesen und und es war grad günstig und irgendjemand müssen sie verklagen, das ist so die Argumentation. Um halt vor ein Gericht zu kommen. Äh äh probier's nicht zu verstehen. Also es ist, wie gesagt, nicht mal meinen irischen Juristen verstehen, wie wir dazu gekommen sind und wie das möglich war. Äh es ist einfach nur. Einfach nur schweigen, ignorieren, vergessen.
Linus Neumann
Okay und jetzt und und das war das Verfahren, was jetzt vom EuGH dazu geführt hat, dass am Ende das Schiel gefallen ist.
Max Schrems
Genau und das war noch lustiger.
Linus Neumann
Aber so viel stelle ich wieder die Situation im Gerichtshalf, wenn wenn Facebook und du quasi auf einer Seite.
Max Schrems
Naja, es waren ja insgesamt zwanzig Anwälte dort mit, da sind dann irgendwelche interessierten Parteien, wie die US-Regierung auch noch da gesessen. Also, wir haben ich probiere das nicht an irisches Verfahren zu erklären, aber, sitzen da praktisch zwanzig Juristen, da hören einen beim Vorlesen zu und das für sechs Wochen, also es ist sehr, sehr, sehr mühsam, Facebook hat circa, also wir haben insgesamt fünfundvierzigtausend Seiten Akten da vorgebracht bekommen, weil Facebook einfach sich gedacht hat, sie spamen da alle voll. Wir haben zum Glück die Unterstützung von der, also von der amerikanischen der Bürgerrechtsorganisation dort mit einer Expertin, die. Das Überwachungsgesetz der USA für uns erklärt haben, er hat und das hat auch sehr gut funktioniert, weil Facebooks Experte einfach. Nur, also der, der mir einen Bericht mit dreihundert Seiten abgeben, wo fast jede Fußnote einfach falsch ist. Also, wo schlichtweg das nicht dort steht, was da der Fußnote ist, Also es war so richtig heftig. Ähm der ist übrigens unibroch in in Texas und und ist auch noch immer auf Twitter, fröhlich unterwegs und verbreitet seinen Blödsinn. Ähm. Äh Peter Schweier ist der und ähm das sind Dinge, da hat's eine Fußnote geben, da ist Training gestanden, die europäische Grundrechteagentur hat festgestellt, dass es in den USA keine Massenüberwachung gi. Jetzt kenne ich den Typen, der das dort schreibt, der hat das sicherlich geschrieben, da brauche ich gar nicht die Fußnote anschauen. Ich hab's mir dann natürlich angeschaut, natürlich steht auf der Seite überhaupt nichts davon, ja. Also, ist auf dem Niveau war da irgendwie das vorbringen von Facebook. Ähm, das war auch qualitativ einfach schlecht, also da, fragst du dich, die haben da hundert Anwälte und und und irgendwie Anwaltskanzleien und investieren da wahrscheinlich Millionen Euro in so einen Fall und die kriegen nicht mal ihre Fußnoten richtig hin, also das ist ähm. Teilweise peinlicher, also ja und für uns günstig, weil wir haben unsere Hausaufgaben ordentlich gemacht ähm und das Lustige, was dieses ganze Verfahren, das wollte ich eigentlich sagen, ist ähm um diese Standardvertragslausung gegangen. Und dann hat im letzten Closing Statement äh Anwalt von Facebook auf einmal gesagt, na ja. Wir reden jetzt unter diese über diese Standardvertragslaus oder also über ein Tool und Daten in die USA zu übertragen. Und diskutieren, ob da eben um Überwachungsgesetze okay oder nicht okay sind, aber im Privacy Shield hat doch die EU-Kommission festgestellt, dass diese ganzen Überwachungsgesetze okay sind, also können die ja schlecht einmal unter einem Tool gut sein und den anderen tut schlecht sein. Und er beruft sich jetzt auf einmal aus Privacy Shield, nicht inhaltlich, dass sie's nutzen würden, sondern die, die, die, äh, das Assessment, was die EU-Kommission drinnen gemacht hat, auf desberufter Sich. Und es war juristisch eine Intellig.
Linus Neumann
Ten im Raum hörst du ein lautes.
