Taler Facebook og Google midt imot

Max­i­m­il­ian (Max) Schrems ble født i 1987 i Salzburg. Juris­ten har kjem­pet i over sju år for bedre per­son­vern i Europa, og har blant annet vun­net søksmål mot Face­book som har ført til stren­gere regler for over­føring av data fra europeiske brukere. Nå er han i gang med flere nye per­son­vern­klager mot måten Face­book og Google oper­erer på i Europa.

I dette inter­vjuet med Vox Pub­li­ca snakker Schrems om de gode og dårlige sidene ved de nye europeiske per­son­vern­re­g­lene, om kam­p­en mot Face­book og Google og om hva frisøren på hjør­net må gjøre for å holde seg på rett side av personopplysningsloven.

Vox Publi­ca: Du har gjen­nom ditt europeiske “None of your Business”-initiativ (NOYB) sendt inn fire per­son­vern­klager ret­tet mot Google, Face­book og Face­books dat­tersel­skaper What­sApp og Insta­gram. Hva dreier dette pros­jek­tet seg om?

Max Schrems: Det tar for seg tvangs-sam­tykkene som vi stadig blir kon­fron­tert med – alt­så disse spret­topp­meldin­gene hvor det står at bruk­eren må sam­tykke til nye betingelser, ellers får han ikke lov til å bruke tjen­esten lenger. Akku­rat det er nem­lig for­budt i EUs nye per­son­vern­forord­ning (i Norge brukes ofte den engelske forko­r­telsen GDPR, red.anm): En tjen­este eller pro­dukt må alltid være skilt fra et per­son­vern­sam­tykke. Man må ha muligheten til å bruke en tjen­este uten å sam­tykke til noe mer. 

Dessuten er prak­sisen sel­skapene nå har lagt seg på, absurd: Alt som er nød­vendig for å dri­ve tjen­esten, har man innen­for GDPR allerede lov til å gjøre, så sam­tykke-bokser er egentlig over­flødig. Det som sel­skapene nå gjør, er å koble fore­spørsler om nød­vendi­ge data med fore­spørsler om data som de har lyst til å sam­le inn. Og akku­rat det for­byr egentlig GDRP: Det finnes et såkalt koblingsforbud.

Dette kan man tydelig se med Googles oper­a­tivsys­tem for mobil Android: Når jeg slår på mobilen, må jeg for eksem­pel sam­tykke til at Google kan bruke dataene mine til noe med YouTube eller lig­nende, selv om jeg egentlig bare ønsker å bruke mobilen.

Vox Publi­ca: Kla­gene skal få mer slagkraft ved at de er fordelt på flere land?

Schrems: Kla­gen på Face­book er frem­satt i Øster­rike, What­sApp i Ham­burg, Insta­gram i Bel­gia og Googles Android i Frankrike. De tre kla­gene som gjelder Face­book-kon­ser­net, er i mel­lomti­den gitt videre til det irske datatil­synet, for­di det har den såkalte Lead Author­i­ty i EU – det er alt­så det myn­dighet­sor­ganet som Face­book må forholde seg til.

Vox Publi­ca: Og hvor­for Google i akku­rat Frankrike?

Schrems: Det franske datatil­synet har job­bet med Google i lengre tid, der­for var det et logisk valg.

Vox Pub­li­ca: Du har tidligere hatt suk­sess med søksmål mot Face­books per­son­vern­mod­ell i Irland. Har kon­ser­net stor respekt for deg?

Schrems: Det vet jeg ikke, og det gir jeg ærlig talt blaf­fen i. Pros­ess­er som dette var­er fem til ti år inntil en avgjørelse fall­er. Men jeg tror at man allerede gjen­nom kla­gen opp­når en viss effekt, ved at sel­skapene tar temaet mer på alvor.

Selv om noen klage­sak­er alt­så kan vare i ti år, føres det i mel­lomti­den ti andre debat­ter om per­son­vern internt i Face­book – gjør vi sånn, kan vi gjøre slik, eller bør vi heller la være? Ansat­te i et slikt kon­sern ender kan­skje med å si: Det der er nok likev­el for drøyt, det er egentlig ikke i tråd med loven. De får alt­så gjen­nom oss støtte til diskusjonene de før­er internt og kan si: Se her, vi har allerede fått disse kla­gene, og dette vil vi ikke vinne frem med i retten.

Vox Publi­ca: Med andre ord – på denne måten styrkes kan­skje de per­son­vern­vennlige stemmene internt i Facebook?

