 Ich denke nicht wirklich, dass ich Max dir introducee, oder? Aber ich versuche es. Ich bin glücklich für alles. Mein Freund Austria. Okay, ja. Willkommen zur Besetzung von Privacy Shield Lipstick on a Pig. Also ungefähr so viel wie Privacy Shield, reine Kosmetik von Max Schrems, der gerade vorgestellt wird von seinem koösterreichischen Herald. Wir bringen euch die Besetzung ins Deutsche. Unsere Namen sind Sevalis und Waffle. Und wir werden schwer haben vor Warnung. Max Schrems ist als Schnellsprecher berichtigt. Ich war vorhin bei ihm. Er hat sich vorhinein bei mir entschuldigt. Er weiß es also auch. You all know what that means? Yeah, somebody who does not know what that means. Wow, I'm impressed. Or they just don't want to. Basically there are three procedures. We had a couple of, we had like the first three years in our life. Also es geht um diese Facebook-Gerichtsfälle, die Max Schrems gemacht hat. Er hat einen Gerichtsverfahren versucht gegen den irischen Datenschlussbeauftragten, weil die für Facebook zuständig sind. Europe versus Facebook. Dann gab es den Fall gegen Safe Harbor, über den Max heute reden wird. Began 2013. Hängt immer noch im irischen Gerichtsystem, den er ging, an den Europäischen Gerichtshof und dann zurück nach Irland, ein Ping-Pong. Und es gibt eine Sammelklage beim Europäischen Gerichtshof, bei dem er auf ein Ergebnis wartet. Also es werden alle Versuche für die Durchsetzung von Privatsphäre werden versucht. Ist es nicht schön, wenn eure Freunde den Job für euch erledigen? Also bitte. Einen großen Applaus noch mal für Max Schrems. Privacy Shield. Lipstick on a pig. Vielen Dank für die Einführung. Es tut mir leid. Ich bitte auch alle, die mich übersetzen, denn ich bin ein sehr schneller Redner und es ist sicherlich oft schwer zu verstehen, da sie sagen, ja, dass sich langsam werden soll. Andererseits habe ich nur 30 Minuten und ich will viel Platz, viel Stoff durchgehen. Also ich wurde gefragt, ob ich über Privacy Shield reden kann. Ich bin in das hier reine Kosmetik, denn deswegen wird das alte Safe Harbor Verfahren oder die Vereinbarung ein bisschen Geschichte darüber. Was ist Safe Harbor? Was war die ganze Geschichte dahinter? Wer hatten die Überwachungsfolien, die Snowden enthüllt hat? Und wir wissen, dass also einige alle großen IT-Firmen teilgenommen haben in einem Programm, das Prism, heißt, eine amerikanische Überwachung. Das ist interessant, dass ihr hier aus rechtlicher Sicht, ich bin ein Rechtsexperte. Es kommt oft nach Verschwörung, es wird schwer, den Verdacht zu prüfen und es ist schwer, das im Gericht zu beweisen. Also wenn man das angreift, dann ist die Berechtfertigung oft nicht gut genug. Und das Interessante mit Snowden ist, ach so, wenn man gegen das Prism vorgehen will, dann hat man das Schwer, das Dinge zu beweisen. Also Snowden ist derjenige, der es erst möglich gemacht hat, da dagegen vorzugehen. Also vielen Dank an Snowden dafür. Das war also die faktische Seite. Wir wussten, dass diese Firmendaten an die US-Regierung weiterleiten. Das Interessante hier von rechtlicher Seite ist, wie das rechtlich funktioniert in den USA. Es wird oft über US-Recht geredet. Es gibt die Talks oft, und ich werde das also jetzt sehr schnell zusammenfassen, nicht ganz genau, aber nur, um euch ein Überblick zu geben, wie das recht funktioniert. Es heißt also, dass es einen elektronischen Communication Service Provider geben muss, einen Kommunikationsdiensteanbieter. Das Interessante ist, dass diese Überwachungsgesetze nicht auf normale Wirtschaftsunternehmen Anwendung finden. Also sehr spezifisch für elektronische Kommunikations-Dienstleister. Und die müssen etwas haben, was ausländische