Datenschutz und Facebook - das Thema ist zwar relevant, aber wenig klickträchtig. Zu abstrakt und kompliziert sind vielen die Details, die in endlosen Nutzungsbedingungen und ebenso umfangreichen EU-Verordnungen stecken.

Besser erzählen lässt sich die Geschichte von einzelnen Menschen, die dem Prinzip Facebook den Kampf ansagen. Als die ehemalige Facebook-Angestellte Frances Haugen sich vor kurzem als Whistleblowerin zu erkennen gab, die schwere Vorwürfe gegen den Konzern erhebt, sorgte das durchaus für Schlagzeilen.

Ähnliches gilt für Max Schrems: Der österreichische Jurist kämpft seit Jahren für mehr Datenschutz im Netz und hat gegen Facebook schon spektakuläre Erfolge errungen. 2015 gratulierte ihm dazu sogar Edward Snowden.

Längst ist Schrems zum professionellen Aktivisten geworden, gemeinsam mit der von ihm mitgegründeten Nichtregierungsorganisation "None of your business" (Noyb), zu Deutsch in etwa: "Das geht dich nichts an." Sein Einsatz für mehr Datenschutz sei ein "endloser Kampf", hatte Schrems schon 2018 im Deutschlandfunk gesagt.

Auf den ersten Blick kann Schrems nun wieder einen Sieg verbuchen: Nach einem von ihm angestrengten Verfahren hat die irische Datenschutzbehörde vorgeschlagen, gegen Facebook eine Strafe von 28 bis 36 Millionen Euro zu verhängen, weil der Konzern die europäischen Datenschutzbestimmungen umgangen haben soll. Das steht in einem Entwurf, den die Behörde für eine Entscheidung über eine von Schrems eingereichte Beschwerde vorgelegt hat.

Zufrieden ist der der Datenschutzaktivist mit diesem Vorschlag allerdings nicht. Die angedachte Strafe betrage 0,048 Prozent des weltweiten Konzernumsatzes und liege damit weit unter dem möglichen Strafrahmen von vier Prozent, kritisierte er in einem Statement, das die NGO Noyb veröffentlicht hat. Schrems beklagt darin zudem, dass zwischen der irischen Datenschutzbehörde und Facebook mehrere geheime Treffen stattgefunden hätten.

Auch inhaltlich übt der Aktivist Kritik: Die geplante Entscheidung würde es Facebook ermöglichen, die Datenschutzgrundverordnung (DSGVO) der EU auch in Zukunft zu umgehen - und zwar durch eine Finte. Indem der Konzern mit den Nutzerinnen und Nutzern keine "Einwilligung", sondern einen "Vertrag" schließe, müsse er sich an zentrale Anforderungen des europäischen Datenschutzes nicht halten. Dieses Vorgehen will die Behörde nach Darstellung Schrems auch in Zukunft nicht unterbinden.

Wie das Fachportal Netzpolitik.org schreibt, ist die Chefin der irischen Datenschutzbehörde hingegen der Ansicht, Facebook mache kein Geheimnis daraus, dass es personalisierte Werbung einsetze: "Meiner Ansicht nach ist ein vernünftiger Nutzer – basierend auf der öffentlichen Mediendebatte über dieses und andere Themen – gut darüber informiert, dass dies die Natur der Dienste von Facebook ist und Teil seiner Vertragsbedingungen", heißt es demnach in dem Entwurf.

"Es ist schon sehr, sehr auffällig, dass die irische Datenschutzbehörde praktisch in jedem Fall sehr anders entscheidet als die anderen europäischen Datenschutzbehörden - sehr unternehmensfreundlich", kommentierte Max Schrems die Entscheidung im Deutschlandfunk. Irland verdiene sehr viel Geld an den großen Konzernen, weil diese dort ihre EU-Hauptsitze hielten. Deswegen würden allgemeine Regeln nicht sehr stark durchgesetzt. Auf etwa 10.000 Beschwerden im Jahr kämen nur sechs bis sieben Entscheidungen. Dabei sei Irland EU-weit zuständig für die großen Konzerne.

Die gesetzlichen Vorgaben zu vereinfachen, helfe wenig, sagte Schrems: "Transparenz wird uns nicht ultimativ helfen. Die Dinge sind so komplex, dass der durchschnittliche Nutzer das einfach nicht mehr versteht." Die Lösung sei eine strukturelle Rechtsdurchsetzung in Europa. Im Datenschutzbereich seien die Gesetze seit den 90er-Jahren ziemlich ignoriert worden. "Wenn da jetzt nicht massiv durchgesetzt wird bei den großen Konzernen, dann werden wir uns weiter lächerlich machen", warnte Schrems.

2015 und 2020 hatte Schrems beim Europäischen Gerichtshof durchgesetzt, dass Facebook die Daten europäischer Kundinnen und Kunden nicht ohne Weiteres in die USA verschieben darf. In den USA gelten laxere Datenschutzbestimmungen gelten. Zudem könnten dann womöglich US-Geheimdienste auf die Daten zugreifen. Im ersten Urteil erklärte das Gericht das von der Europäischen Kommission ausgehandelte "Safe-Harbor-Abkommen" für ungültig, im zweiten kippte es die Vereinbarung "Privacy Shield".