Zondag 31/05/2020

Privacy

Deze twintiger is de Europese luis in de pels van Facebook

Max SchremsBeeld AP

Scoren na een een-tweetje met Edward Snowden, zo kan je de Europese privacyzaak omschrijven die de amper 28-jarige Oostenrijker Max Schrems vandaag won. Wat begon als een vrij onschuldige universiteitspaper is nu een knoert van een visitekaartje geworden voor de doctoraatstudent en privacyactivist.

Dat privacy zijn ding is, blijkt al vroeg voor de Salzburger Maximilian, kortweg Max, Schrems. Tijdens zijn rechtenstudies aan de universiteit van Wenen zijn het vooral IT-recht en databescherming waarop hij zich wil toeleggen. Maar het is de uitwisseling met de Santa Clara University in de Californische technologiehub Silicon Valley, in 2011, die pas echt zijn ogen opent. Ed Palmieri, de privacytopman van Facebook, komt er een gastcollege geven en Schrems kan zijn oren niet geloven. Palmieri lijkt nauwelijks te beseffen hoe strikt de Europese databeschermingswetten echt zijn. Daarover moet zijn eindwerk gaan, vindt Schrems: de misvattingen van Facebook over de Europese privacywetgeving.

Hij begint te graven om uit te zoeken hoe Facebook precies met de persoonlijke gegevens van zijn niet-Amerikaanse gebruikers omgaat. Hij vraagt bij Facebook al zijn eigen gegevens op, van bij zijn registratie in 2008. Die passen op dat moment in een pdf van 1.222 (!) pagina's, en hij ontdekt dat daar ook heel wat verwijderde data tussen zitten: geschrapte berichten en posts, oude gebruikersnamen, zelfs 'pokes' en 'ontvriende' vrienden. In een interview met Forbes uit die periode vergelijkt Schrems dat met de Oost-Duitse Stasi-praktijken. "De meest prominente politici hadden toen dossiers van duizend pagina's. Ik ben gewoon een normale kerel die drie jaar op Facebook zit. Stel je dit voor binnen 10 jaar: elke demonstratie waarop ik aanwezig was, mijn politieke mening, intieme gesprekken, discussies over ziekten."

Van student naar activist

Zijn conclusie is duidelijk: Facebook begrijpt niet alleen de Europese datarichtlijnen onvoldoende, het bedrijf negeert ze ook gewoon. Terug in Wenen besluit Schrems een activistische privacygroepering op te richten met 10 medestudenten: 'Europe vs. Facebook'. Het doel: transparantie krijgen van de sociaalnetwerksite over wat die doet met de gegevens van z'n gebruikers. Ook wil hij die gebruikers de sleutel tot hun eigen gegevens in handen geven. "We moeten er nu iets aan doen", schrijft Schrems op zijn website, "anders leven we binnenkort in een sciencefictionwereld waarin Facebook, Google, Apple en andere meer over mij weten dan ikzelf. Dit is ook een kwestie van eerlijke concurrentie, omdat Europese bedrijven zich wel moeten houden aan al deze wetten."

De groepering dient nog dat jaar, 2011 dus, in Ierland een rist privacyklachten in tegen Facebook. Ierland, omdat Facebook daar om belastingsredenen zijn Europese hoofdkwartier heeft. "Maar dat maakt hen ook kwetsbaar", aldus Schrems. "Want dat betekent dat alle Europese gebruikers contracten hebben met dat kantoor in Dublin, waardoor het bedrijf onder de strikte Ierse privacywet valt." De klachten draaien op niks uit en worden uiteindelijk in 2014 ingetrokken.

Schrems en zijn advocaat Herwig Hoffman in het Europese Hof van Justitie in Luxemburg.Beeld AP

Dankzij Snowden

Maar intussen hebben Schrems en de zijnen andere privacypijlen op hun boog. In 2013 veroorzaakt de voormalige CIA-medewerker en klokkenluider Edward Snowden namelijk opschudding met zijn onthullingen over de massaspionage van burgers door de Amerikaanse veiligheidsdiensten. "Maar wat met de Europese gegevens?", vraagt Schrems zich af, die intussen aan een doctoraat begonnen is. Want heeft de EU sinds 2000 geen 'safe harbor'-overeenkomst met de VS waarin Amerikaanse bedrijven mits een certificatieproces probleemloos EU-data mogen versluizen naar de VS?

