Netzpolitik
26.06.2013

PRISM: "Europe-v-Facebook" zeigt Firmen an

Mitglieder der Studenteninitiative "europe-v-facebook.org" und Nutzer der Dienste von Facebook, Apple, Microsoft, Skype und Yahoo haben gegen die verantwortlichen Internet-Unternehmen am Mittwoch mehrere Anzeigen nach EU-Datenschutzrecht eingebracht.

Grund für die Anzeige ist die im Zuge der PRISM-Affäre bekannt gewordene potenzielle Zusammenarbeit der Web-Dienstleister mit dem US-Geheimdienst NSA. Beschwerden in Irland (gegen Facebook und Apple), Luxemburg (gegen Skype und Microsoft) sowie Deutschland (gegen Yahoo) richten sich nach einer Aussendung der Studenteninitiative gegen den Transfer von Nutzerdaten der europäischen Tochterunternehmen in die USA.

Der PRISM-Skandal spiele sich zwar in den USA ab, die betroffenen Unternehmen wickelten ihre Geschäfte aus Steuergründen aber meist über Tochterunternehmen in der EU ab. Diese Unternehmen fielen daher voll unter den europäischen Datenschutz, obwohl die Nutzerdaten meist vom amerikanischen Mutterkonzern verarbeitet würden, so die rechtliche Begründung. „Die US-Unternehmen haben, um Steuern zu sparen relativ verzweigte Firmenkonstrukte und nutzen die unterschiedlichen Gesetze aus. Die Steuertrickserei bringt die Unternehmen aber auch in die Zwickmühle zwischen amerikanischem und europäischem Recht“, so der Österreicher und „Europe-v-Facebook“-Sprecher Max Schrems.

Rechtsfrage
„Mehrere Journalisten haben uns die letzten Wochen gefragt, ob PRISM aus europäischer Sicht legal ist. Wir haben uns das jetzt genauer angesehen. Das Resultat war - auch nach Rücksprache mit Experten - dass es wegen der rechtlichen Konstruktion der Unternehmen illegal ist.“ Wenn ein europäisches Tochterunternehmen die Nutzerdaten zum amerikanischen Mutterunternehmen schickt, liege demnach ein Export von Daten vor. Nach EU-Recht sei ein solcher „Export von Daten ins EU-Ausland“ aber nur erlaubt, wenn vom europäischen Unternehmen im Zielland, also zum Beispiel den USA, ein „angemessenes Schutzniveau“ für das Grundrecht auf Datenschutz garantiert werden kann.

Vertrauen
Nach den Enthüllungen des Ex-Geheimdienstmitarbeiters Edward Snowden und des „Guardian“ sei bei den Unternehmen, die am PRISM-Programm der NSA teilnehmen sollen, das Vertrauen in ein solches „angemessenes Schutzniveau“ erschüttert. „Von einem angemessenen Datenschutz kann natürlich nicht die Rede sein, wenn am anderen Ende der Leitung mit der NSA kooperiert wird. Man muss daher davon ausgehen, dass ein Export der Daten in die USA illegal ist, wenn die Unternehmen nicht garantieren können, dass diese Berichte falsch sind“, so Facebook-Kritiker Schrems. „Im Kern geht es darum, ob ein europäisches Unternehmen einfach so Nutzerdaten einem fremden Geheimdienst überlassen kann. Die US Regierung hat die Anschuldigungen des `Guardian` nicht klar zurückgewiesen. Die Unternehmen wiederum müssen nach US-Recht schweigen oder sogar lügen. Daher muss man bisher leider davon ausgehen, dass die Berichte der Wahrheit entsprechen“, erklärte Schrems.

SWIFT
Schon 2006 sei vom Gremium der europäischen Datenschutzbehörden im „SWIFT“-Fall entschieden worden, dass eine Massenweitergabe von Daten an US-Behörden illegal ist. Damals hatte der Zahlungsabwickler „SWIFT“ seine Daten über ein Serverzentrum in den USA zwecks Terrorismusbekämpfung an das US-Finanzministerium weitergegeben. Schrems: „Das PRISM-Projekt soll laut `Guardian` gleich funktionieren wie die Datensammlung bei SWIFT.“

Mit ihren Anzeigen will die Studenteninitiative eine Klarstellung durch die Datenschutzbehörden erreichen. „Wir wollen eine klare Aussage der Behörden, ob ein europäisches Unternehmen einfach fremden Geheimdiensten Zugriff auf seine Kundendaten geben darf. Wenn das legal sein soll, dann müssen wir wohl die Gesetze ändern“, so Schrems. Darüber hinaus will man einen tieferen Einblick in die Machenschaften der betroffenen Unternehmen bekommen. „In einem europäischen Verfahren müssen die Unternehmen jetzt genauer sagen was sie tun. Wenn die Unternehmen weiter nur abblocken, dann laufen sie Gefahr keine Daten mehr in die USA übermitteln zu dürfen.“

Google
Google und YouTube sollen übrigens ebenfalls - zu einem späteren Zeitpunkt - belangt werden. „Google und YouTube wickeln die Verträge ohne europäische Tochterunternehmen ab, daher ist die Lage hier etwas komplizierter. Aber da Google Serverfarmen in Irland, Belgien und Finnland hat, kann man aber auch hier eventuell etwas machen.“

Die Studentengruppe „europe-v-facebook.org“ hat sich 2011 gebildet und in Irland mehrere Verfahren gegen Facebook angestrengt, die zu einigen Änderungen im Angebot des Sozialen Netzwerks geführt haben. So musste Facebook die Gesichtserkennung innerhalb der EU ausschalten, von Nutzern gelöschte Daten, die von Facebook weiter gespeichert wurden, endgültig löschen und seine Datenschutzrichtlinie wiederholt anpassen. Schrems: „Bei Facebook haben wir schon einiges geschafft, aber die Behörde in Irland macht es uns nicht leicht. Wir erwarten aber bald eine endgültige Entscheidung, die wir auch vor den Gerichten bekämpfen können. Die PRISM-Anzeige gegen Facebook läuft innerhalb des gesamten Verfahrens und ist damit schon Anzeige Nummer 23 gegen Facebook.“

Mehr zum Thema

  • Keine Einigung auf EU-Datenschutzreform
  • "Österreich soll starken Datenschutz fordern"
  • Facebook-Streit: Schrems kriegt Unterstützung