Max Schrems hat schon gegen die ganz Großen gekämpft. Der österreichische Datenschutz-Jurist hat Facebook bezwungen und die EU-Kommission dumm dastehen lassen. Dem US-Geheimdienst NSA hat er zumindest viel Arbeit gemacht. Dieses Mal ist sein Gegner schwerer zu lokalisieren, er ist überall und nervt im Alltag viel mehr als ein einzelner Konzern oder Geheimdienst. So sehr, dass man Lust kriegt, den Laptop zuzuknallen.
Schrems' neues Ziel sind jene Cookie-Banner, die viele Internet-Nutzer als digitale Seuche empfinden. Seit in der EU die Datenschutz-Grundverordnung gilt, hängen vor vielen Websites solche Hinweisschilder wie schwere, blickdichte Vorhänge. Sie klären Besucher auf, dass sogenannte Cookie-Dateien auf ihren Geräten gespeichert werden und Daten über sie sammeln. Erst nach einem zustimmenden oder ablehnenden Klick können Nutzer den Inhalt der Seite sehen. Wer zugestimmt hat, darf von der Technik hinter der Seite analysiert werden. Manche halten das Netz wegen der sperrigen Banner für kaum noch benutzbar. Auch Schrems, der eigentlich immer gut gelaunt wirkt, sagt: "Jeder in Europa hasst Cookie-Banner." Er will das Internet aufräumen.
Viele Banner forderten auf rechtswidrige Weise die Zustimmung ein, sagt der 33-Jährige. Sie seien so gestaltet, dass kaum jemand kapiere, welche Daten über ihn erfasst würden, und wie er das verhindern könne. Software-Firmen, die Banner für Webseiten-Anbieter bauen, hätten sich auf Manipulation spezialisiert. Da ist der Knopf für die bedingungslose Zustimmung zur Überwachung markant und farbig, der Knopf zur Ablehnung nicht nur unscheinbar, sondern auch auf Seite zwei oder drei des Banners versteckt. Dunkle Muster nennen Fachleute das. Der Salzburger Schrems redet bei dem Thema noch schneller als normalerweise: "Die Leute haben hunderttausend Dinge zu tun, die hackeln zehn Stunden, kommen nach Hause und wollen Pizza essen. Die haben keine Zeit, Cookie-Banner zu analysieren."
"Ich habe meine Privatsphäre wegen eines Datenschutzfalls verloren, Olé!"
Deshalb hat er mit seiner Organisation Noyb (das steht für none of your business: "Geht dich nichts an") eine Beschwerde-Maschine gebaut. Die Software durchsucht automatisch Webseiten nach Spuren problematischer Banner. Findet sie diese, informiert Noyb die Betreiber und gibt ihnen einen Monat, ihr Banner rechtskonform zu gestalten. Gegen 560 Websites hat Noyb nun Beschwerden bei Behörden eingereicht, viele hätten die Möglichkeit, Cookies abzulehnen, versteckt. Dass darauf bis zu 20 Millionen Euro Strafe stehen, sollte ein Anreiz sein, ein Banner in einer halben Stunde anzupassen, sagt Schrems.
Die SZ setzt wie andere Medienunternehmen bestimmte Tracking-Tools und Cookies ein. Unter www.sz.de/tracking finden Sie die Information, welche Tracker auf unseren Webseiten verwendet werden und wie sie deaktiviert werden können.
Die vollständige Datenschutzerklärung finden Sie unter sz.de/datenschutz. In den Apps der SZ können Sie der Datenverarbeitung widersprechen, indem Sie in den Datenschutzeinstellungen der jeweiligen App Nutzerstatistiken, Fehleranalyse und Absturz-Reports oder personalisierte Werbung deaktivieren. Der digitale Anzeigenmarkt ist wie bei vielen Medienhäusern für einen wesentlichen Teil der Einnahmen verantwortlich. Auch deshalb können aufwendig recherchierte Artikel Lesern zugänglich gemacht werden.
Staatliche Datenschutzämter sind oft unterfinanziert und machtlos, Schrems dagegen hat in mittlerweile einem Jahrzehnt Aktivismus gelernt, wie man Dinge in Bewegung bringt. Schon während des Auslandssemesters in Kalifornien irritierte ihn das selbstbewusste Auftreten der Facebook-Mitarbeiter, die sein Juraseminar besuchten. Offensichtlich machten sie, was sie wollten. Er machte sich selbst zum Präzedenzfall und zerrte Facebook 2011 vor Gericht, weil der Konzern so viel über ihn wusste und die NSA leicht an diese Informationen kommen konnte. Er ließ den Europäischen Gerichtshof erst die Safe-Harbor-Vereinbarung kippen, die Datentransfers zwischen EU und USA regelte, und dann die Nachfolge-Vereinbarung Privacy Shield: Daten von Europäern seien in den USA einfach nicht sicher.
Ursprünglich wollte Schrems inkognito bleiben, wie ein Browser, der sich allen Cookies verweigert. Er versuchte, seinen Kopf mit den markant hochgestellten Haaren aus der Öffentlichkeit zu halten. Aber alle seien scharf auf die Geschichte vom Studenten gewesen, der sich mit Facebook anlegt. Irgendwann gab er auf. "Wir sind in einer Medienwelt, in der es um Fressen geht, und ich bin jetzt eben die Datenschutzfresse." Die Ironie ist ihm bewusst: "Ich habe meine Privatsphäre wegen eines Datenschutzfalls verloren, Olé!"