Intelligenz, ausländische Geheiminformationen heißt. Also alles, was die USA aus diplomatischen Gründen oder so interessieren könntest. Nicht sehr spezifisch. Es geht nicht um nur um Terrorismus. Es ist im Grunde Spionage in allen Dingen. Und das sind im Wesentlichen die Sachen, die du brauchst unter diesem FISA-Gesetz. Und darüber hinaus mit alles, was unter dieser Linie ist, ist unter Geheimhaltung. Und das wird zertifiziert für ein Jahr, die US-Recht zu sagen. Also es gibt einen legalen Prozess über dieses FISA-Gericht. Und was Sie dann also machen, ist, Sie zertifizieren ein Überwachungsprogramm für ein ganzes Jahr. Es wird also nicht die einzelne Überwachung hier zertifiziert oder überprüft. Das Programm als Ganze wird also abgestempelt. Und das ist alles, was dieses Regericht tut. Es schaut sich nicht um die einzelnen Fälle an, in denen Daten gesammelt werden. Die Idee dahinter ist also, dass sogenannte Minimisierungs- und Targeting- Verfahren gemacht werden. Also alle, die in den USA leben oder es Staatsbürger sind, sind hier geschützt und alle anderen sind nicht geschützt. Und dann ist also eine Wachung gäbe für US-Bürger, die soweit gehen, wie das FISA-Recht ist rechtfertig. Dann will das das im vierten Verfassungszusatz verlassen. Es wäre also nicht verfassungsgemäß. Und das ist es, was das FISA-Gericht schützt, weil aber die Verfassungsgesetze nicht auf Ausländer anwenden und finden, ist das eigentlich egal. Und das ist also diese Gedanke über diesen Minimisen-Tagting. Und dann gibt es also eine sogenannte Richtlinie oder einen Dienstleister. Und das sagt diesen Dienstleister im Wesentlichen, dass irgendein technisches Interface eingerichtet werden muss, an Standstelle, um die ganzen Daten herauszuziehen. Das sagt nicht das Gericht, sondern dieser Befehl wird von der Regierung ausgestellt. Das Gericht steppelt, gibt eben nur ein Freistempel für das gesamte Überfachungsprogramm. Also, wenn ich bei Facebook-Airland bin, dann gehen meine Daten direkt an Facebook-Ink in den USA. Und es gibt zwei Wege, so weit wir bisher wissen. Es könnte rechtlich mehr Wege geben, aber zwei Wege kennen wir, von denen die Daten an die Regierung gehen. Das erste ist direkt im Kabel. Und außerdem kann eben auch von Facebook, vom Dienstanbieter die Daten abgezogen werden. Im Kabel ist die Abdeckung größer, aber das ist auch verschlüsselt. Im Kabel, das kann ein anderer rechtlich Grundlage haben, und Pfizer kann also beide Überwachungen abdecken. Das ist also die legale, die rechtliche Grundlage dafür. Es gibt einige Dinge, die umstritten sind, oder die wir bisher nicht wissen. Die genaue technische Implementierung, die Verprüfungsmechanismen, das ist intern, es gibt viele Gerüchte, Hinweise, aber nichts wirklich etwas Handfestes. Das ist nun im Wesentlichen, was Snowden uns enthüllt hat. Und das Interessante für mich waren die Reaktionen. Wir hatten Demos, wir hatten das Europäische Parlament, das Resolution verabschiedet, die Europäische Kommission und eine wunderbare Review. Merkel erklärt sich über Telefon. Angela Merkel erklärt sich über Telefon. Es geht nicht unter Freunden. Und das ist im Grunde das, was wir wissen. Also die Frage ist, wie könnten wir einen rechtlichen Fall daraus machen? Das war also der ursprüngliche Safe Harbor Fall vor dem Europäischen Gerichtshof. Und die Strategie-Wage ist interessant. Wenn man so etwas macht, dann muss man sehr strategisch sein. Es geht gegen die große Regierung. Man muss irgendein Punkt finden, den man treffen kann, ohne dass 100 Rechtsanwälte zurückschreien und du auf einmal auf dem Boden liegst. Also wie können wir hier die Sachen wirklich angehen? Das Interessante Sache war, wir hatten hier eine Situation mit einer öffentlich privaten Überwachungspartnerschaft. Wir hatten die Serviceförder, die Dienstanbieter und die Regierung, die diese Daten abzog. Also eine Kombination öffentlich-privat. Das war interessant rechtlich. Das Interessante auch ist, dass Facebook dem amerikanischen und ebenso dem europäischen Gericht unterliegt. 