Taler Facebook og Google midt imot

Han har trukket Facebook for retten – og seiret. I stort intervju med Vox Publica forteller personvernhelten Max Schrems om hvordan han setter EUs nye personvernregler på prøve med nye milliardsøksmål mot amerikanske nettgiganter.

Maxi­mi­li­an (Max) Schrems ble født i 1987 i Salz­burg. Juris­ten har kjem­pet i over sju år for bed­re per­son­vern i Euro­pa, og har blant annet vun­net søks­mål mot Face­bo­ok som har ført til stren­ge­re reg­ler for over­fø­ring av data fra euro­pe­is­ke bru­ke­re. Nå er han i gang med fle­re nye per­son­vern­kla­ger mot måten Face­bo­ok og Goog­le ope­re­rer på i Euro­pa.

I det­te inter­vju­et med Vox Pub­li­ca snak­ker Schrems om de gode og dår­li­ge side­ne ved de nye euro­pe­is­ke per­son­vern­reg­le­ne, om kam­pen mot Face­bo­ok og Goog­le og om hva fri­sø­ren på hjør­net må gjø­re for å hol­de seg på rett side av per­son­opp­lys­nings­lo­ven.

Vox Publi­ca: Du har gjen­nom ditt euro­pe­is­ke «None of your Business»-initiativ (NOYB) sendt inn fire per­son­vern­kla­ger ret­tet mot Goog­le, Face­bo­ok og Face­bo­oks dat­ter­sel­ska­per Whats­App og Insta­gram. Hva drei­er det­te pro­sjek­tet seg om?

Max Schrems: Det tar for seg tvangs-sam­tyk­ke­ne som vi sta­dig blir kon­fron­tert med – alt­så dis­se sprettopp­mel­din­ge­ne hvor det står at bru­ke­ren må sam­tyk­ke til nye betin­gel­ser, ellers får han ikke lov til å bru­ke tje­nes­ten len­ger. Akku­rat det er nem­lig for­budt i EUs nye per­son­vern­for­ord­ning (i Nor­ge bru­kes ofte den engels­ke for­kor­tel­sen GDPR, red.anm): En tje­nes­te eller pro­dukt må all­tid være skilt fra et per­son­verns­am­tyk­ke. Man må ha mulig­he­ten til å bru­ke en tje­nes­te uten å sam­tyk­ke til noe mer.

Dess­uten er prak­si­sen sel­ska­pe­ne nå har lagt seg på, absurd: Alt som er nød­ven­dig for å dri­ve tje­nes­ten, har man innen­for GDPR alle­re­de lov til å gjø­re, så sam­tyk­ke-bok­ser er egent­lig over­flø­dig. Det som sel­ska­pe­ne nå gjør, er å kob­le fore­spørs­ler om nød­ven­di­ge data med fore­spørs­ler om data som de har lyst til å sam­le inn. Og akku­rat det for­byr egent­lig GDRP: Det fin­nes et såkalt kob­lings­for­bud.

Det­te kan man tyde­lig se med Goog­les ope­ra­tiv­sys­tem for mobil And­roid: Når jeg slår på mobi­len, må jeg for eksem­pel sam­tyk­ke til at Goog­le kan bru­ke data­ene mine til noe med YouT­ube eller lig­nen­de, selv om jeg egent­lig bare øns­ker å bru­ke mobi­len.

Nye per­son­vern­reg­ler

  • For­kor­tes ofte GDPR etter den engels­ke beteg­nel­sen
  • Reg­le­ne stram­mer inn på bru­ken av per­son­data
  • Orga­ni­sa­sjo­nen noyb.eu har levert inn kla­ger på Face­bo­ok med dat­ter­sel­ska­per og Goog­le. Kla­ge­ne kan føre til bøter på mak­si­malt 1,3 til 3,7 mil­li­ar­der euro
  • Max Schrems er ini­tia­tiv­ta­ker til noyb.eu

Vox Publi­ca: Kla­ge­ne skal få mer slag­kraft ved at de er for­delt på fle­re land?

