– Det gjør vondt selv for Facebook
I 2011 sendte den da 30-årige jusstudenten Max Schrems inn mer enn 20 klager til ansvarlige myndigheter gjennom kampanjen sin «Europe versus Facebook». Med det begynte østerrikeren sin karriere som personvern-aktivist, som gjorde ham berømt internasjonalt.
Hans til nå største seier oppnådde han i striden om den såkalte Safe Harbor-avtalen mellom EU og USA, som regulerte den transatlantiske datatrafikken. Etter Edward Snowdens avsløringer sørget en klage fra Schrems for at Domstolen i den Europeiske Union tok for seg avtalen og erklærte den for ulovlig.
Schrems går også juridisk til verks mot den etterfølgende avtalen. Med «Noyb – None of your business», en organisasjon han grunnla på slutten av fjoråret, vil han tvinge gjennom håndhevelse av EUs strengere personvern-regler (GDPR) som trer i kraft i slutten av mai.
Stoler ikke på Zuckerberg
SPIEGEL: For drøye seks år siden la du inn en klage mot Facebook, blant annet fordi nettverket hadde delt brukerdata videre til andre app-utviklere. Ville dagens Facebook-skandale i det hele tatt funnet sted om de irske personvern-myndighetene hadde grepet inn den gang?
Schrems: Garantert ikke. I klagen min påpekte jeg akkurat det som har skjedd igjen gjennom Cambridge Analytica. De irske myndighetene burde helt klart ha nedlagt forbud mot denne praksisen den gang.
SPIEGEL: Facebook-gründer Mark Zuckerberg har offentlig unnskyldt seg og har måttet svare for seg foran Kongressen og Senatet. Var det en seier for deg?
Schrems: Jeg ser ikke så personlig på det. Men helt ærlig: Jeg synes det var fascinerende og fulgte selvsagt høringene live – med popcorn.
Jeg synes det var fascinerende og fulgte selvsagt høringene live – med popcorn»
SPIEGEL: I høringen lovet Zuckerberg forbedringer. Kjøper du lovnadene hans?
Schrems: Det tar jeg ikke på alvor. Helt siden grunnleggelsen av Facebook har vi stadig hørt nye unnskyldninger. Jeg har sluttet å telle dem. Opptredenen var selvsagt et spill for galleriet, fra alle parter. Noen uttalelser var likevel veldig interessante. Zuckerberg hevdet for eksempel at han ikke nøyaktig vet hvordan Facebook-trackingen fungerer – den de bruker til å følge brukernes nettatferd utenfor det sosiale nettverket til annonseformål. Det kan komme til nytte i senere juridiske konflikter. Hvordan skal jeg som bruker gå med på noe, når ikke engang sjefen for nettverket selv forstår eller kan forklare?
SPIEGEL: En gang ba du om dataene Facebook hadde lagret om deg, og mottok mer enn 1200 A4-sider som inkluderte chat-meldinger du selv hadde slettet. Har selskapet blitt mer transparent siden?
Schrems: Ikke egentlig. På grunn av denne klagen innrettet Facebook en funksjon der brukerne selv kan laste ned dataene Facebook har lagret om dem. Det er selvsagt ikke all dataen, men kun den informasjonen brukerne uansett kan se på sine egne skjermer. Det som foregår i bakgrunnen, i datasentre hos populære tjenester, med bearbeiding av sekundærdata og utvikling av profiler får vi frem til nå kun med oss gjennom lekkasjer – som fra Tinder, der det ble oppdaget at appen deres vurderer brukernes attraktivitet gjennom en hemmelig verdi-score.
SPIEGEL: Mark Zuckerberg påpeker nå at hans forretninger prinsipielt ikke vil avvise alle juridiske innskrenkinger, så lenge det er de «rette reguleringene». Han kalte til og med de strengere EU-reglene for datavern (GDPR –som trer i kraft i slutten av mai) for «grunnleggende positive» og lovet å påta seg en vesentlig bestanddel av disse på verdensbasis i fremtiden.
Schrems: Det glapp sannsynligvis ut av ham ved en feiltakelse. Facebook, sammen med Google og Microsoft tilhører de selskapene der lobbyister har prøvd alt for å vanne ut de nye vedtektene. Helt ut av ingenting flyttet Facebook i forrige uke to tredjedeler av sine brukeravtaler fra Irland over til USA, bare for å flytte dem utenfor rekkevidden av de nye reglene. Det viser hva han kommer til å holde av sine lovnader.