84% der Facebook-Nutzer werden aus Irland versorgt. Das ist also 84% eine europäische Firma irgendwie. Und sie müssen diesen Recht folgen. Aber die Zentralis in den USA, also trifft dieses Recht auch zu. Und die EU-Recht reguliert Datenübertragung an Drittländer. Wenn also Daten in der EU vorhanden sind, dann darf man die in der Regel nicht an Drittländer verschicken. Es muss eine spezielle Erlaubnis vorliegen. Es ist eine Art Exportkontrolle für persönliche Daten. Und dann muss dieses gesamte EU-Recht außerdem noch interpretiert werden mit den Gerichten, dem europäischen Gericht für Menschenrechte. Und ein weiteres Eigen, dass die EU-Recht sehr interessant war, dass die Definitionen in europäischen Rechten sehr bereit sind. Also Datenverarbeitung zum Beispiel liegt schon vor, wenn man Daten bereitstellt. Also eines in unserer ganzen rechtlichen Strategie war, niemals behaupten, dass ich tatsächlich überwacht worden sei. Ich sagte nur, meine Date muss für NSA bereitgestellt werden von Facebook laut US-Recht. Und das ist also interessant, wo ich also nur beweisen muss, dass die Daten bereitgestellt werden, nicht dass die Daten wirklich gezogen wurden. Und das gibt nicht nur eine Menge der Beweislast. Wir müssten also jetzt in vielen Fällen, muss man viele Dinge beweisen, die man nicht beweisen kann. Und interessanterweise durch das europäische Recht der breite Definitionen können wir Fälle vor Gericht bringen, die wir sonst nicht vor Gericht bringen könnten. Das andere ist das Ding war, wir haben hier Prism gegenüber Vorratsdatenspeicherung und Prism ist im Wesentlichen zehnmal so schlimm, wenn Vorratsdatenspeicherung legal ist in der EU, dann müsste Prism zehnmal so illegal sein. Grundsätzlich etwas, was alle verstehen müssen, die über diese Datentransfer Dinge reden. Wir haben auf dem Meta-Level tatsächlich einen Konflikt von Rechtssituationen. Das europäische Recht sagt, wir müssen Privatsphäre haben und sehr einfache ausgesagt. Und das US-Gesetz sagt im Grunde, dass wir Überwachung haben müssen. Das ist also ein fundamentaler Konflikt in all diesen Fällen. Wir haben im Wesentlichen ein Konflikt von Rechtssprechungen. Facebook wird einerseits verpflichtet zu überwachen und andererseits wird es ihnen verboten. Das ist also dieser fundamentale Zusammenstoß, den wir haben. Sehr interessant, im Unterschied zum privaten Sektor. Dort gibt es eigentlich kein allgemeines Datenschutzrecht in den USA und deswegen auch keinen Konflikt. Und US-Firmen könnten das deswegen durch die Selbstzertifizierung füllen. Wir müssen also entscheiden zwischen dem Privatsektor, wo wir das reparieren können und dem öffentlichen Sektor, wo wir also einen grundsätzlichen Konflikt von Rechtsprinzipien haben. Was nun war das rechtliche Moment? Ich sagte, wenn meine Daten an Facebook gehen, dann können diese Daten nur die Europäische Union mit Exportkontrolle und so verlassen. Wenn es einen angemessenen Schutz im Drittland gibt und mein Argument war sehr einfach, man muss dafür keinen Rechtsstudien machen. Das war einfach, Massenüberwachung ist kein adäquater Schutzpunkt. Sehr einfach. Also, wie war nun das Verfahren? Unter Safe Harbor kann man also zu einem privaten Beschlichtungsstelle gehen und muss also erst mal eine Beschwerde dort erheben. Es ist eine private Beschwerde, die nur etwa 250 Zeichen eingeben konnte. Ich konnte