Schrems: Kla­gen på Face­bo­ok er frem­satt i Øster­rike, Whats­App i Ham­burg, Insta­gram i Bel­gia og Goog­les And­roid i Frank­ri­ke. De tre kla­ge­ne som gjel­der Face­bo­ok-kon­ser­net, er i mel­lom­ti­den gitt vide­re til det irs­ke data­til­sy­net, for­di det har den såkal­te Lead Aut­hority i EU – det er alt­så det myn­dig­hets­or­ga­net som Face­bo­ok må for­hol­de seg til.

Vox Publi­ca: Og hvor­for Goog­le i akku­rat Frank­ri­ke?

Schrems: Det frans­ke data­til­sy­net har job­bet med Goog­le i leng­re tid, der­for var det et logisk valg.

Vox Pub­li­ca: Du har tid­li­ge­re hatt suk­sess med søks­mål mot Face­bo­oks per­son­vern­mo­dell i Irland. Har kon­ser­net stor respekt for deg?

Schrems: Det vet jeg ikke, og det gir jeg ærlig talt blaf­fen i. Pro­ses­ser som det­te varer fem til ti år inn­til en avgjø­rel­se fal­ler. Men jeg tror at man alle­re­de gjen­nom kla­gen opp­når en viss effekt, ved at sel­ska­pe­ne tar tema­et mer på alvor.

Selv om noen klage­sa­ker alt­så kan vare i ti år, føres det i mel­lom­ti­den ti and­re debat­ter om per­son­vern internt i Face­bo­ok – gjør vi sånn, kan vi gjø­re slik, eller bør vi hel­ler la være? Ansat­te i et slikt kon­sern ender kan­skje med å si: Det der er nok like­vel for drøyt, det er egent­lig ikke i tråd med loven. De får alt­så gjen­nom oss støt­te til dis­ku­sjo­ne­ne de fører internt og kan si: Se her, vi har alle­re­de fått dis­se kla­ge­ne, og det­te vil vi ikke vin­ne frem med i ret­ten.

Vox Publi­ca: Med and­re ord – på den­ne måten styr­kes kan­skje de per­son­vern­venn­li­ge stem­me­ne internt i Face­bo­ok?

Schrems: Uten tvil. Vi hører også at det fak­tisk er sånn, og at det skjer noe i den ret­ning når et sel­skap får en kla­ge mot seg. Men til nå lød sva­ret internt all­tid: Ingen­ting skjer, for­di data­til­sy­net ikke gjør noe og det er hel­ler ikke noen straff å snak­ke om. Ide­en med NOYB er nå å gå mer struk­tu­rert til verks og bidra til å styr­ke hånd­he­vin­gen av regel­ver­ket.

Til sam­men skjer det tro­lig tusen­vis, hvis ikke mil­lio­ner av brudd på per­son­vern­reg­le­ne hver enes­te dag. Da kan man selv­sagt ikke sit­te bak hver en busk og set­te i gang en kla­ge. Men det er i hvert fall mulig å ta opp enkel­te tema­er og slik gi debat­ten internt i per­son­vern­kret­ser en dytt.

Ulov­lig? Max Schrems og noyb.eu kla­ger på nett­gi­gan­te­nes prak­sis med å for­lan­ge omfat­ten­de sam­tyk­ke til bruk av per­son­data. (Foto: noyb.eu)

For øvrig – lover blir som regel ikke hånd­he­vet i hver enkelt sak, iste­den gjel­der prin­sip­pet om all­menn­pre­ven­sjon. Poten­si­el­le for­bry­te­re er klar over mulig­he­ten for at man kan bli straf­fet. Og da kan man gå ut fra at folk føl­ger loven. Ellers vil­le vi jo hatt en total politi­stat, der det måt­te stå en politi­mann bak hvert tra­fikk­lys som skul­le straf­fe alle som kjør­te på rødt. Også innen per­son­vern må en for­sø­ke å straf­fe ofte nok, slik at folk gene­relt hol­der seg til reg­le­ne.

