Året var 2010 och den då 23-årige juridikstudenten var på utbyte på Santa Clara University i Kalifornien. En dag fick klassen besök. En företrädare för Facebook kom och raljerade om att europeiska myndigheter ger blanka fan i hur deras medborgares personuppgifter används i USA. 

Max Schrems begärde ut sina personuppgifter från Facebook och fick en chock. Det sociala nätverket hade samlat på sig över 1 200 sidor av hans personuppgifter – alla inlägg som han någonsin hade ”gillat”, varje privat meddelande han någonsin hade skickat. Juridikstudenten crowdfundade ihop till en rättegång  där han hävdade att Facebook bröt mot europeisk dataskyddslagstiftning på ett sätt som undergrävde den grundläggande rätten till integritet.

2015 gav EU-domstolen, unionens högsta juridiska instans, honom rätt och rev upp Safe Harbour, det avtal med USA som reglerade hur personuppgifter kunde skickas till andra sidan Atlanten. Men Max Schrems nöjde sig inte med det utan har fortsatt att kämpa för sina unionsmäns rätt till privatliv

Stora hål i integriteten

Numera gör han det på den egna stiftelsen European Center for Digital Rights, i korthet NOYB (”none of your business”), som har sitt säte i Wien. NOYB tar fasta på att dataskyddsdirektivet (i dagligt tal, GDPR), ger ideella organisationer rätt att dra företag inför rätta om man misstänker att de bryter mot lagstiftningen.

NOYB uttalas ”nöjb”, berättar Max Schrems, när Dagens ETC ringer upp honom på Zoom.

– Tanken var att undvika ännu en engelsk akronym och ta något mer europeiskt istället. Så vi kom fram till något som inte riktigt funkar på något språk.

Max Schrems och jaghar pratats vid en gång tidigare, en morgon i juli 2016. Samma dag skulle den dåvarande rättskommissionären Vera Jourova presentera Privacy Shield, uppföljaren till Safe Harbour. Men även det nya samarbetsavtalet med USA utgick från att det var oproblematiskt att skicka europeiska användares data till andra sidan Atlanten, eftersom de båda parterna ömsesidigt erkände sina system för datahantering som jämbördiga. 

EU-kommissionen har betydande ekonomiska motiv att tänka så: den amerikanska statistikbyrån BEA uppskattar värdet av digitala tjänster i EU och USA till cirka 300 miljarder dollar (3,1 biljarder kronor).

Max Schrems var tvärsäker på att Privacy Shield inte skulle överleva en juridisk prövning, men tveksam till om han själv ville ta den kampen igen. Han försökte peppa andra att göra det och argumenterade för att nästan vem som helst kunde stämma Facebook med framgång, eftersom det hade varit möjligt för honom som 23-årig student att få nätjätten på fall.

Vad hände? 

– Inte mycket…, suckar Max Schrems. 

Flödena av personuppgifter till USA har fortsatt. Efterlevnaden av mänskliga rättigheter brister fortfarande. Den österrikiska aktivisten, numera doktor i juridik, har tvingats att fortsätta kampen i sitt eget namn och får nya rättsfall uppkallade efter sig.

Dyrköpta segrar

I såväl Schrems I som Schrems II har EU-domstolen slagit fast att EU inte får skicka sina medborgares personuppgifter till USA eftersom den senare ägnar sig åt massövervakning. Men ändå har flera rättskommissionärer genom åren – nu senast svenska socialdemokraten Ylva Johansson – instruerat EU-tjänstemän att köra på ändå. 

– Från mitt perspektiv är det här numera en fråga om rättsstaten och huruvida EU-kommissionen respekterar EU-domstolen, snarare än bara en fråga om rätten till privatliv, säger Max Schrems.

En tredje stämning mot det nu rådande datadelningsavtalet, Data Privacy Framework, skulle egentligen redan ha lämnats in. Men på grund av bristande resurser har NOYB, som har en budget på drygt elva miljoner kronor om året, tvingats skjuta det på framtiden. I samband med Schrems II, till exempel, uppgick kostnaderna för rättegången till 10 miljoner euro (113 miljoner kronor). 

– Och jag riskerade att bli personligen ansvarig för att betala den summan i fall vi förlorade fallet. Nu vann vi och notan skickades istället till den irländska dataskyddsmyndigheten, men det var vår advokatfirma, översättare och så vidare som fick de pengarna och inte vi. Jag väntar faktiskt fortfarande på att få tillbaka mina utlägg för hotell och flyg i samband med rättegångarna, berättar Max Schrems.

Helst skulle han slippa att ta sig an ytterligare sådana mål men det kräver att nationella myndigheter gör det i stället. Det är ju ändå deras jobb att försvara sina medborgares rättigheter och kräva att lagar åtföljs. Men de har visat sig ovilliga att axla det ansvaret. 