nur sagen, hier stoppt die Involverung von Facebook in Prison. Das ist das Einzige, was ich im Runde sagen konnte. Sie kamen dann zurück und sagten, wir haben hier keine Autorität, um das hier zu bearbeiten. Wir können hier der Firma nicht sagen, das zu stoppen. Dann nächster Ort, dann ist der irische Datenschutzbeauftragte. Hier mein Lieblingsfolie von allen Vorträglichheiten. Die kleine blaue Tour der Tür ganz oben, das ist also die Daten der Datenschutzbeauftragte. Das Interessante ist also, Sie haben ein neues Bild. Das war zu viel in Medien dieses Bild, und sie sind umgezogen. Aber hier der Datenschutzbeauftragte, der Kopf der Behörde, sagte dann tatsächlich im nationalen Radio und sagte, ich denke, es dürfte keine Überraschung sein, dass die US-Geheimdienst tatsächlich Zugang haben auf Daten der US-Behörden. Also er hat im Grunde öffentlich gesagt, dass wir völlig recht hatten, und das war sehr interessant. Die Fakten waren das große Thema. Die rechtlichen Fragen, das einfache. Aber er hat die faktische Lage bereits bestätigt in den Medien. Wir wissen, dass es Überwachung gibt. Das war das Wichtigste, und das war auch der Grund, warum wir über Elend ging. Wir haben z.B. auch in Deutschland vorgerichtet gegangen. Wir untersuchen noch und so weiter. Wir haben gesagt, ja, natürlich, es gibt all diese Überwachung. Er meinte tatsächlich, dass es rechtlich keinen Grund gibt, und deswegen sind wir als ehrische hohe Gericht gegangen. Das ist hier, hat dort unsere Anhörung, und was dann ein bisschen passiert war, dass sie alle Daten an Fakten zugestimmt haben und es weitergereicht haben, an das europäische Gerichtshof weitergegangen sind, das höchste Gericht in der EU, und das war klar, dass sie das tun mussten. Beim europäischen Gerichtshof hatten wir ein sehr langes, und das war sehr interessant, wie die detailliert, die Richter Bescheid wussten, das ist auf das Problem in privatsphären Fällen, dass die Richter nicht so genau Bescheid wissen. Und hier hatten wir aber, wir waren sehr froh mit dem Verständnis der Richter und eine kleine Nebenbemerkung. Einen Tag vor der Anhörung gab es einige Leute, die mich per Text anschrieben aus verschiedenen EU-Mitgliedszentern und sagten, ratet mal, wer mich gerade angerufen hat. Ja, jemand von der EU-Regierung und hat uns gesagt, wir sollten unsere Positionen, die wir vortragen würden, bitte schön ändern. Und die Regierung hatte so offenbar am Tag vorher versucht, hier Druck auszuüben. Aber es war zu spät, alle waren in den Flugzeugen, sie konnten nichts mehr tun. Und während der Anhörung war tatsächlich jemand von der US-Botschaft in der EU und hat mich zugegangen, hi, wie geht's? Du bist doch hier der Kläger und so. Ja, schön dich zu treffen und wir redeten. Es war witzig. Möchtest du noch irgendwelche Telefonnummern, die du anrufen möchtest, um Leuten zu wissen, was du sagen möchtest oder brauchst du was nicht? Also diese Leute konnten etwas sagen, was die Promaten nicht sagen können. Und sie sagten, ich hab das gefragt und sie haben das tatsächlich dann bestätigt. Und sie haben gesagt, dass sie tatsächlich nur am letzten Freitag von der Anhörung gehört haben. Es war nur noch der Montag über, ich ihm was zu tun und dann am Dienstag war die Anhörung. Es war also einfach zu spät, um wirklich noch einzigreifend, obwohl die Anhörung tatsächlich auf der Webseite das Gerichtshof für drei Wochen war. Also hätten die so, tolle, fantastische Überwachung. Aber sie haben tatsächlich nicht gewusst, wann der eigentliche Gerichtstermin sein würde. Das war also lustig. Auch es ist in dem Gerichtshof, was sehr lustig ist, passiert, das Urteil kam heraus, nachdem der Generalanwalt seine Meinung gesagt