Max Schrems
Genau. Und also diese irischen Anwälte machen oft einfach irgendwas, was man ihnen nicht sagt, das ist mir unter auch schon passiert, ähm weil die einfach der Meinung sind, also du redest ja als Partei mit deinem Solistarter, der so Liste da mit dem und der mit dem Gericht. Prost Prinzip Ole und ähm da kommt dann oft hinten nicht das aus, was du vorne reinsackt. Ähm, na ja, auf jeden Fall haben die dann praktisch. Das war so Moment, wo praktisch dieser Anwalt gesehen hat. Des der Zugfahrt grad volle Wäsche auf mich zu und irgendwie ist es, stellt die Standardvertragsklauseln schon heibert unterm Zug drunter schmeißen wir noch schnell mehr Dinge vor den Zug und hat dann halt da nochmal reingeschmissen. Und wir waren so, ja, ja, das Argument macht total viel Sinn. Also, es kann nicht unter den beiden Instrumenten verschieden sein, das ist schon klar, ähm aber es kann halt deswegen nicht stimmen, weil einfach dieses ganze Bullshit ist, ne, ähm und damit ist eigentlich so im letzten Moment Privacy Shilder in dieses Verfahren hineingeflutscht. Und wir haben, muss ich jetzt sagen, auch beim hauptsächlich uns auch konzentriert auf diesen großen Clash zwischen US-Überwachungsgesetzen und europäischen Überwachungsgesetzen. Und auch oder europäischen Datenschutzgesetzen. Und ähm haben praktisch dann nur eine Seite zum Privacy-Schild vorg. Und dann gesagt, das genau gleiche Problem ist, genau beim auch so und deswegen stimmt ABC, die EFG alles nicht und deswegen ist auch zu kippen. Aber es war jetzt außer uns hat niemand die die Ungültigkeit von argumentiert. Aber ich glaube auch nicht, dass wir sozusagen eben im selber so viel zu argumentieren, hat. Weil einfach dieser grundsätzliche Konflikt da ist. Und alles andere, also alle dieser jetzt äh Verfahrenschritte und und und Fuzzis dazwischen, das sind alles einfach nur Teilschritte zu in diesem großen Bild und das große Bild ist, du hast auf der einen Seite vom Atlantik diese Wachungsgesetze und auf der anderen Seite Datenschutz, jetzt muss ich, weil ich das schon hundertmal so gesagt habe, auch noch eine, eine Anmerkung hinzufügen. Wir haben ja auch in Europa solche Überwachungs. Ignoriert. Ähm, wir haben ja auch, was weiß ich, den BND und die französischen Geheimdienste und und die britischen und so weiter. Und das ist ganz interessant, weil ähm diese nationale Sicherheit von den EU-Verträgen vollkommen ausgeschlossen ist. Das heißt, die Mitgliedsstaaten haben in diesem Bereich der EU nie irgendeine Juristiktion gegeben, dass einer der wenigen Bereiche, die vollkommen von EU-Recht ausgeschlossen sind, allerdings nur die nationale Sicherheit der Mitgliedsstaaten. Und das ärgert die USA als ganz besonders, weil ähm die nationale Sicherheit eines Drittstaats, also USA, Nordkorea, China, Russland, wer auch immer, ähm, ist nicht ausgeschlossen davon, das heißt, der EUGH Kanz war was zu Maßnahmen in den USA sagen. Kann aber nichts zu irgendeiner Überwachung in Frankfurt am Netzwerknoten dort sagen, weil das ist wiederum von der, also von der Nationalsicherheit der Mitgliedsstaaten umfasst. Und das ist so eine besondere Absurdität. Und ganz lustig wird's Ende des Jahres, weil dann. Die UK-Endgültigkeit, Mitgliedsstaaten ja auch nicht mehr sozusagen am Papier oder oder mit der Grace Periode. Und dann fallen zum Beispiel diese ganzen Überwachungsgesetze auch unter diese Ironion vom EuGH, das ist so ein Side-Gig, den ich zumindest mal kurz noch erwähnen wollte, weil sonst wie sozusagen immer nur so tun, als ob die Amis das machen würden. Äh ist ja nicht so, dass teilweise die Robert noch weitreiche da sind oder ähm auch teilweise noch, ob.