Vox Publi­ca: For tiden er søke­ly­set sterkt på Face­bo­ok i per­son­verns­pørs­mål – til­syne­la­ten­de avlø­ser skan­da­le­ne hver­and­re. I for­hold til det­te vir­ker data­kra­ken Goog­le på man­ge obser­va­tø­rer så uskyl­dig som et lam. Det er du anta­ke­lig ikke enig i?

Schrems: Nei. Jeg tror at sel­ska­pe­ne er tem­me­lig like på det fel­tet. Det fin­nes natur­lig­vis grunn­leg­gen­de for­skjel­li­ge bedrifts­kul­tu­rer. En har sel­ska­per som tje­ner pen­ge­ne sine på selve maskin­va­ren – som Apple. Så er det fir­ma­er som tar inn nok pen­ger gjen­nom beta­ling for tje­nes­ter – jeg beta­ler jo Micro­soft for Win­dows.

Med Goog­le er det en blan­dings­greie: De har for eksem­pel den for­de­len at de lett kan sel­ge annon­ser når noen søker etter noe i søke­mo­to­ren. Leter noen i søke­fel­tet etter en gul ligge­stol, tren­ger jeg egent­lig ingen per­son­data. Jeg vet jo at uan­sett hvem som sit­ter bak den­ne data­ma­ski­nen, så søker ved­kom­men­de etter en gul ligge­stol.

Face­bo­ok må der­imot dund­re på med annon­ser mot bru­ke­ren, selv om hun egent­lig bare er inter­es­sert i å se på bil­der av ven­ne­ne sine.

Et annet eksem­pel er ope­ra­tiv­sys­te­mer for mobil – Apple sel­ger mobi­len og gir deg iOS på kjø­pet, Goog­le deler der­imot ut And­roid gra­tis til pro­du­sen­te­ne, som så sel­ger sine mobi­ler. Der­med tje­ner ikke Goog­le noe direk­te på det­te, og må hen­te inn igjen pen­ge­ne på and­re måter.

For­ret­nings­mo­del­le­ne har alt­så stor betyd­ning. Alt i alt vil jeg like­vel si: Det er ikke så lett å fin­ne de uskyl­di­ge lam­me­ne i den­ne bran­sjen.

Vox Publi­ca: La oss snak­ke om per­son­vern­for­ord­nin­gen, som nå har vært i kraft i EU/EØS i noen måne­der. Det fin­nes de i nærings­li­vet som sier at et sel­skap som Face­bo­ok til slutt ikke vil kun­ne ope­re­re på mar­ke­det len­ger. Er det rea­lis­tisk?

Schrems: Det tror jeg ikke. Om GDPR fin­nes det etter hvert mer kon­spi­ra­sjons­teori­er enn fak­ta. For­ord­nin­gen for­ut­set­ter for eksem­pel at alt jeg som sel­skap må gjø­re for å opp­fyl­le en kon­trakt, alt­så et pro­dukt, uan­sett er til­latt. Spørs­må­let er så bare: Kan jeg bru­ke data­ene jeg sam­ler inn til det­te til noe annet og sel­ge vide­re «stykke­vis og delt»?

Øster­riksk kaffe­hus­kul­tur: Vin­ner Max Schrems over Face­bo­ok igjen? (Foto: noyb.eu/lukasbeck.com)

Vi har sett på Face­bo­ok opp mot den gam­le loven, direk­ti­vet fra 1995, som har den sam­me kjer­nen. Da fikk vi gode svar på dis­se spørs­må­le­ne. Der heter det: 95 pro­sent av data­ene som jeg tren­ger til Face­bo­oks funk­sjo­ner, kan Face­bo­ok anta­ke­lig bru­ke slik de gjør nå. Spørs­må­let er så bare hva de ellers kan gjø­re med data­ene. Og der er det gren­ser.