Schrems: Uten tvil. Vi hør­er også at det fak­tisk er sånn, og at det skjer noe i den ret­ning når et sel­skap får en klage mot seg. Men til nå lød svaret internt alltid: Ingent­ing skjer, for­di datatil­synet ikke gjør noe og det er heller ikke noen straff å snakke om. Ideen med NOYB er nå å gå mer struk­tur­ert til verks og bidra til å styrke hånd­hevin­gen av regelverket.

Til sam­men skjer det trolig tusen­vis, hvis ikke mil­lion­er av brudd på per­son­vern­re­g­lene hver eneste dag. Da kan man selvsagt ikke sitte bak hver en busk og sette i gang en klage. Men det er i hvert fall mulig å ta opp enkelte temaer og slik gi debat­ten internt i per­son­vernkretser en dytt.

For øvrig – lover blir som regel ikke hånd­hevet i hver enkelt sak, ist­e­den gjelder prin­sip­pet om all­men­npre­ven­sjon. Poten­sielle for­bry­tere er klar over muligheten for at man kan bli straf­fet. Og da kan man gå ut fra at folk føl­ger loven. Ellers ville vi jo hatt en total poli­ti­s­tat, der det måtte stå en politi­mann bak hvert trafikklys som skulle straffe alle som kjørte på rødt. Også innen per­son­vern må en forsøke å straffe ofte nok, slik at folk generelt hold­er seg til reglene.

Vox Publi­ca: For tiden er søkel­y­set sterkt på Face­book i per­son­vern­spørsmål – tilsynela­tende avløs­er skan­da­lene hveran­dre. I forhold til dette virk­er datakrak­en Google på mange obser­vatør­er så uskyldig som et lam. Det er du antake­lig ikke enig i?

Schrems: Nei. Jeg tror at sel­skapene er tem­melig like på det fel­tet. Det finnes naturligvis grunn­leggende forskjel­lige bedrift­skul­tur­er. En har sel­skaper som tjen­er pen­gene sine på selve mask­in­varen – som Apple. Så er det fir­maer som tar inn nok penger gjen­nom betal­ing for tjen­ester – jeg betaler jo Microsoft for Windows. 

Med Google er det en bland­ings­greie: De har for eksem­pel den forde­len at de lett kan selge annonser når noen søk­er etter noe i søke­mo­toren. Leter noen i søke­fel­tet etter en gul liggestol, trenger jeg egentlig ingen per­son­da­ta. Jeg vet jo at uansett hvem som sit­ter bak denne data­mask­i­nen, så søk­er ved­k­om­mende etter en gul liggestol.

Face­book må der­i­mot dun­dre på med annonser mot bruk­eren, selv om hun egentlig bare er inter­essert i å se på bilder av vennene sine.

Et annet eksem­pel er oper­a­tivsys­te­mer for mobil – Apple sel­ger mobilen og gir deg iOS på kjøpet, Google del­er der­i­mot ut Android gratis til pro­dusen­tene, som så sel­ger sine mobil­er. Dermed tjen­er ikke Google noe direk­te på dette, og må hente inn igjen pen­gene på andre måter.

For­ret­ningsmod­el­lene har alt­så stor betyd­ning. Alt i alt vil jeg likev­el si: Det er ikke så lett å finne de uskyldige lammene i denne bransjen.

Vox Publi­ca: La oss snakke om per­son­vern­forord­nin­gen, som nå har vært i kraft i EU/EØS i noen måned­er. Det finnes de i næringslivet som sier at et sel­skap som Face­book til slutt ikke vil kunne operere på markedet lenger. Er det realistisk?

Schrems: Det tror jeg ikke. Om GDPR finnes det etter hvert mer kon­spir­asjon­ste­ori­er enn fak­ta. Forord­nin­gen forut­set­ter for eksem­pel at alt jeg som sel­skap må gjøre for å opp­fylle en kon­trakt, alt­så et pro­dukt, uansett er tillatt. Spørsmålet er så bare: Kan jeg bruke dataene jeg sam­ler inn til dette til noe annet og selge videre “stykke­vis og delt”?

Vi har sett på Face­book opp mot den gam­le loven, direk­tivet fra 1995, som har den samme kjer­nen. Da fikk vi gode svar på disse spørsmå­lene. Der het­er det: 95 pros­ent av dataene som jeg trenger til Face­books funksjon­er, kan Face­book antake­lig bruke slik de gjør nå. Spørsmålet er så bare hva de ellers kan gjøre med dataene. Og der er det grenser.

Eventuelt betyr det naturligvis at fir­maet kan tjene min­dre penger på dataene. Det er tem­melig ube­stridt. Men når man ser hvor­dan omset­ning og over­skudd eksploder­er hos disse sel­skapene, da tror jeg de ville over­leve det hvis de tjente et par mil­liarder min­dre. Dette er virke­ligheten man ser når man går ordentlig gjen­nom sakene.