Linus Neumann
Okay, jetzt ist also das Privacy schielt eher, also in, in eine, also quasi, ohne, dass du das vorhattest oder ohne dass es jetzt ein konkretes Ziel war, ist es, weil.
Max Schrems
War so ein bisschen, wenn wir schon da sind, dann machen wir das doch auch gleich noch. Jetzt sind wir schon soweit gegangen. Das ist dort eigentlich nur noch ins Sidekick hier.
Linus Neumann
Wenn ihr das schon so ähm so, so großzügig mit in den Korb gelegt wird, äh dann dann nimmst du das natürlich mit. Ähm und wir sind juristisch jetzt wieder. In der Situation, in der wir zwanzig fünfzehn schon einmal waren oder äh ist es auch zu einfach dargestellt.
Max Schrems
Ja, wir sind jetzt so ähnlich in einer ähnlichen Situation. Ich glaub. Damals war so dieses, wir ignorieren's einfach zu Tode, es wird schon weggehen. Ich glaube, es wurde euch hart, das ein zweites Mal so gesagt hat, sind, also es hat ja hundert Berichte und Dings und und Papers gegeben, dass da AGH das ja alles gar nicht so gesa. Und das ist dann so ein bisschen die Mehrheitsmeinung in der Juristerei geworden, dass das ja alles gar nicht so gemein. Ähm und ich glaube, den Punkt da ähm ist es jetzt so, dass wir jetzt noch diesen zweiten Urteil äh das schlecht so weiter argumentieren können, dass das nicht so gemeint war und dementsprechend. Gehe ich davon aus, dass das jetzt doch deutlich heftigere Schockwellen. Ausgelöst hat, dass ich im letzten Tage mit ein paar so Industrievertretern gescyped und und und irgendwie mal kurz erzählt, was jetzt da so drinnen steht und was man jetzt machen kann. Und da war die Reaktion doch deutlich. Müde und gedämpfter als.
Linus Neumann
Viel mehr kannst du aber jetzt an zu diesem Zeitpunkt auch noch nicht sagen? Oder was wären im Prinzip deine Forderung, ne? Also du zeigst ja ein. Eine Inkompatibilität auf, du sagst ja auch, sehr klar, äh, ne, das das kann man im Prinzip anhand von Papier klären und anhand von Gesetzen, diese diese inkompatibilitäten aufzeigen. Ähm, was muss sich ändern. Damit wir weiter äh Instagram Influencen können. Und wie lösen wir es auf.
Max Schrems
Ne, ich glaube, man kann sagen, der Auslöser liegt halt in diesen Überwachungsgesetzen in den USA, die Reaktion liegt jetzt beim EuGH, beziehungsweise, er hat beim Europäischen Recht zu einem gewissen Grad, und dieses Reizreaktionsmuster kannst du eigentlich nicht wirklich aufbrechen. Also, das das ist eigentlich das, warum ich auch den Fall nicht besonders gern mag ist, weil wir eigentlich nur das Problem aufzeigen können und keine Lösung haben, Normalerweise probieren wir dann doch irgendwie eine Lösung auch bereitzustellen. Ähm und das ist halt jetzt so ein bisschen die Situation, das heißt, es gibt einerseits die Möglichkeit, dass wir in den USA diese Gesetze ändern, das ist jetzt im. November mit äh Trump vielleicht abgewählt, vielleicht auch ein bisschen einfacher und mit der Industrie, die den großes Interesse hat, das so zu machen, andererseits gibt's halt die Überlegung, dass technisch zum gewissen Grad zu lösen. Das heißt, bei Datentransfers, die in die USA unbedingt gehen müssen, dass man zumindest während des Transfers, dass alles ordentlich verschlüsselt, das sollte eigentlich E-State auf die Arbeit sein, ist halt noch immer nicht immer so. Und die andere Frage ist dann sozusagen, ob wir einfach zum gewissen Grad mit Datenlokalisierung wieder antworten müssen. Absolut kein Fan bin davon, aber es ist ein bisschen die Konsequenz und dann müsste man eben. Systeme so aufbauen, dass die Daten, die nicht ins in die USA gehen müssen, in Europa bleiben und andere Daten, die sozusagen unbedingt in die USA müssen, die kann ich auch weiterschicken, da gibt's diese Ausnahmenbestimmungen im Artikel neunundvierzig, äh, von der DSGVO. Ähm und da müsste ich praktisch jetzt bei Facebookhausnummer das einmal in zwei Facebookstränden und dann die Verbindungen, die absolut notwendig sind, wieder herstellen. Ähm dann habe ich so ein Art föderiertes System, ne? Und ähm dann kann ich sagen gut, meine Message an amerikanischen Freunden, die wir drübergeschickt zum zum US-Facebook und, die Message zu meinem, was weiß ich, äh, deutschen Freund bleibt in Europa und die zu meinem südamerikanischen Freund muss eigentlich auch nicht. Durch die USA durchmarschieren, ne.