Even­tu­elt betyr det natur­lig­vis at fir­ma­et kan tje­ne mind­re pen­ger på data­ene. Det er tem­me­lig ube­stridt. Men når man ser hvor­dan omset­ning og over­skudd eks­plo­de­rer hos dis­se sel­ska­pe­ne, da tror jeg de vil­le over­le­ve det hvis de tjen­te et par mil­li­ar­der mind­re. Det­te er vir­ke­lig­he­ten man ser når man går ordent­lig gjen­nom sake­ne.

Vox Publi­ca: Og hva sier GDPR til det­te?

Schrems: Den sier ver­ken at man i mor­gen må sten­ge inter­nett, eller at «any­thing goes». Sånn er det også med iverk­set­tel­sen av loven. Der har vi det grunn­leg­gen­de pro­ble­met at svært man­ge juris­ter som arbei­der på det­te fel­tet, kjen­ner loven dår­lig eller er nye på områ­det.

De sier for eksem­pel: For å være på den sik­re siden leg­ger vi ut en sam­tykke­boks over alt, selv om man egent­lig ikke tren­ger å hen­te inn sam­tyk­ke. Folk møter nå et skred av sprettopp­bok­ser, og erg­rer seg så klart over det – alt­så helt unød­ven­dig.

Det sto­re pro­ble­met er sta­dig at GDPR er svært kom­pleks og at man­ge sel­ska­per ven­tet helt til sis­te minutt med å gjø­re noe. Sam­ti­dig fin­nes det svært få eks­per­ter på fel­tet.

Vox Publi­ca: Blant folk flest er frust­ra­sjo­nen stor. I Tysk­land, hvor folk har en tendens til å hol­de seg til loven, får til og med små­be­drif­ter den sto­re skjel­ven. Der er det små butik­ker, fri­sø­rer eller leger som lar kun­de­ne fyl­le ut sam­tykke­er­klæ­rin­ger om GDPR. Har per­son­vern­for­ord­nin­gen et image­pro­blem, eller er fryk­ten beret­ti­get?

Schrems: Det er en blan­ding. Image­pro­ble­mer fin­nes, men det er også gans­ke man­ge pro­ble­mer med iverk­set­tel­sen. Hvis din fri­sør tror at han tren­ger noen sam­tykke­er­klæ­rin­ger, da har han gans­ke enkelt mis­for­stått loven.

Når det gjel­der små­be­drif­ter, fin­nes det også use­riø­se råd­gi­ve­re som sier: Det dere gjør er ulov­lig i mor­gen, gi meg 100 euro, så skal jeg hjel­pe dere med å etter­leve loven. Så tje­ner de rått på det­te. Det­te bonde­fan­ge­ri­et er imid­ler­tid ikke lov­gi­ve­rens pro­blem, det er bedrifts­le­de­rens, hvis han går på noe så dumt.

Så er det også deler av GDPR som ikke er løst på en god måte, hvor loven er for abs­trakt, på vis­se områ­der lar spørs­mål være ube­svart, på and­re områ­der gir for lite spille­rom. Loven er kva­li­ta­tivt sett sik­kert ikke sær­lig god. Men politisk/innholdsmessig synes jeg den er helt ok.

Jeg har godt håp om at alt vil roe seg. Da gra­tis plast­po­ser ble fjer­net fra mar­ke­det her i Øster­rike, his­set folk seg vold­somt opp i et par måne­der, det var «slut­ten på shop­ping­opp­le­vel­sen». Nå har alle vent seg til at man må beta­le litt for posen.

Vox Publi­ca: Men mot­stan­de­re av GDPR sier nå at loven kan gjø­re Face­bo­ok og Goog­le enda ster­ke­re. De må jo arbei­de med tema­et hver dag.