 Jag riskerade att bli personligen ansvarig för att betala den summan i fall vi förlorade fallet.

– Vi trodde att om vi bara hade bevisen så skulle myndigheterna agera och rent av vara glada över att någon slags visselblåsare lägger allt de behöver framför näsan på dem. Många av dem lägger istället krutet på att hitta anledningar till att avskriva våra klagomål, säger Max Schrems.

ChatGPT ljuger

NOYB använder sina egna anställda som målsägande. Max Schrems förklarar:

– Vi får ofta in klagomål från olika personer och då säger vi att de behöver samla in bevis kring sin situation som håller i rätten. Men många privatpersoner vet inte hur de ska gå tillväga för att göra det. Så det är mer effektivt att vi använder oss själva som exempel, säger han. 

Som i ärendet som handlar om ChatGPT och att det uppger fel datum för Max Schrems födelsedag. När chatboten inte kan svaret på en fråga vägrar den nämligen att erkänna sin ofullkomlighet, och ”hallucinerar” istället fram olika förslag. Enligt GDPR strider det här mot bestämmelser om rätten till privatliv, krav på att personuppgifter som sprids är sanna liksom rätten att rätta felaktiga påståenden. 

Et annat fall som Max Schrems driver mot Facebook handlar om att det sociala nätverket i olika sammanhang har uppmärksammat hans sexuella läggning fastän han själv inte varit öppen med den på sitt eget konto (ja, Max Schrems använder sociala medier).

Hur känns det att lyfta sådana frågor publikt, när de samtidigt innebär en kränkning av dig personligen?

– Personlighetsmässigt skulle jag älska att leva i skymundan. Sedan älskar jag mitt jobb, jag älskar att driva mina rättsfall, och jag älskar delvis också att förklara för andra vad det är jag gör, för jag tror att jag är rätt bra på det, förklarar Max Schrems.

Allmänhetens uppmärksamhet är däremot ett ok, säger han: 

– Jag var med min pojkvän på en konsert häromdagen och bartendern kände igen mig och började ropa att jag är den där Facebook-killen och att det är så häftigt det jag gör. Det var inget jag tyckte var kul. Jag ville bara be honom att låta bli, jag var ledig och ville bara njuta av kvällen.

Han fortsätter: 

– Men tyvärr lever vi i ett samhälle där allt handlar om människor och ansikten. Ingen röstar på ett politiskt program längre, det handlar bara om partiledarna och kandidaterna och deras utstrålning. Media gör likadant, när mina kollegor jobbar med något fall är det alltid jag som får förfrågningar, fastän jag inte ens har varit inblandad.

– Så det är ju en paradox att jag förlorar min integritet på grund av min kamp för rätten till ett privatliv.

Riggat system

Men att använda sig själv som målsman verkar vara en taktik som vissa nationella myndigheter retar sig på. Till exempel den belgiska lägger mycket tid på att ifrågasätta NOYB:s motiv, tycker Max Schrems.

Så det är ju en paradox att jag förlorar min integritet på grund av min kamp för rätten till ett privatliv.

– De ställer ett oändligt antal frågor som handlar om vi behöver bevisa att våra käranden verkligen är de personerna vars rättigheter har kränkts. De påstår att våra case inte är på riktigt, att vi har fabricerat dem. Och samtidigt kräver de massvis med bevis som bara är möjliga att samla in om man är väl insatt i digitala frågor. Hur vi än gör så blir vi kritiserade. Det är faktiskt lite sorgligt.

Även svenska Integritetsskyddsmyndigheten, IMY, har vägrat att fatta ett beslut i ett klagomål inlämnat av NOYB och som utgick från en av deras anställda. Vidare har IMY påstått att man i egenskap av oberoende myndighet själv kan välja vilka fall man ska driva eller inte. 

– Vi drev det här fallet hela vägen till Högsta förvaltningsdomstolen som sa att IMY faktiskt behöver undersöka varenda klagomål de får, säger Max Schrems. 

Sådana segrar är dock dyrköpta. Det kostar upp emot 70 000 kronor att be en advokat i Sverige att skriva en inlaga på två eller tre sidor, något som de flesta vanliga dataanvändare inte har råd med. Så även om dataskyddsförordningen ger alla rätt att lämna in ett klagomål så sätts den rätten ur spel på olika sätt, enligt Max Schrems, som ser det som en demokratifråga. 

– I dagarna ska vi välja ett nytt EU-parlament, men vad spelar det för roll om lagarna som de stiftar inte efterlevs i medlemsländerna? Dataskyddsförordningen fick ändå stöd av över 90 procent av ledamöterna i EU-parlamentet, vilket är väldigt mycket, och alla medlemsländer med undantag av Österrike, som inte tyckte det var tillräckligt strikt, röstade för det i ministerrådet.

Är systemet riggat till storbolagens fördel?

– Ja, definitivt.