hatte. Und danach kommt das Urteil. Das dort noch mal, da war es zwei bis drei Monate. Und wir hatten Gerüchte gehört, dass das Urteil am 6. Oktober rauskommen sollte. Und ich dachte, das ist ja zwei oder drei Wochen nach dem Generalanwalt. Das ist ja total, das ist eine Talausnahme. Und Gerüchtenzufolge ist der alte, wollte der alte Richter in Begriffe ein Ruhestand zugehen, dieses Urteil möglichst schnell über die Bühne im Bild zu bringen. Das ist also sehr interessant zu sehen, wie emotionelle Menschen, Richter über diese gewassferen Urteile vorgehen können. Das war ein sehr mutiges Urteil. Zunächst sagte es, das Massenüberwachung, die den Kern des Artikel 7 verletzt. Und die Tatsache, dass man bei keinem Gericht Bruchung einden kann, ist auch in Widerspruch zu Menschenrechnungen. In der EU-Gesetz gibt es den Proportioniertestest. Das heißt, man hat den Verhältnismäßigkeitestest. Das heißt, man muss gucken, ob ein Gesetz verhältnismäßig ist. Man kann also etwas wie die Vorratsdatenspeicherung könnte eventuell unverhältnismäßig sein. Es gibt manche Sachen, die jenseits aller möglicher Verhältnismäßigkeit sind. In unserem Fall fand der Richter genau das, dass der Kern der Grundrechte wird berührt. Direkt nach dem Urteil dachten wir uns, ja, wir haben den Kern geschafft. Das ist also so Spaß, den Rechtsanwaltern herben. Es war auch interessant, dass Drittländer im Bunde Equivalente einen Schutz zu haben müssen. Das ist interessant, weil das Gesetz über adäquaten Schutz redet, was aber kein bedeutender Begriff ist. Das kann alles oder nicht sein. Was also tatsächlich im Gesetz passiert ist, ist, dass das Equivalent zu adäquat rausgelobbt wurde. Das konnten wir jetzt wieder reinlobben und haben also den Ausgangszustand des Gesetzes wiederhergestellt. Es gibt auch eine effiziente Aufführungs- und Überwachungsmethoden. Das ist interessant, weil keines der europäischen Länder das ernsthafte Massüberwachung hat. Ich bin ein österreichischer Staatsbürger. In Deutschland gibt es keinen Ort, an den ich mich wenden könnte, um wieder Spruch einzulegen. Die Innenverträge haben Ausnahmen für nationale Sicherheit. D.h. alles, was um nationale Sicherheit geht, ist jenseits des Europäischen Gerichts. D.h. der Europäische Gerichtshof kann über nationale Sicherheit der Drittländer reden, aber nicht über die eigenen Begriffdaten. Das ist total absurd. Das ist eine der Gründe, warum Deutschland und Frankreich damit einverstanden sind, ohne ein Problem zu haben. In Großbritannien ist das zum Glück durch Brexit gelöst, weil sie ein Drittstaat sind. Dann können wir in ihre nationale Sicherheit eingreifen. Das ist also die ganze Vorgeschichte für das, worüber wir eigentlich reden möchten. Das ist Privacy Shield oder Safe Harbor 101, weil das im Grunde der gleiche Text ist. Als Safe Harbor umgeworfen wurde, wurden die US im Grunde ein Drittstaat, also nicht mehr den Spezialstaat, aus den es vor den Vertrag hatte. Es gibt nach wie vor verschiedene Möglichkeiten, um die US zu senden. Ich bin der Vertragsregent und so weiter. Es ist einfach nicht mehr so einfach, Daten in die Vereinigten Staaten zu schicken. Man braucht andere Drecksmechanismen. In Irland ist gerade ein Fall anhängig, wo der Datenschützer mich und Facebook über diese Standardvertragsklauseln verklagt hat. Wir hatten fünf Wochen im Gericht in Dublin mit 20 verschiedenen Anwälten. Es wurden 45.000 Seiten Dokumente erzeugt. Wir erwarten ungefähr fünf bis zehn Millionen Euro Kosten. Ich habe diesen Fall nicht angefangen. Das war das DPC. Wir vertreten uns noch darum, die eigentliche Frage ist. Es wird noch eine zweite Runde gedrückt. Ich kann noch nicht viel über dieses Verfahren sagen, weil es