Schrems: Det er etter min mening et av de tåpe­ligs­te argu­men­te­ne i hele den­ne debat­ten. Det blir sær­lig brukt i for­bin­del­se med sam­tykke­dis­ku­sjo­nen, alt­så dis­se bok­se­ne hvor du for eksem­pel må aksep­te­re at infor­ma­sjons­kaps­ler (cookies) blir lagt igjen på din maskin.

Så får en høre at den stak­kars loka­le medie­be­drif­ten ikke får bru­ke­rens sam­tyk­ke, mens Face­bo­ok får det. Men akku­rat det er egent­lig alle­re­de løst i GDPR. Og der er vi igjen ved tvangs-sam­tyk­ke­ne, som vi nå kla­ger på: At jeg ikke len­ger kan pres­se folk til å sam­tyk­ke, men at sam­tyk­ket må være helt uav­hen­gig av spørs­må­let om jeg gjør et pro­dukt til­gjen­ge­lig eller ikke, en tje­nes­te til­gjen­ge­lig eller ikke, og så vide­re.

Det betyr: Folk må vil­le det. Og da er spørs­må­let: Vil de gi sitt sam­tyk­ke til sin fri­sør om at han kan sen­de rekla­me, eller vil de hel­ler gi det til Goog­le? Mitt tips er: Jeg vil hel­ler si til fri­sø­ren min at han kan sen­de meg et nyhets­brev med en kupong eller noe, enn gi et gene­relt sam­tyk­ke til Goog­le. Hvis jeg vir­ke­lig får den fri­he­ten, og det er iverk­satt på en god måte, går det helt fint.

Vox­Pub­li­ca: Det var nylig en dom ved EU-dom­sto­len om Face­bo­ok og bedrif­ter. Iføl­ge den er bedrif­ter med en egen Face­bo­ok-side med­an­svar­lig for per­son­ver­net. Hvor­dan skal man for­hol­de seg til det­te?

Schrems: Det er et prin­si­pi­elt pro­blem hos Face­bo­ok at de ikke sier hva de er ansvar­lig for og hva som er den enkel­te bru­kers ansvar.

Når det duk­ker opp et pro­blem, sier Face­bo­ok all­tid: Å, et nazi-inn­legg? Det er bru­ke­rens pro­blem. Har ikke sett det, har ikke hørt om det, har vi ingen­ting med å gjø­re.

Men hvis du vil se data­ene dine, sier de: Å nei, det er vårt alt sam­men, bru­ke­ren har ingen­ting med data­ene å gjø­re, til­hø­rer bare oss. Slik er schi­zo­fre­ni­en hos Face­bo­ok i dag.

Dom­men i EU-dom­sto­len har dess­ver­re ikke gitt noe ordent­lig svar i saken, det er hoved­pro­ble­met. Også den­ne gang sier dom­mer­ne: Det kom­mer an på, det må man avgjø­re i hvert enkelt til­fel­le.

Det­te er et grunn­leg­gen­de pro­blem med skyt­je­nes­ter, og sær­lig med Face­bo­ok. And­re sel­ska­per er mye kla­re­re på ansvars­for­de­lin­gen. Face­bo­ok sier det rett og slett ikke. Det er mitt pro­blem når jeg bru­ker Face­bo­ok nå: Face­bo­ok sier ikke hva det sosia­le nett­ver­ket er ansvar­lig for og hvil­ket ansvar bedrifts­bru­ke­ren har. Når noen skri­ver et nazi-inn­legg, er bru­ke­ren ansvar­lig, uan­sett om ved­kom­men­de dri­ver en side eller er en pri­vat bru­ker.

Men hvis nå data­ene mine blir solgt vide­re til et eller annet for­mål, da vet jeg egent­lig ingen­ting om det og kan over­ho­det ikke kon­trol­le­re det, ergo må vel Face­bo­ok være ansvar­lig. Det­te kan man nå avkla­re for hver funk­sjon, og det må egent­lig Face­bo­ok gjø­re.

