Ab heute gilt in den EU-Staaten die Datenschutz-Grundverordnung. Gleich zum Start fahren Aktivisten schwere Geschütze auf. Sie orten gesetzwidrige "Zwangseinwilligungen" durch Tech-Konzerne. Der Strafrahmen geht in die Milliarden.
Max Schrems hat nicht lang gefackelt. Seit Freitag ist die Datenschutz-Grundverordnung der EU in Kraft. Und die neue Ära startete gleich mit der entscheidenden Nagelprobe: Der österreichische Aktivist legte mit seinem Verein noyb.eu bei vier europäischen Datenschutzbehörden Beschwerden gegen US-Tech-Giganten ein. Drei richten sich gegen den Facebook-Konzern: das Soziale Netzwerk selbst (eingereicht in Wien), den Messaging-Dienst Whatsapp und die Foto-App Instagram. Die vierte betrifft Android, das Betriebssystem von Google.
Der Vorwurf: Die Dienste ließen ihren europäischen Usern getreu dem Motto „Friss oder Stirb“ keine freie Wahl, ob sie einer Nutzung nicht notwendiger Daten auch nach der neuen Rechtslage zustimmen. Man habe die Nutzer zur Zustimmung gezwungen, was die EU-Verordnung verbietet. Sie sieht weit höhere Strafen vor als bisher: in schweren Fällen bis zu vier Prozent des weltweiten Jahresumsatzes. Damit geht der theoretische Strafrahmen für beide Firmen in die Milliarden.
Rettung des Geschäftsmodells
Nun muss sich entscheiden: Zwingt der neue EU-Datenschutz auch die IT-Riesen, sich daran zu halten? Und das hieße: Ihr Geschäftsmodell zu ändern. Denn darum geht es im Kern des sich anbahnenden großen Rechtsstreits.
Die EU-Verordnung sieht ein „Kopplungsverbot“ vor: Der Anbieter darf seine Leistung nicht mehr davon abhängig machen, ob der Kunde einer Datenverwertung zustimmt. Ausgenommen ist freilich jede Nutzung, die für die Erfüllung der Leistung notwendig ist. Bei Facebook geht es dabei sicher um Informationen zur Person, die es braucht, um mit anderen in Kontakt zu treten. Nicht dazu zählt eigentlich Datensammlung für maßgeschneiderte Werbebanner. Aber gerade damit macht der Tech-Konzern sein Hauptgeschäft.
Trick mit der Werbung
Um die Zustimmung dazu von fast allen zu erhalten, hat Facebook nach der rechtlichen Analyse von Schrems zu einem Trick gegriffen: In neuen Nutzungsbedingungen, denen der User zustimmen muss, stellt die Plattform es als ihre Gegenleistung oder Pflicht dar, dass sie personalisierte Werbung zur Verfügung stellt. Damit wird Werbung, die niemand haben will, zum Vertragsbestandteil und das Rausrücken der Daten notwendig zur Erfüllung der Leistung.
Solche Tricks haben die Gesetzgeber aber vorausgesehen. So heißt es in einer Richtlinie der europäischen Datenschutzbehörden vom November: „Die Verarbeitung persönlicher Daten“, für die es sonst eine Einwilligung bräuchte, „kann nicht direkt oder indirekt zur Gegenleistung in einem Vertrag werden“. Auch dann nicht, wie es in einer Klarstellung von EU-Juristen heißt, wenn sie „im klein gedruckten Teil des Vertragstextes ausdrücklich erwähnt“ wird. Entscheidend sei, welche Leistung der Kunde oder Nutzer haben will. Und niemand legt ein Facebook-Profil an, um Werbung zu erhalten.
„Wie bei einer Wahl in Nordkorea“
Zur Erreichung ihres Zieles seien die Dienste höchst aggressiv vorgegangen. Pop-up-Fenster machten deutlich, dass eine Einwilligung die einzige Möglichkeit ist, um sie weiter zu nutzen. Als Alternative blieb nur: die Löschung des Kontos bei Facebook, Instagram oder Whatsapp, wo viele Nutzer wertvolle Erinnerungen und Kontakte abgespeichert haben. Oder das neue Handy wegzuwerfen, weil man es ohne Android überhaupt nicht verwenden kann. „Das ist schlicht Erpressung“, sagt Schrems. Zudem hätten beide Konzerne ihre marktbeherrschende Stellung ausgenutzt. Auch das verbietet die Verordnung. Das Fazit des Aktivisten: „Da ging es so frei zu wie bei einer Wahl in Nordkorea“.