noch anhängig ist. Aber Facebook hat einfach scheiße gebaut. Sie hatten all ihre Experten. Ihr müsst euch einfach nur die Fußnoten anschauen. Jungs, ihr sagt, da steht in den Fußnoten, aber stimmt überhaupt nicht. Sie haben super bezahlte Anwälte, aber sie beprüfen nicht ihre eigenen Sachen. Sie haben so viel Selbstvertrauen, dass sie glauben, dass sie mit einem durchkommen. Aber das hat der Richter nicht getan. Das Urteil aus der ersten Runde ist schon fertig. Das heißt, wir können darüber reden. Es unterstellt sich heraus, dass es massenhafte und generelle Datenverarbeitung der Amerikaner gibt. Zurück zum Privacy Shield. Wie hat das sein Leben begonnen? Es ist wichtig, hier die Geschichte von Privacy Shield zu erkennen, um zu wissen, dass es Bullshit ist. Im 30. Januar 2016 gab es einen Termin oder eine Deadline der EU und es gab dann Berichte, dass kein neuer Deal verhandelt werden konnte. Ich sprach zu den Journalisten und hörte, dass das eine 100% sicherer Information sei. Am 31. Januar stand man vom Verhandlungslicht auf und sagte, es gibt keine Möglichkeit, aber da gab es offenbar ein Telefonanruf zwischen der EU-Kommission und irgendwie ... Es war der Erinnert wohl, dass der verantwortliche Kommissar irgendwas hinkriegen sollte. Und dann kurz danach vom selben Reporter die Aussage der Berichte, es gibt einen neuen Deal. Wir wussten den Namen noch nicht, aber 24 Stunden später gab es auch immer dieses Logo und das heißt Privacy Shield. Wir haben das verausgarnet und fragten, wie kommtet ihr euch diesen beschissen Namen ausdenken? Und er sagte, naja, ich wusste das auch nicht bis zur Kasselkonferenz, ich hatte den Deal nicht. Es gab nur einen Logo ohne Namen und wir wissen das, weil eine Woche später eine Freedom of Information Anfrage über die Kommunikation gemacht wurde und es gab eine Antwort. Und die Antwort war, wir können leider den Text dieser Vereinbarung nicht rausgeben, weil dieser Text nicht existiert. Also ein Monat später gab es dann wirklich einen Text und es ist im Wissen nicht wie das Safe Harbor, nur der gleiche Text. Das meiste ist also wirklich wörtlich gleich. Man kann also genauer Text vielleicht machen, wenn über fünf Prozent neue Wörter, es wurde einfach ein neuer Name hinzugefügt und es gab eine Kosmetik oder Lipstick auf einem Schwein, wie man auf Englisch sagt. Jetzt gibt es also den Fall Privacy Shield gegen den EU-Richtshof. Wie würde das sich abspielen? Es gibt in einem fiktiven Fall Wörter, es gibt zwei Hürden geben, das eine wäre die wesentliche Gleichbedeutung und es müsste mit der EU-Karte der Grundrechte vereinbar sein und es gibt also zwei Gründe, warum das nicht funktionieren kann. Privacy Shield hat immer noch dieses Notice and Choice Prinzip, also nicht Benachrichtigung, kein sehr striktes System. Sehr einfach ausgedrückt. Links gibt es all diese Typen der Datenverarbeitung, die von der EU-Gesichtsgebung abgedeckt werden. Alles, was man mit Daten tut, ist irgendwie mit EU-Richt abgedeckt und man braucht deswegen eine Rechtsgrundlage. Im Privacy Shield braucht man nur ein Opt Out hinzufügen, also breitstellen. Es muss also keine informierte Einbedeutung gegeben werden, wenn zum Beispiel der Zweck sich ändert. Also, wenn man sich das anschaut, dann merkt man, dass das winzige Schutz überhaupt nicht equivalent ist zu der Rechtslage der EU. Also, wenn man jetzt hier Sammlungen, Benutzung und Speicherungen der Daten sich anschaut, das wird alles nicht erfasst für das Privacy Shield. Nur, wenn man Daten mitteilt oder den Zweck ändert, muss ein Opt Out angeboten werden, ein Button irgendwo. Und man kann sogar diese Anforderungen killen, indem man einen sehr breiten Zweck in seine Vereinbarung