USA ser til Europa?
SPIEGEL: I USA er plutselig de europeiske forestillingene av privatsfære og personvern et forbilde?
Schrems: Det er faktisk første gang det finnes en bred debatt om noe slikt som storkonserners misbruk av data og privatsfære i USA. Fort kort tid siden snakket mange i USA om den angivelig påbegynte Post-Privacy-tidsalderen, og gjorde narr av europeiske forestillingene og lovene. Vi ble stemplet som bakstreverske molboer som ikke forsto de digitale endringene. Nå er vi de progressive.
SPIEGEL: Nettopp denne nedlatende holdningen gjorde vel at du gikk fra å være student til å bli aktivist, eller?
Schrems: Jeg deltok på et kurs om personvern ved Santa Clara University i Silicon Valley, der flere representanter fra de store selskapene kom innom – også representanter fra Facebook. Jeg vil ikke kalle holdningen deres for nedlatende, men heller realistisk. For dem var det rett og slett ingen økonomisk anledning til å ta europeisk data-lovverk på alvor. Kostnadene for å overholde disse retningslinjene hadde vært det mangedoblede av hva en eventuell straff ville koste. Det var et enkelt kost/nytte-regnestykke, og det irriterte meg, også som jurist. Når jeg parkerer feil får jeg en parkeringsbot, men privatsfæren blir ikke håndhevet effektivt, og den står omtalt i Den europeiske unions charter som grunnleggende rettigheter. Grove overtredelser begått av Facebook & Co. har ikke blitt møtt med reaksjoner. Her har Europa latterliggjort seg selv.
SPIEGEL: Hvordan vil du forklare den plutselige kursendringen i USA? Førte virkelig data-delingen med Cambridge Analytica til dette?
Schrems: Noe lignende var også på dagsordenen etter søksmålet vårt i 2011, men ingen brydde seg noe særlig den gang. For meg er det en del av Trump-frustrasjonen. Det liberale Amerika er utrygt og leter etter forklaringer på hvordan han kunne havne opp i Det hvite hus. Da kommer den usynlige rollen til de sosiale nettverkene inn i bildet: den russiske innblandingen, Fake News og nå den angivelige rollen Cambridge Analytica spilte, som jo ikke engang er bevist – jeg tviler i alle fall på dets egenskaper til å kunne avgjøre valg. Hvor bærekraftig den politiske interessen for mer privatsfære er i USA, vil vise seg.
SPIEGEL: Kan i det hele tatt et personvern-konformt Facebook eksistere?
Schrems: Absolutt. Dataene som er nødvendig for å opprettholde plattformens grunnfunksjoner er ikke problemet – det handler om den langvarige innsamlingen, berikelsen og gjenbruket. WhatsApp kan for eksempel uten problem innhente og bruke all nødvendig data man trenger for å sende meldingen min til en mottaker, men den må ikke nødvendigvis dele metadataene med Facebook, eller selge dem til andre for den del.
De nye EU-reglene
SPIEGEL: De nye europeiske personvern-reglene skal effektivt temme misbruket av personlige data. Som sakkyndig var du delaktig i mange av konsultasjonene som bidro til utviklingen av disse reglene. Hva er de avgjørende endringene?
Schrems: Vedtektene gjør det endelig mulig å overholde det europeiske personvernlovverket for brukere og myndigheter. Som rammet part kan jeg nå for eksempel alene søke om skadeserstatning hvis mine rettigheter krenkes. Det nye regelverket legger opp til strenge straffer: For brudd på regelverket betaler firmaer opp til 20 millioner euro. Det kan også ramme et enkeltmannsforetak som misbruker personlige data fra kundene sine. Alternativt er straffen opp til fire prosent av årlig global omsetning, ettersom hva som er høyest. Det gjør vondt, selv for giganter som Facebook & Co.
SPIEGEL: Det finnes likevel en mengde kritikk rettet mot regelverket. Mange mindre selskaper klager på at innføringen forlanger for mye av dem. Bloggere og fotografer mener deres eksistensgrunnlag er truet.