Linus Neumann
Mehrere mehrere Cookiebanner, Warenparlamente. Stimmen sie zu, möchten sie diese Nachricht in den US-Amerikan.
Max Schrems
Das geht eigentlich gar nicht so leicht. Ähm also.
Linus Neumann
Also wäre ja ein riesen Problem, ne? Also es.
Max Schrems
Ja, selbst die Cookiebander sind sozusagen, also ich meine, die Cookiebahn, das, wenn irgendjemand sich ärgert, über Cookiebahn, dass ich sage, ist, ich sage immer, dazu ist es nicht die DSGVO, die die ausgelöst hat, das ist, wenn man's richtig macht, dürft solche Cookie bei uns überhaupt nicht geben, aber das ist eine Frage von Durchsetzung. Ähm bei der Frage Datentransfer sind die USA, brauche ich eine explizite und informierte Zustimmung und das ist de facto nicht ganz möglich, weil diese Unternehmen auf der einen Seite sagen müssen, na, wir machen ja keine Massenüberwachung nach amerikanischem Recht, die müssen das ja verschweigen und und das ist ja geheim. Gleichzeitig müssen sie uns nach europäischem Recht informieren drüber, sonst gilt meine Zustimmung nicht und damit widerspreche ich wieder eine von diesen beiden Gesetzen. Also die Zustimmung ist gar nicht so banal, weil ich kann ja auf der einen Seite nicht sagen, ja, ja, ich gebe alles der NSA, wenn ich dann auf der anderen Seite in den USA wieder gegen das Gesetz verstoß, während wenn ich sage, ich schick's nur in die USA, ohne zu sagen, dass die Sachen auch bei der NSA landen, ähm, habe ich die Leute nicht ordentlich informiert drüber, ne, also dann habe ich sie über den Springen Punkt dieser ganzen Problematik ja nicht informiert. Also so was wie eine Klicklösung ist glaube ich nicht unbedingt was, was realistisch ist, ähm und ich glaube, deswegen haben wir erst auch gerade so Schweigen im Wald, auf der Industrieseite, weil das alles jetzt wirklich, deutlich einen in Wirklichkeit zwei Instrumente weggeschossen hatten und jetzt ist nicht mehr viel da.
Linus Neumann
Jetzt gibt es. Das Ganze muss halt, glaube ich, auch noch, du hast das gerade schon angefangen in die Metaperspektive, zumindest eingeordnet werden, dass wir ja an anderer Stelle, uns darüber austauschen, darüber diskutieren darüber gesellschaftlich sprechen, quasi diesen Austausch der Geheimdienste untereinander, ne? Wir haben also hier während wir an wer du an der einen Seite, ne, dich hier mit dieser, mit der Datenschutzgesetzgebung, mit den Überwachungsgesetzen, in den USA, auseinandersetzt, diskutieren wir, freimütig, an anderen Stellen diesen Ringtausch, in dem ja, den die Länder oder. Geheimdienste der der Staaten nutzen, um im Prinzip ihre eigenen Überwachungsrestriktionen zu umgehen, ja? Quasi zu sagen, okay, wir dürfen zwar keine deutschen Überwachung, aber wir können uns können uns darauf verlassen, dass unsere US-Amerikanischen großen Brüder und schon Bescheid geben, weil die dürfen die ja wiederum überwachen. Und dafür überwachen wir Leute, die die nicht überwachen dürfen oder äh nutzen, äh greifen auf Daten zu, die, die nicht haben, helfen ihnen in Bad Eiblingen, ähm spielen solche, also in, in all das spielt das herein. Glaubst du, dass es die, auf der Ebene. Auf der du dich jetzt gerade bewegst, dass da dieser Ringtausch auch eine Rolle spielt, dass der quasi im Hinterkopf ist, um zu sagen, naja, müssen wir schon irgendwie machen oder glaubst du, so groß ist die Verschwörung doch nicht.