hineinschreibt. Dann muss man das nämlich nicht verändern und dann drittpartei klauseln, die man noch hinzufügen kann. Und dann hat man im Wesentlichen eine unbegrenzte Datenverarbeitung unter Privacy Shield, was aber eigentlich vom Rechtsschutz her equivalent ist, also das kann niemals zusammenpassen. Das andere interessante Ding war also der Rechtsweg und das zeigt also, wenn man sich da anschaut, merkt man, dass es nie funktionieren kann. Also, wenn ich jetzt zum 21. Mal Ärger mit Facebook haben würde, dann würde ich sagen, Facebook schreiben, sie hatten 44 Tage. Nein, 45 Tage, um zu antworten. Und dann gehen wir also an die Schlichtungsstelle, die Ombudspersonen, mit einem 250-Zeichen-Formular. Und hier wird jemand tatsächlich von Facebook ausgesucht und bezahlt, aber es ist offiziell unabhängig. Und wenn mein Schwerde-Aufrecht erhalten wird, würde der Ombudsmann, also Facebook, eine E-Mail schicken und sagen heute auf damit, es gibt auch keine Untersuchungsbefugnisse. Wir würden also nicht herausfinden, was Facebook eigentlich macht mit den Servers. Sie können sich nur anschauen, was auch immer ich vorbringe und ich werde normalerweise nicht viel vorbringen können. Wenn ich damit unzufrieden bin, kann ich zu meinen nationalen Datenschutzbehörden gehen. Sie können das dann mit dem Handelsministerium, der USA, besprechen keine Formale vorgehensweise hier. Es gibt doch keine Untersuchungsbefugnisse, das Handelsministerium. Ich werde auch immer wieder über die Forderungen herausfinden, was Facebook wirklich tut, um dann über meine Beschwerde zu entscheiden. Und wenn da nichts passiert, muss ich im Wesentlichen an den nationalen Gerichte gehen. Und alle können theoretisch auch an die Bundeshandelskommission, die USA, sich wenden, die auch kaum Rechte hat, keine Untersuchungsrechte hat. Und die Kommission hat also auch schon gesagt, dass sie da nichts tun würden, wenn sie das nicht machen. Also, das ist alles fantastisch, denn man kommt nirgendwo hin damit. Also, man muss all diese Schritte durchlaufen, bevor man das sogenannte Privacy Shield Panel anrufen kann. Das ist also ein Grund, hat man eine Skype-Konferenz, eine Videokonferenz mit diesen Leuten, dreht ihr mit ihnen über deine Datenschutzsorge und selbst deren Entscheidung ist nicht rechtlich binden. Man muss das noch dann transferieren an ein amerikanisches Gericht und das kann eine rechtlich-binnende Position dann ein Urteil fällen. Das wird nochmal für zwei bis drei Jahre dauern einfach nur, um deinen Request da durchzusetzen. Also, selbst wenn Facebook irgendeine dieser Regeln verletzt, die man kaum verletzen kann, weil sie so breit sind, kriegt man es kaum hin, da irgendeine Rechtsdurchsetzung zu machen. Also, Frage ist, ist es hier ein fairer Wettbewerb? Es gibt Leute, wenn es Leute gibt, die unter diesem System operieren können, anstatt den härteren Euregeln zu folgen. Also, die müssen all diesen tollen Gesetzen regeln, europäische Datenschutzverordnung und die amerikanischen müssen das nicht. Das Interessante nun bei diesem ganzen Privacy-Shield ist die ganze Überwachungsthematik. Es gibt ja eine Einschätzung. Die Kommission hat eine Einschätzung veröffentlicht, die sagt, dass die US-Behörden also hier versichert hätten, dass es keine flächendeckende Massenbewachung durch die Sicherheitsbehörden geben würde. Also, alles erledigt, oder? Wenn man sich aber jetzt hier die Privacy-Shield-Vereinbarung anschaut, Anhang 6, Seite 4, dann gibt es also hier eine Regelung für Überwachung für sechs spezifische Zwecke. Und dann gibt es aber tatsächlich hier eine Überwachung im Anhang. Also, zum Beispiel als letzte Möglichkeit, letzte Begründung, um einem transnationale