Schrems: Der blir det forsettlig fyrt opp under unødvendig frustrasjon. Mange selskaper tar dessuten for første gang en form for digital vårrengjøring, og er til dels forskrekket over alt som må utbedres. For meg er det en positiv og ønsket forebyggingseffekt. Dessuten ser jeg også at regelverket teknisk og juridisk sett har noen svakheter. Etter min mening kan de spores tilbake til konsernenes – og delvis også noen medlemslands – forsøk på å vanne ut regelverket. Det resulterer til dels i ekstreme juridiske usikkerheter. Etter min mening er dette et skoleeksempel på feilslått lobbying.
SPIEGEL: Har du et konkret eksempel?
Schrems: Selskaper kan avvise informasjonsrettigheter når de viser seg «eksessive» – altså sterkt overdrevet. Hva skal det bety? Jeg vil selvsagt ha alle dataene som selskapet har om meg. Det er jo nettopp det som er ideen bak informasjonsretten, at jeg skal få dataene jeg ikke vet noe om. Så kan dermed en åpen etterspørsel etter samtlige data allerede være «eksessiv»? Det finnes dessverre utfyllinger med slike uklare bestemmelser. Derfor er jeg sikker på at regelverket senest om noen år trenger en overhaling.
GDPR – EUs nye personvernlov
Den nye personloven GDPR (General Data Protection Regulation) ble vedtatt av EU i 2016.
Forordningen gjelder også Norge som EØS-land. Alle virksomheter som samler inn eller bruker personopplysninger om EU/EØS-borgere må fra 25. mai 2018 følge de nye reglene. I Norge har man utsatt innføringen av de nye reglene fram til juli.
De viktigste endringene er:
- Bedrifter og virksomheter får et større ansvar for å ivareta personvernet til kunder og brukere.
- Borgere får rett til å motsette seg noen typer profilering, der personopplysninger blir brukt til å analysere og forutse atferd.
- Det stilles strengere krav til forståelig språk og åpenhet om virksomhetens behandling av personopplysninger.
- Alle bedrifter og virksomheter blir lovpålagt å bygge inn personvern inn i alle applikasjoner.
- Tydeligere retningslinjer for når bedriftene kan bruke personopplysninger til andre formål enn det de ble samlet inn for.
- Borgere får rett til å ta med seg data fra en virksomhet til en annen, såkalt dataportabilitet.
- Reglene gjelder også for virksomheter utenfor Europa som tilbyr varer og tjenester til EU/EØS-borgere eller overvåker atferden til europeiske borgere til bruk for profilering.
- Alle offentlige virksomheter, samt private virksomheter som behandler sensitive personopplysninger i stor skala eller som systematisk overvåker europeiske borgere i stor skala, vil bli pålagt å opprette egne personvernombud.
- Nasjonale datatilsyn plikter å samarbeide om konkrete saker og å utveksle informasjon med hverandre.
Kilde: Datatilsynet
Bremser utviklingen?
SPIEGEL: Det finnes også en mer grunnleggende kritikk som går ut på at personvern er fiendtlig overfor innovasjon. Rett før den nye tyske ministeren for digitalisering, Dorothee Bär, inntok sin stilling klaget hun over et personvern «som fra det 18. århundre» og krevde heller en «smart datakultur for selskaper».
Schrems: Retten til privatsfære er en del av Den europeiske unions charter om grunnleggende rettigheter. Det kommer ikke enkeltpolitikere fra Tyskland til å endre på. Jeg er for så vidt avslappet til den type argumentasjon, men vi kan helt sikkert løse det enda mer intelligent.
SPIEGEL: Når det handler om kunstig intelligens kommer tilgangen til store datamengder til å være avgjørende. Kina og USA er allerede ledende. Bremser ikke Europa seg selv gjennom et for restriktivt lovverk?
Schrems: For mange av disse anvendelsene trenger man ingen personlige data, og det finnes løsninger for unntak. Det grunnleggende regelverket tilpasses allerede forskningen. Jeg ser heller muligheten for at vi setter en internasjonal gullstandard – fordi det rett og slett er billigere for konsernene som fortsatt vil forbli aktive i Europa å forholde seg til våre strenge regler på verdensbasis.
SPIEGEL: Kunne det bydd på muligheter for nye, og kanskje også europeiske, konkurrenter til de store amerikanske nettgigantene?