Schrems neemt opnieuw Facebook onder de loep en ontdekt dat Facebook Ierland verantwoordelijk is voor maar liefst 83,1 procent van alle wereldwijde Facebookgebruikers. Die gegevens worden echter niet in Ierland verwerkt, maar wel getransfereerd naar Facebook Inc., in de VS dus. Dus dan moeten die data afdoende beschermd zijn, volgens de 'safe harbor'-deal, toch? Klopt niet, redeneert Schrems, want Facebook kan sinds de onthullingen van Snowden niet meer garanderen dat de Amerikaanse overheid niet met zijn neus in Europese gegevens snuffelt.

Daarop lanceert hij een klacht in Ierland tegen Facebook. Maar de Ierse privacywaakhond DPC vindt die te licht wegen. Schrems houdt voet bij stuk en sleept de privacycommissie zelf voor het Ierse Hooggerechtshof. De rechter verwijst hem door naar het Europese Hof voor een oordeel over de 'safe harbor'-deal. Vandaag blijkt dat oordeel uit te vallen in het voordeel van Schrems: 'safe harbor' kan de veiligheid van Europese data niet garanderen, dus mogen Europese lidstaten zelf beslissen of privacygevoelige gegevens al dan niet naar de VS mogen versluisd worden. Het Ierse Hooggerechtshof moet dus binnenkort nog een uitspraak doen in de Ierse zaak.

Schrems zelf spreekt intussen al van een "mijlpaal op vlak van online privacy". "Het vonnis trekt een duidelijke lijn en maakt duidelijk dat massasurveillance onze fundamentele rechten schendt." Opmerkelijk: in zijn eerste reactie bedankt hij ook Snowden, zonder wiens onthullingen de zaak nooit van de grond gekomen zou zijn.

De Amerikaanse klokkenluider Edward Snowden.Beeld ANP

25.000 gebruikers vs. Facebook

En toch eindigt het daar niet voor hem, want hij heeft nog een tweede stok in het vuur liggen. In augustus vorig jaar daagt hij nogmaals Facebook voor de Oostenrijkse rechtbank in een zogenaamde 'class action'-zaak, samen met 25.000 gebruikers van Facebook. Dat zijn voornamelijk Duitsers en Oostenrijkers, maar er zijn ook tientallen Belgen bij. De klacht: Facebook respecteert de Europese privacywetten niet. Voor elke gebruiker eist hij een symbolische schadevergoeding van 500 euro.

Die zaak start deze zomer wel met een domper, omdat Facebook argumenteert dat Schrems een commerciële partij en dus geen private consument is. De Weense rechtbank volgt dat argument. Schrems verdient inderdaad geld met speeches en optredens over de Facebook-zaak, maar hij verdedigt zich door te stellen dat al die centen worden doorgestort naar zijn activistengroepering. Daarnaast vindt de rechtbank ook dat de claims van internationale Facebook-gebruikers niet op een beheersbare manier gebundeld kunnen worden in één zaak in Wenen.

Opgeven is echter geen optie voor Schrems. Hij kondigt aan dat hij in Oostenrijk in beroep gaat, en mocht dat niet lukken, zal hij zich ook voor deze zaak richten tot de rechtbank in Dublin. "Het kan niet zijn dat je een boete krijgt bij foutparkeren, terwijl het misbruiken van persoonlijke informatie van een miljard mensen onbestraft blijft", zei hij ooit over de kwestie in onze krant. "In dat opzicht beschouw ik het ook als een experiment. Kunnen we onze fundamentele rechten waar we altijd aan refereren in Europa wel afdwingen?"

Beeld AFP
Meer over

Wilt u belangrijke informatie delen met De Morgen?

Tip hier onze journalisten


Op alle artikelen, foto's en video's op demorgen.be rust auteursrecht. Deeplinken kan, maar dan zonder dat onze content in een nieuw frame op uw website verschijnt. Graag enkel de titel van onze website en de titel van het artikel vermelden in de link. Indien u teksten, foto's of video's op een andere manier wenst over te nemen, mail dan naar info@demorgen.be.
DPG Media nv – Mediaplein 1, 2018 Antwerpen – RPR Antwerpen nr. 0432.306.234