Vox Publi­ca: Og hva sier GDPR til dette?

Schrems: Den sier verken at man i mor­gen må stenge inter­nett, eller at “any­thing goes”. Sånn er det også med iverk­set­telsen av loven. Der har vi det grunn­leggende prob­lemet at svært mange juris­ter som arbei­der på dette fel­tet, kjen­ner loven dårlig eller er nye på området.

De sier for eksem­pel: For å være på den sikre siden leg­ger vi ut en sam­tykke­boks over alt, selv om man egentlig ikke trenger å hente inn sam­tykke. Folk møter nå et skred av spret­topp­bokser, og ergr­er seg så klart over det – alt­så helt unødvendig.

Det store prob­lemet er stadig at GDPR er svært kom­pleks og at mange sel­skaper ven­tet helt til siste min­utt med å gjøre noe. Sam­tidig finnes det svært få ekspert­er på feltet.

Vox Publi­ca: Blant folk flest er frus­trasjo­nen stor. I Tysk­land, hvor folk har en ten­dens til å holde seg til loven, får til og med småbedrifter den store skjel­ven. Der er det små butikker, frisør­er eller leg­er som lar kun­dene fylle ut sam­tyk­keerk­læringer om GDPR. Har per­son­vern­forord­nin­gen et imageprob­lem, eller er fryk­ten berettiget?

Schrems: Det er en bland­ing. Imageprob­le­mer finnes, men det er også ganske mange prob­le­mer med iverk­set­telsen. Hvis din frisør tror at han trenger noen sam­tyk­keerk­læringer, da har han ganske enkelt mis­forstått loven. 

Når det gjelder småbedrifter, finnes det også user­iøse råd­gi­vere som sier: Det dere gjør er ulovlig i mor­gen, gi meg 100 euro, så skal jeg hjelpe dere med å etter­leve loven. Så tjen­er de rått på dette. Dette bon­de­fan­geri­et er imi­dler­tid ikke lov­giv­erens prob­lem, det er bedrift­sled­erens, hvis han går på noe så dumt.

Så er det også del­er av GDPR som ikke er løst på en god måte, hvor loven er for abstrakt, på visse områder lar spørsmål være ubesvart, på andre områder gir for lite spillerom. Loven er kval­i­ta­tivt sett sikkert ikke særlig god. Men politisk/innholdsmessig synes jeg den er helt ok.

Jeg har godt håp om at alt vil roe seg. Da gratis plas­t­pos­er ble fjer­net fra markedet her i Øster­rike, his­set folk seg vold­somt opp i et par måned­er, det var “slut­ten på shop­pin­gop­plevelsen”. Nå har alle vent seg til at man må betale litt for posen.

Vox Publi­ca: Men mot­standere av GDPR sier nå at loven kan gjøre Face­book og Google enda sterkere. De må jo arbei­de med temaet hver dag.

Schrems: Det er etter min mening et av de tåpelig­ste argu­mentene i hele denne debat­ten. Det blir særlig brukt i forbindelse med sam­tykkediskusjo­nen, alt­så disse bok­sene hvor du for eksem­pel må akseptere at infor­masjon­skap­sler (cook­ies) blir lagt igjen på din maskin.

Så får en høre at den stakkars lokale mediebedriften ikke får bruk­erens sam­tykke, mens Face­book får det. Men akku­rat det er egentlig allerede løst i GDPR. Og der er vi igjen ved tvangs-sam­tykkene, som vi nå klager på: At jeg ikke lenger kan presse folk til å sam­tykke, men at sam­tykket må være helt uavhengig av spørsmålet om jeg gjør et pro­dukt tilgjen­gelig eller ikke, en tjen­este tilgjen­gelig eller ikke, og så videre.

Det betyr: Folk må ville det. Og da er spørsmålet: Vil de gi sitt sam­tykke til sin frisør om at han kan sende reklame, eller vil de heller gi det til Google? Mitt tips er: Jeg vil heller si til frisøren min at han kan sende meg et nyhets­brev med en kupong eller noe, enn gi et generelt sam­tykke til Google. Hvis jeg virke­lig får den fri­heten, og det er iverk­satt på en god måte, går det helt fint.

Vox­Pub­li­ca: Det var nylig en dom ved EU-dom­stolen om Face­book og bedrifter. Ifølge den er bedrifter med en egen Face­book-side medans­varlig for per­son­ver­net. Hvor­dan skal man forholde seg til dette?

Schrems: Det er et prin­sip­ielt prob­lem hos Face­book at de ikke sier hva de er ans­varlig for og hva som er den enkelte bruk­ers ansvar.