Schrems: Jeg hadde ønsket meg det. Nylig så jeg en dokumentar om Rockefellers og Standard Oil. I dag opplever vi det samme: gjennom nettverkseffekten har Facebook & Co. vokst til å bli gigant-monopoler som misbruker markedsmakten sin. Selv gode start-ups har ingen sjanse. I tvilstilfeller blir de kjøpt opp. Med ufattelig stor kapital tvinger for eksempel Uber seg inn i interessante markeder, utkonkurrerer lokale Taxi-tjenester og øker selv prisene når de ikke holder ut lenger. Vi må gjenetablere et faktisk fritt marked på internett, og det kan vi bare oppnå med åpne standarder.
Man kan spørre seg hvor de har fått rettighetene til å kunne oppbevare 70 millioner dataenheter med tysk kredittinformasjon
«None of your business»
SPIEGEL: Du har akkurat grunnlagt en organisasjon med navn «None of your business» (Noyb). Hva vil du oppnå med den?
Schrems: Frem til nå hadde vi primært problemer med å håndheve gjeldende lover. Noyb kommer til å bruke de nye klagemulighetene i det grunnleggende regelverket, og strategisk konsentrere seg om selskaper.
SPIEGEL: Er ikke det jobben til de respektive personvern-myndighetene?
Schrems: Naturligvis, men også de får flere rettigheter. I fremtiden kan de forlange tilgang til å se kunne seg rundt hos selskapet, og til og med utmåle straffer. Vi kan likevel utfylle smutthull og involvere oss raskt i ulike land. Det de amerikanske konsernene gjør for å betale så lite skatt som mulig, kommer vi nå til å bruke for å håndheve datavernet.
SPIEGEL: Hvem må belage seg på søksmål?
Schrems: Vi leter etter strukturelle og juridisk viktige temaer blant store selskaper. Det kan gjelde for alt fra store amerikanske konserner til europeiske kredittopplysningsfirmaer, som tyske Schufa. Man kan spørre seg hvor de har fått rettighetene til å kunne oppbevare 70 millioner dataenheter med tysk kredittinformasjon uten at opphavspersonene noen gang har unnlatt å betale for noe. Jeg mener det er forhåndslagring av finansinformasjon. Der ser jeg for eksempel overhodet ikke de «legitime formålene» som er nevnt i grunnreglene. Kredittopplysninger er helt sikkert en legitim forretningsmodell, men spørsmålet er om man ikke må organisere det på en annen måte – kanskje som en svarteliste av notorisk upålitelige eller insolvente kunder.
SPIEGEL: Finnes det flere konkrete eksempler?
Schrems: Vi er jo en liten forening som baserer seg på donasjoner og må holde omkostningene under oppsyn. Derfor kommer vi til å ta for oss spørsmål som dessverre er veldig vanlige, som for eksempel tvangen rundt enighet: hvilke data forlanger Apple fra meg bare for at jeg i det hele tatt skal kunne ta i bruk en så dyr smarttelefon som iPhone X? Kan Google faktisk tvinge meg til å opprette en Google-Mail-adresse for å kunne laste ned apps på Android? Det er ganske enkle rettsspørsmål. Med hjelp av små nålestikk tror jeg vi kan få store ballonger til å sprekke. For å få en dypere forståelse for hvordan teknologiene brukes trenger vi flere whistleblowers som den tidligere medarbeideren ved Cambridge-Analytica, som varslet om deres virksomhet. Vi vil også være et kontaktpunkt for slike varslere.
SPIEGEL: Du har blitt internasjonalt kjent for din kamp mot Facebook. Du har imidlertid aldri slettet brukeren din, heller ikke i den aktuelle #deletefacebook-kampanjen. Hvorfor ikke?
Schrems: Nye teknologier som sosiale nettverk er jo geniale i seg selv, vi må bare demme opp mot misbruk. Når en skandale knyttet til for eksempel matvare-hygiene forekommer, så slutter du ikke å spise av den grunn.
© 2018 Der Spiegel or Spiegel Online. Distributed by New York Times Syndicate. Oversatt fra tysk av Håkon Benedikt Harnes.
Som en del av Dagens Perspektivs europadekning publiserer vi etter avtale jevnlig stoff fra det tyske magasinet Der Spiegel.