Max Schrems
Also, ich glaube nicht, dass es jetzt da Hintergrund ist, warum die Europäer da dahinter sind. Ich glaube, sie sind reine wirtschaftliche Interessen, die das Hauptthema da sind, äh in meiner Wahrnehmung, ja, ich muss es da auch dazu sagen, ich bin kein Experte, was eine sehr unkobetrifft, wir schauen uns das rein von der kommerziellen Seite an, ob die das weitergeben dürfen oder nicht. Ähm, ich glaube, sozusagen, was ich zuerst habe, ist diese Sache, dass wir weltweit ein oder zumindest innerhalb der westlichen Länder, ein eine allgemeinen Grundsatz haben, wie weit diese Überwachung gehen darf, wird ja zum gewissen Grad die Probleme dieses Ringtauschs auch wieder erledigen, Also, wenn ich jetzt sage, gut, wir haben allgemein Wurstoxister BND ist, ob's die drei doofen Polizisten in Österreich, bei unserem, unter Anführung des Zeichengeheimdienst äh sind oder ob's jetzt die NSA ist, wissen wir, dass es gewisse gibt, die nicht überschritten werden. Und ähm wenn da die Grenze liegt, also wenn schon beim die Grenze wiegt, dann ist es nachher wieder egal leer, ob das im Kreis herumgetauscht wird, ja? Ähm und ich glaube, das wäre eben, ich meine, es ist auch andererseits sozusagen durchaus verständlich, dass man sagt, wenn jetzt, was weiß ich, äh wir in Österreich, irgendeine Erkenntnis haben zu irgendeinem äh Terroristen in in Deutschland, macht's ja durchaus Sinn, mal zu sagen, hey, liebe Leute, wir haben da was, das interessiert euch, ne? Es ist ja nicht. An sich keine, keine, keine doofe Idee, wenn's natürlich dazu führt, dass du praktisch wie du vorher beschrieben hast, die Rechte von allen am Ende fixt, weil du einfach im Kreis. Das jeweils umgehst, dann haben wir ein Problem. Und eine Möglichkeit wäre halt das schon beim zu zu regulieren oder da ein gewisse Grundsatzlevel zu haben und da muss man auch, glaube ich, nochmal herausarbeiten, dass sie diese Geheimdienste traditionell nicht dafür da sind, hinter einzelnen Leuten hinterher zu spionieren, was sie aber seit niner Level einfach machen, also ganz viel von dem, was da jetzt unter Geheimdienst läuft. Sind Dinge, die traditionell Polizeiarbeit sind. Und ähm das ist einfach immer mehr verschwommen ineinander. Und ich glaube, da muss man dann auch sagen, gut, dann müssen auch die, die Beschränkungen einfach ähnlicher der klassischen Polizeiarbeit werden, weil ich eben nicht sagen kann, ich mache jetzt auf einmal das, was immer schon für die Polizei nicht erlaubt war, auf einmal ohne irgendein Problem, nur weil ich mich Geheimdienst nenne, das ist als Bürger mir relativ wurscht, welches Logo, die draufkleben haben, wenn sie am Ende der einzelnen Leute hinterher spielen, ja. Ähm und, da braucht's, glaube ich, eine für breitere Diskussion und und irgendwie eine Wahrheitsfindung da. Ich glaube nur, dass es sozusagen durch politische Diskussionen auf, auf auf globaler Ebene nicht funktionieren wird. Also, das, da wird's immer irgendjemanden geben, der sagt, er macht. Deswegen bleiben dieser Zugang da praktisch die Industrie mit reinzubringen, ins Boot einer, der vielleicht ein bisschen besser funktionieren kann, zumindest in Teilen, weil's dann einfach Wirtschaftsinteressen gibt, die dahinter stehen. Das ist auch zum Beispiel der Grund, warum wir in Europa irgendwie Datenschutzrecht haben, ist, dass halt äh die Industrie gesagt hat, ich würde gerne, was weiß ich, aus Deutschland, nach Griechenland, Daten schicken. Aber Griechenland hat keine ordentlichen Regelungen, jetzt kann ich das nicht ordentlich machen, ähm können wir uns nicht einfach eine gemeinsame Rechtsrahmen geben und dann können wir eben hin und her schicken, so viel wie lustig sind, ne, also das hängt auf der wirtschaftlichen Ebene durchaus miteinander zusammen, und wenn wir das auch über die EU hinaus ein bisschen verbreiten können, diese Idee ergänne ich, ich weiß, dass es sozusagen jetzt nicht wahrscheinlich, dass das nächstes Jahr passiert oder so, aber dann könnten wir durchaus was bewegen, also Kollegen in den USA sind jetzt schon sehr, es ist einer der wenigen. Türchen, die sich öffnen, dass man in den USA bei Überwachungsreform überhaupt irgendwie mal angehört wird, ne.