Vox Publi­ca: Hva sier du til ankla­ger om at GDPR kan gjø­re vil­kå­re­ne for nett­jour­na­lis­tikk umu­li­ge? Den finan­sie­res som kjent ennå hoved­sa­ke­lig med annon­ser, og da er man nødt til å sam­le inn data, vir­ker det som.

Schrems: Finan­sie­ring av medi­er er et spen­nen­de tema. Gjen­nom sam­ta­ler med medi­er har jeg for­stått at for tiden er det mel­lom­led­de­ne som tje­ner grovt på per­son­til­pas­set rekla­me. Medie­ne blir sit­ten­de igjen med smu­ler. Slik jeg har fått det for­klart, tje­ner de net­to omtrent like mye på enk­le annon­ser – for eksem­pel en bil­an­non­se på en bil­side – som på de avan­ser­te mål­ret­te­de annon­se­ne.

Ved mål­ret­tet rekla­me er det alt­så hoved­sa­ke­lig annonse­platt­for­me­ne som får pen­ger. Dess­uten taper medie­ne vel­dig mye makt over kunde­for­hol­det når de dri­ver på den­ne måten. Man har lite med annon­sø­ren eller reklame­sel­ska­pet å gjø­re, og det er dår­lig for frem­ti­den.

Vox Publi­ca: Og hva med under­sø­ken­de jour­na­lis­ter, kan per­son­ver­net leg­ge hind­rin­ger i vei­en for dem?

Schrems: Når det gjel­der pro­duk­sjon av inn­hold, er det en åpen­hets­klau­sul i GDPR for medi­er og jour­na­lis­tikk. I vir­ke­lig­he­ten er det der­for de gam­le nasjo­na­le medie­lo­ve­ne som gjel­der.

For eksem­pel er det fra før ulov­lig i Øster­rike å tryk­ke papa­raz­zi­bil­der av til­tal­te per­soner i avi­sen. Sånn har det all­tid vært hos oss. I Irland er det helt mot­satt, kom­mer du ut av en retts­sal der, stor­mer det hund­re foto­gra­fer mot deg. EU har ikke laget noen nye reg­ler om det, åpen­hets­klau­su­len står. Med and­re ord kan jeg ikke for­stå kri­tik­ken på det­te punk­tet.

Vox Publi­ca: Etter din suk­sess mot Face­bo­ok i Euro­pa er du jo blitt en helt for de per­son­vern­in­ter­es­ser­te. Har kri­tik­ken mot GDPR ska­det ima­get ditt?

Schrems: Nei. Det er jo ikke jeg som har fun­net opp per­son­vern­for­ord­nin­gen. Hvis jeg had­de skre­vet den, vil­le den sann­syn­lig­vis sett gans­ke anner­le­des ut. Jeg tror også at man­ge men­nes­ker vil­le vært mye mer for­nøyd med den, selv nærings­livs­folk. Men siden jeg alt­så ikke er kon­ge av Euro­pa, er det hel­ler ikke mitt ansvar.

Men de tema­ene som vi nå tar opp med NOYB, det er akku­rat de tin­ge­ne hvor det er klart at det gjø­res feil. Det kun­ne jo ikke fal­le meg inn i drøm­me å pla­ge fri­sø­ren på hjør­net med et eller annet per­son­verns­kje­ma. Vi har alle vik­ti­ge­re pro­ble­mer i livet. Men når det nå drei­er seg om tvangs­sam­tyk­ke og alle plut­se­lig får en sprettopp­mel­ding på mobi­len om at du nå mis­ter alle dine Whats­App-kon­tak­ter hvis du ikke sam­tyk­ker – da skjøn­ner vel alle at det er noe tull, det er jeg sik­ker på.

TEMA

P

ersonve
rn

26 ARTIKLER FRA VOX PUBLICA

FLERE KILDER - FAKTA - KONTEKST

INGEN KOMMENTARER

KOMMENTÉR

Skriv en kommentar

Bidra til god debatt - skriv under fullt navn. Se våre kommentarregler.

Abonner på kommentarer
til toppen