Når det dukker opp et prob­lem, sier Face­book alltid: Å, et nazi-inn­legg? Det er bruk­erens prob­lem. Har ikke sett det, har ikke hørt om det, har vi ingent­ing med å gjøre.

Men hvis du vil se dataene dine, sier de: Å nei, det er vårt alt sam­men, bruk­eren har ingent­ing med dataene å gjøre, tilhør­er bare oss. Slik er schizofre­nien hos Face­book i dag.

Dom­men i EU-dom­stolen har dessverre ikke gitt noe ordentlig svar i sak­en, det er hov­ed­prob­lemet. Også denne gang sier dom­merne: Det kom­mer an på, det må man avgjøre i hvert enkelt tilfelle.

Dette er et grunn­leggende prob­lem med skyt­jen­ester, og særlig med Face­book. Andre sel­skaper er mye klarere på ans­vars­fordelin­gen. Face­book sier det rett og slett ikke. Det er mitt prob­lem når jeg bruk­er Face­book nå: Face­book sier ikke hva det sosiale nettver­ket er ans­varlig for og hvilket ans­var bedrifts­bruk­eren har. Når noen skriv­er et nazi-inn­legg, er bruk­eren ans­varlig, uansett om ved­k­om­mende dri­ver en side eller er en pri­vat bruker.

Men hvis nå dataene mine blir sol­gt videre til et eller annet for­mål, da vet jeg egentlig ingent­ing om det og kan over­hodet ikke kon­trollere det, ergo må vel Face­book være ans­varlig. Dette kan man nå avk­lare for hver funksjon, og det må egentlig Face­book gjøre.

Vox Publi­ca: Hva sier du til anklager om at GDPR kan gjøre vilkårene for net­tjour­nal­is­tikk umulige? Den finan­sieres som kjent ennå hov­ed­sake­lig med annonser, og da er man nødt til å sam­le inn data, virk­er det som.

Schrems: Finan­sier­ing av medi­er er et spen­nende tema. Gjen­nom sam­taler med medi­er har jeg forstått at for tiden er det mel­lom­led­dene som tjen­er grovt på per­son­til­pas­set reklame. Medi­ene blir sit­tende igjen med smuler. Slik jeg har fått det fork­lart, tjen­er de net­to omtrent like mye på enkle annonser – for eksem­pel en bilan­nonse på en bil­side – som på de avanserte mål­ret­tede annonsene.

Ved mål­ret­tet reklame er det alt­så hov­ed­sake­lig annon­se­plat­tformene som får penger. Dessuten taper medi­ene veldig mye makt over kun­de­forhold­et når de dri­ver på denne måten. Man har lite med annon­søren eller reklame­sel­skapet å gjøre, og det er dårlig for fremtiden. 

Vox Publi­ca: Og hva med under­søk­ende jour­nal­is­ter, kan per­son­ver­net legge hin­dringer i veien for dem?

Schrems: Når det gjelder pro­duk­sjon av innhold, er det en åpen­het­sklausul i GDPR for medi­er og jour­nal­is­tikk. I virke­ligheten er det der­for de gam­le nasjonale medielovene som gjelder. 

For eksem­pel er det fra før ulovlig i Øster­rike å trykke paparazz­i­bilder av tiltalte per­son­er i avisen. Sånn har det alltid vært hos oss. I Irland er det helt mot­satt, kom­mer du ut av en rettssal der, stormer det hun­dre fotografer mot deg. EU har ikke laget noen nye regler om det, åpen­het­sklausulen står. Med andre ord kan jeg ikke forstå kri­tikken på dette punktet.

Vox Publi­ca: Etter din suk­sess mot Face­book i Europa er du jo blitt en helt for de per­son­vern­in­ter­esserte. Har kri­tikken mot GDPR skadet imaget ditt?

Schrems: Nei. Det er jo ikke jeg som har fun­net opp per­son­vern­forord­nin­gen. Hvis jeg hadde skrevet den, ville den sannsyn­ligvis sett ganske annerledes ut. Jeg tror også at mange men­nesker ville vært mye mer fornøyd med den, selv næringslivs­folk. Men siden jeg alt­så ikke er konge av Europa, er det heller ikke mitt ansvar. 

Men de temaene som vi nå tar opp med NOYB, det er akku­rat de tin­gene hvor det er klart at det gjøres feil. Det kunne jo ikke falle meg inn i drømme å plage frisøren på hjør­net med et eller annet per­son­vern­skje­ma. Vi har alle vik­tigere prob­le­mer i livet. Men når det nå dreier seg om tvangssam­tykke og alle plut­selig får en spret­topp­meld­ing på mobilen om at du nå mis­ter alle dine What­sApp-kon­tak­ter hvis du ikke sam­tykker – da skjøn­ner vel alle at det er noe tull, det er jeg sikker på.