Linus Neumann
Okay, also das Thema bleibt spannend. Du hast gerade gesagt, der Fall gefällt dir nicht besonders, welche Fälle, die du oder die Neubrade behandelt, gefallen dir besser.
Max Schrems
Äh wir schauen gerade praktisch durch die ganze DSGVO durch angefangen von Auskunftsersuchen, die ordentlich beantwortet werden sollten. Also wir haben mal so Testersuchung gemacht, um praktisch nie kriegst du deine Daten, so wie die DSGVO vorschreib, ähm über Zustimmungsdebatten, also diese Cookiebanner, die eigentlich gar nicht so sein sollten, wie sie jetzt überall auf der Welt unterwegs sind, sondern ich sollte ja da eigentlich eine ja, nein, Option haben und nicht eine ja oder die fünf Stunden Tauchenoption, ne, äh Und äh da gibt's, wir haben ein ganzes ganzen Haufen an Projekten derzeit. Wir schauen uns gerade die Kugel, die an, die Apple AidI, die ähm allgemein online ähm diese ganzen und Co. Also äh wir haben letz, wirklich ich, müsste jetzt nochmal auf die Webseite schauen, was alles lauft. Ich glaube, wir haben derzeit dreißig Verfahren laufen. Ähm auch eins in Österreich, eben zu Facebook, wo es darum geht, was dem kommerziell mit den Daten machen, äh mit wem die alle die Daten austauschen, et cetera. Und da. Glaube ich, uns unsere Hauptrolle, dass gerade die großen Konzerne einfach gesagt haben, gut, die DSGVO sagt, wir dürfen das nicht, aber jetzt streiten wir uns einfach mal zehn Jahre drum, ob das die wirklich sag. Und diese zehn Jahre machen wir noch fette Gewinne und ähm und das ist ein bisschen so der Ansatz, den wir von der Industrie teilweise sehen. Und die normalen Unternehmen, die sich sozusagen jetzt nicht hauptsächlich, durch Datenverhören bereichern. Ähm die probieren sie ja eben großen und ganzen, dass da einzuhalten. Und ähm deswegen kümmern wir uns halt da um die, die wirklich, wir nennen sozusagen bewussten strukturellen Rechtsbruch betreiben ähm und da kretschen wir gerade rein und das sind so Dinge wie was wir sich hier vor kurzem mit jemanden von Kugelspra. Ja, ja, ihr könnt's ja ehere Daten haben, da gibt's einen Download-Tool und da haben wir halt das reingegeben, wo wir glauben, dass es euch interessieren könnte, gesagt, ja, das ist nicht das, was das Gesetz sagt, das Gesetz sagt alles. Und, ähm ja, das verstehen sie einfach anders und sie glauben, dass es nicht nutzvoll für den Nutzer, wenn sie wirklich sich ans Ganz ins Gesetz halten so, ne. Also das sind wir, wir diskutieren die DSGVO mit diesen Konzernen wirklich noch auf dem Niveau, und da ist sehr, sehr viel Arbeit, die jetzt. Vereinfacht statt im täglichen Business von Leuten, also im täglichen ähm was weiß ich, stimmen wir einen Schuhvereintrag oder nicht, ähm durchaus ein Thema sind, die vielleicht vielen Leuten eher sind, als dieser jetzt Massenüberwachungsthema.