Bedrohung zu bekämpfen. Und es muss also nur eine Bedrohung eines Verbrechens geben. Also, zum Beispiel, dass man Drogeln über die Grenze bringen könnte, das ist bereits so eine Bedrohung, die Massenüberwachung gerechtfertigt. Wenn man also die Definitionen anschaut, sind sie sehr, sehr breit. Trotzdem heißt es da, dass dies ist die Regelung für Massenüberwachung. Es gibt aber noch eine Fußnote 5. Rechtsexperten lieben Fußnoten, also je man dahin, und diese Fußnote sagt, dass diese Beschränkungen nur dann zu treffen, wenn die Daten nicht darübergehend nur gesammelt werden, um spätere gezielte Überwachung möglich zu machen. Also, wenn ich vorhabe, jemanden in diesen Datenmassen zu ins Fokus zu nehmen, dann kann ich auch Massenüberwachung betreiben. Also, hier gibt es die Ansicht, offenbar, dass wenn ich zum Beispiel meinen Browser benutze und ich tippe eine URL ein, dann habe ich natürlich nur Zugriff zu einer bestimmten Seite, nicht zum ganzen Netz, sondern nur zu einer einzigen Seite. Deswegen ist es keine Massendatensammlung. Das ist also irgendwie die Idee, die hier vorgebracht wird und der Weg aus dem ganzen System. Und ein bisschen kurz in meiner Zeit, was wir getan haben hier ist, es wäre eigentlich unmöglich hier, dass die Regierung das alles... Es gab also nur einen Brief von den USA, der im Grunde die Entscheidung angehängt wurde. Und das an die Europäische Union hat, wenn man das in China machen würde, dann würde man, wenn die Chinasche Region sagen, dass die Menschenrechtssituation hervorragend ist, und das würde an das Europäische Recht angehängt werden, und dann steht im Europäischen Recht, dass die Menschenrechtslage in China großartig ist. Ein abschließender Problem ist, dass die Ombudspersonen in den US-Ausministerium ist und das Lustige daran ist, dass die Antwort von diesem Mechanismus schon in Privacy Shield beschrieben ist. Und die Antwort wird immer dieselbe sein, egal was der Fall ist. Und die Antwort ist zunächst, dass es untersucht wurde und dann sagen Sie, dass Sie entweder mit dem Recht, dass Sie entweder das Recht gefolgt haben oder dass Sie ihr Prozess ändern werden, aber Sie geben nicht an welcher der Fette es war. Und das ist also ein wunderbares Anspruchsrecht, das Recht das hat. Darüber, das überspringe ich, auch darüber hat sich es nun geärgert, das könnt ihr auf Twitter selber nachlesen. Und zum Schluss möchte ich darauf eingehen, wie man Privacy Shield umgehen oder abschießen kann. Ihr könnt bei einem lokalen EU-Gericht eine Injunction einlegen und sagen, dass Privacy Shield ungültig ist und dann kannst du dich auf den kommerziellen Teil oder den Geschäftsteil fokussieren und dann kannst du dich einfach zurücklehnen. Also, falls irgendjemand von euch zum Europäischen Gerichtshof gehen möchte, dann unterstütze ich euch sehr gerne. Das ist der Teil über die europäische Überwachung, das habe ich euch schon erzählt. Es gibt keine Rechtsprechung des Luxemburgischen Gerichtshofs in Luxemburg, aber es gibt sie in Straßburg. Und ich glaube, für europäische Überwachung ist dieser Fall sehr wichtig. Das ist ein Teil des europäischen Gerichtshofs. Das ist ein Teil des europäischen Gerichtshofs. Aber wir brauchen einen anderen Gerichtshof dafür. Zum Schluss muss ich etwas pitchen. Es tut mir leid. Wir haben gerade eine Privacy, eine Datenschutz-Durchsetzung NGO gestartet. Ich mache all das ehrenamtlich, aber wir brauchen ein Team auf der europäischen Ebene so etwas gut. Wir schauen uns insbesondere auch den kommerziellen Sektor an. Wir möchten Dinge wirklich auf der europäischen Ebene durchsetzen. Wenn ihr Fragen habt, dann fragt mich bitte persönlich, weil wir sowieso schon überzogen haben. Es tut mir leid.