JUVE: Am 26. Februar entscheidet das Bundesverwaltungsgericht in Sachen Facebook gegen Unternehmen und ihre Fan-Seiten. Ist das Ihr letztes Gefecht gegen Ihren Lieblingsfeind?
Thilo Weichert: Es ist nicht mein letztes Gefecht, und Facebook ist auch nicht mein Lieblingsfeind – selbst wenn das Verfahren für viel Aufsehen gesorgt hat. Das Unabhängige Landeszentrum für Datenschutz ist schon einige Jahre vorher gegen Unternehmen vorgegangen, die gegen den Datenschutz verstoßen, etwa Microsoft, Google oder auch das Münchner Apothekenzentrum VSA. Facebook wird weiterhin Angriffspunkte bieten genauso wie Microsoft mit ihrem Office-Paket und Windows 10. Nur weil ich nicht mehr das ULD leite, heißt das nicht, dass ich mich zur Ruhe setze. Ich engagiere mich beispielsweise jetzt wieder im Vorstand der deutschen Vereinigung für Datenschutz.
Der Termin im Februar gegen Facebook war ursprünglich für Mitte Dezember vorgesehen. Wegen des aktuellen Safe-Harbor-Urteils wurde er aber verschoben. Sie haben Safe Harbor als einen „politischen Kuhhandel von Anfang an“ bezeichnet. Warum?
Safe Harbor gilt seit dem Jahr 2000, lag also zeitlich gar nicht weit von der Datenschutzrichtlinie 1995 entfernt. Ziel von Safe Harbor war es doch von Anfang an nicht, den Datenschutz, sondern den weiteren Informationshandel zwischen den USA und Deutschland zu gewährleisten. Die dabei erfolgende Selbstzertifizierung konnte nie unserem Datenschutzniveau entsprechen, war von Anfang an völlig intransparent und für Betroffene überhaupt nicht nachvollziehbar. Bis 2007 blieb es dann relativ ruhig. Aber die Fachöffentlichkeit ist spätestens seit der Galexia-Studie 2008 von Chris Connolly wach geworden. Die Studie stellte fest, dass selbst die laxen Safe-Harbor-Regeln häufig nicht beachtet werden. Safe Harbor war Lug und Trug. Wegen der massiven Missachtung von Safe Harbor haben wir uns vom ULD sogar offiziell bei der Federal Trade Commission (FTC) in den USA beschwert. Die einzige Reaktion, die uns je erreichte, war eine Eingangsbestätigung.
In der Öffentlichkeit wurden das Plädoyer des Generalanwaltes und das anschließende EuGH-Urteil vom 6. Oktober als Paukenschlag empfunden. Kam für Sie die Kehrtwende überraschend?
Nein, die Datenschutzszene hatte das Urteil erwartet. Auch das Urteil auf das Recht auf Vergessen im Internet war schon ein Meilenstein. Allerdings hatte ich befürchtet, dass es in dem aktuellen EuGH-Urteil nur um die konkrete Umsetzung von Safe Harbor ging. Und damit wäre Safe Harbor gewissermaßen zu retten gewesen. Aber die Argumentation des EuGHs ist viel fundamentaler. Das Urteil kam deswegen nicht nur einem Paukenschlag gleich. Mit etwas zeitlichem Abstand wird man es vielleicht sogar als Zeitenwende bezeichnen können. Die EU-Kommission und erst recht die US-Regierung müssen mit diesem Urteil jetzt compliant werden. Es ist an Klarheit kaum zu überbieten. Doch das hat die EU-Kommission noch nicht verstanden. Sie glaubt offenbar, dass die vorhandenen Defizite noch auszumerzen sind, eine Art Safe Harbor 2.0 im Rahmen der Möglichkeiten ist. Davon gehe ich aber nicht aus.
Warum nicht?
Es müssten sich grundsätzlich einige zentralen US-Rechtsprinzipien ändern, und das macht die Verhandlungen um Safe Harbor 2.0 absolut unmöglich. Dass die massenhafte Herausgabe von Daten auf behördliche Anordnung nicht zulässig sein kann, müssten die USA überhaupt erst einmal verstehen. Dort wurde das EuGH-Urteil aber heruntergespielt. Die Amerikaner sind der Meinung, die meisten großen Unternehmen könnten ihre Speicherung von Daten über Europäer in den USA auf der Basis anderer Regelungen fortsetzen.
Warum die bisher weit verbreiteten Standardvertragsklauseln und Binding Corporate Rules künftig nicht mehr gelten und was Unternehmen tun können, um den angedrohten Strafzahlungen bei Nicht-Beachtung zu entgehen, lesen Sie im kompletten Interview im aktuellen JUVE Rechtsmarkt.