Linus Neumann
Wunderbar, dann wünsche ich euch damit viel Erfolg. Ich danke dir, dass du dir die Zeit genommen hast, dieses dann doch sehr äh, chaotische und wirre Urteil nochmal für uns aufzudröseln. Ähm ich war an dem Tag als das Gefällt wurde in einem anderen, Presseinterview und wurde dann noch schnell angeschaut. Ja, kannst du nochmal ganz kurz was zu dem zu dem Shrimps zwei Urteils sagen. Und ich habe wirklich gesagt, dass Leute, das ist so kompliziert. Ähm, Max hat mir das schon mal eine Stunde lang erklärt und ich hab's nicht ganz aufdröseln können. Ähm und habe dann mich auf den Satz versteift, den du vorher auch schon sagtest. So, na ja, am Ende sitzt halt die äh, Überwachungsgesetz, der USA, die halt gegen unsere Grundrechte verstoßen haben müssen, die halt fallen und nicht unbedingt unser Privacy schielt, ne.
Max Schrems
Ich glaube, das ist auch das, ähm, abschließend vielleicht kurz für Leute, die zuhören, wir werden jetzt noch die nächsten Tage noch ähm auf unserer Webseite eben veröffentlichen, wie kann ich mich zum Beispiel sagen, ich hätte gern, dass meine Daten jetzt eigentlich zurück in Europa gehostet werden, weil meine Dienste anbieten, et cetera, falls es Leute interessiert, ähm wir sind da jetzt auch so Stück für Stück für Stück am Abarbeiten. Und probieren sowas auch dann sozusagen praktische Umsetzungsdinge irgendwie da zu verbreitern, ähm damit man auch was raushauen kann aus dem Ding, ne.
Linus Neumann
Erstaunlich. Was so zwei Österreicher Jungs da mit Neub und Episenter äh regelmäßig an Erfolgen feiern oder an, sagen wir mal, rechtlich bedeutsamen Situationen schaffen. Ähm herzlichen Glückwunsch und alle Anerkennung dafür. Ich bin mir sicher, es fehlt nicht so lange dauern, bis wir uns hier wieder hören magst.
Max Schrems
Perfekt. Letzter Österreicher Satz, das scheiß doch nichts, dann feiert er nix.
Linus Neumann
Und ich danke noch kurz Jonas Jannek und Marco und natürlich nochmal dir Max und äh schöne Grüße an den Tim, der soll auch mal ein paar Podcast-Folgen liefern hier. Tschau, tschau.

Shownotes

6 Gedanken zu „LNP354 „Schrems II“

  1. Kommt das nur mir so vor, oder fehlt bei ca. 13:40 ein bisschen was?

    Direkt hinter: „Bzw. Kann’s inzwischen zehn andere Programme“.
    Bei mir geht es dann weiter mit: „haben können, sich aber bewegen hätten sollen…“.

    Oder ist das was Österreichisches, das ich nur nicht verstehe?

  2. Da ihr auch das Thema „Lokalisation“, d.h. lokales Hosting angesprochen habt:

    Würde das überhaupt etwas bringen? Oder erstreckt sich die Überwachungsbefugnis der Geheimdienste und die Kooperationsverpflichtung amerikanischer Unternehmen nicht auch auf die Rechenzentren der europäischen Tochtergesellschaften? Die Frage zielt vor allem auf die amerikanische Gesetzeslage, die gelebte Praxis ist ja dann nochmal ein anderes Thema.

    Ich habe bei der Frage vor allem Microsoft im Kopf. Während bei Facebook jeder noch (halbwegs) seine eigenen Daten verarbeitet (stimmt natürlich nicht, Fotos von anderen Leuten etc.), ist es doch so, dass nahezu jedes Unternehmen fremde Daten mit Excel verarbeitet und häufig auch noch bei Microsoft in die Cloud schiebt.

    • Die Frage wurde eine Weile vor Gerichten untersucht, bis der US-Gesetzgeber mit dem Cloud Act vorgeschrieben hat, dass US-Firmen gefälligst auch Daten herausgeben müssen, die Tochterunternehmen haben, die gar nicht in USA sitzen. Bei den Gerichtsverfahren ging es IIRC um Daten, die Microsoft in Irland hatte, die irgend eine US-Behörde haben wollte. Und seit dem Gesetz ist ziemlich klar, dass der einzige Weg an einer Datenherausgabe vorbei dadurch gegeben ist, dass kein Teil eienr US-Firma an Daten herankommen darf. Ich rate mal, dass es vielleicht noch eine Gesetzesänderung für Apple geben könnte, die ja bestimmte Daten nicht herausgeben, weil die auf ihren Servern nur verschlüsselt lagern, die Schlüssel aber in Endgeräten der Kunden bleiben.

      Die EU macht auch gerade Geräusche, so etwas Ähnliches zu wollen, aber noch haben die Nachrichten das nicht aufgegriffen. Es wäre ja auch komisch, wenn EU-Gesetzgebung gegen die Interessen vieler Bürger frühzeitig zu Protesten führen könnten. Da könnten die Sicherheitskräfte, die laut dem ollen Uhl hier regieren, das ja gar nicht ungestört tun.

  3. Danke für das heftige Interview! Interessant, dass gewisse Überwachungsgesetze zur nationalen (!) Sicherheit von EU-Mitgliedsstaaten aus sämtlichen EU-Vereinbarungen zu Datenschutz usw. ausgeklammert sind. Auch ein netter Widerspruch gegen den man zumindest politisch aktiv werden könnte – ob es da juristisch einen Weg gäbe, wäre eine Frage @MaxSchrems. Aber insofern schon verständlich, dass die USA ein bisschen angepisst sind, denn die EU ist letztlich ebenso scheinheilig von wegen >Wir sind die Datenschutz-Vorzeigestaaten deshalb kappen wir den privacy shield wegen eurer bösen Überwachungspraktiken, aaaaaber ähem, unsere eigene Überwachungsinfrastruktur kommt, äh, in dieser Ermessensgrundlage nicht vor, weil, äh, das ist dann nationales Recht was gaaaar nix mit der EU zu tun hat< Wie Max schon andeutete: Dass die DSGVO oder auch das Kappen des privacy shields politisch überhaupt gelingen konnten, hängt sicher mit Rückenwind aus der europ. Wirtschaft (mit Ausnahme von data brokers natürlich) zusammen, die sich vor Industriespionage sorgt. Dass bei der Gelegenheit auch Grundrechte für Alle mit erstritten wurden, ist machttechnisch gesehen wohl eher ein side-effect. Faktisch ist es aber nichts anderes als ein Edward Snowden in Russland. Es wird Zeit, dass sich im eigenen Land bzw. in der EU nun etwas verändert, das auch wirklich ein besseres Stück Gesellschaft liefert. Da stehen einerseits nationale Überwachungsgesetze im Weg, aber man könnte die Gelegenheit außerdem nutzen zu fragen, wie das Eigentums-, Demokratie- und Geschäftsmodell von Dienstleistern aussehen sollte, die Clouds oder eben ein soziales Netzwerk als Dienstleistung bereitstellen. Die datengetriebene Werbewirtschaft von US-Plattformkapitalisten, gegen die sich jetzt (allerdings eher aus Spionagesorgen heraus) wirksamer Unmut erhebt, ist gerade in dieser Hinsicht alles andere als ein Vorbild. Was wenn nicht jetzt, können Unternehmen und neue Plattformen in Europa besser machen?

  4. @MaxiBlum: Ob und wie ein Staat seine eigenen Bürger überwacht ist hier tatsächlich sekundär. Und, da es staatliche Souveränität ja wohl geben soll, zunächst allein SEINE Sache bzw., in einer Demokratie, eine Sache des „Souveräns“, der Wähler = Bürger.
    Ich kann aber die Souveränität eines anderen Staates auch einfach dadurch untergraben, dass ich dessen Bürger (u.a. durch kostenlose Dienste und bunte Bonbons) motiviere, sich vor dem anderen Staat vollständig und in Echtzeit nackig zu machen.
    Das ist für die Souveränität eine Demokratie tödlich: Wer alles über die Bürger des anderen Staates weiß und zugleich weiß/verhindert, dass dieses Wissen auch der auf diese Weise de facto überwachte Staat hat, hat Macht über seine überwachten Subjekte und auch deren „freiheitliche Demokratie“, kann jegliche Entscheidung und insbesondere Wahlen maximal und dennoch geheim, beeinflussen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.