JUVE: Sie haben Facebook kürzlich untersagt, Daten von deutschen WhatsApp-Nutzern zu sammeln. Wie hat Facebook reagiert?
Johannes Casper: Wir stehen in Kontakt mit Facebook. Da es um den Schutz von Millionen von Nutzerdaten geht, steht Facebook unter Zugzwang und sollte nun nicht mehr auf Zeit spielen.
Sie messen dem Fall eine hohe Bedeutung zu. Warum?
Wegen der rund 35 Millionen WhatsApp-Nutzer. Rechnet man die Daten hoch und schreibt jedem Nutzer nur zehn Kontakteinträge zu, sprechen wir gleich von 350 Millionen Namen. Die wiederholen sich zwar, aber der Fall beinhaltet noch eine weitere Dimension: eine ungeheure Datenbank, die ein Beziehungsnetzwerk aufzeigt, für das jeder Geheimdienst dankbar wäre. Diese Daten sind pures Gold. Jetzt geht es also erst einmal darum, den Austausch dieser Daten zu stoppen.
Was kann Facebook jetzt noch machen, um mit Ihnen und dem deutschen Datenschutzgesetz auf einen Nenner zu kommen?
Facebook sollte die eingelegten Rechtsmittel zurücknehmen, die Anordnung befolgen und gemeinsam mit den anderen europäischen Aufsichtsbehörden diskutieren, wie die Übermittlung rechtlich einwandfrei vorgenommen werden kann. Das würde den Vertrauensschaden ein wenig minimieren.
Halten Sie das für wahrscheinlich?
Wenn Facebook der Meinung ist, künftig doch keine Daten austauschen zu wollen, dann müssten sie auch nicht gegen die Anordnung angehen. Allerdings wäre das eine Anerkennung vor allem auch für andere Staaten zur rechtlichen Handhabe. Facebook meint nach wie vor, nationales Datenschutzrecht nicht beachten zu müssen. Der EuGH hat dies nun anders bewertet. Jetzt kommt es darauf an, dass die Gerichte hierzulande diese Frage auf materieller Ebene klären.
Ein Durchgreifen bei Facebook hat ja in der Vergangenheit schon nicht geklappt. Es hat sich außerdem gezeigt, dass die nationalen Gerichte die nationalen Regeln unterschiedlich anwenden. Warum erhoffen Sie sich jetzt mehr Gehör für Ihre Argumente?
Ein anderes Verfahren ist letztlich negativ für uns ausgegangen, weil die erste Instanz das nationale Recht nicht anwenden wollte. Die zweite Instanz hat hingegen die Anwendung nicht von vornherein ausgeschlossen. Das hat uns deutlich gemacht, dass die Strategie von Facebook, sich auf ihren sicheren Hafen in Irland zu berufen, vor deutschen Gerichten zwar Bestand hat, allerdings ernstzunehmende Zweifel an der Validität dieser Auffassung bestehen. Entscheidend war für uns zuletzt allerdings die Amazon-Entscheidung des EuGH. Danach muss dieses Unternehmen, auch wenn seine Zentrale und verantwortliche Stelle in Luxemburg sitzt, wegen der deutschen Niederlassung deutsches Datenschutzrecht beachten. Wir meinen, dass diese Regeln auch für Facebook gelten, die mit einer Filiale in Hamburg auf dem deutschen Markt aktiv ist.
Als Facebook vor knapp zweieinhalb Jahren WhatsApp kaufte, sicherten beide Unternehmen ihren Nutzern zu, keine Daten auszutauschen. War nicht sowieso klar, dass Facebook als Datensammelkonzern früher oder später auf die Daten zugreifen wird?
Im Prinzip ja. Dennoch haben viele Nutzer darauf vertraut. Dieses Vertrauen ist unserer Auffassung schutzwürdig. Daran müssen sich die Unternehmen messen lassen.
Haben Sie sich darauf vorbereitet?
Als Facebook Anfang 2015 seine Datenschutzbestimmungen aktualisierte, haben wir diese bereits sehr kritisch kommentiert. Facebook musste klar sein, dass dieses Vorhaben so von uns nicht akzeptiert werden würde.
Es zeichnet sich ab, dass die Behörden, auch in den anderen Ländern, noch sehr unterschiedlich gegen die Unternehmen vorgehen. Wie erklären Sie sich das?
Wir stehen in engem Austausch mit den europäischen Aufsichtsbehörden und Datenschützern. Es herrscht die einhellige Meinung darüber, dass das Vorgehen von Facebook und WhatsApp nicht akzeptabel ist. Momentan handeln die einzelnen nationalen Datenschutzbehörden unterschiedlich, weil sie noch nationales Recht anwenden müssen, das eben unterschiedliche Sanktions- und Kontrollmöglichkeiten vorsieht. Wenn 2018 die Datenschutzgrundverordnung in Kraft tritt, sind die Instrumente und Verfahren des Rechtsvollzugs mit einem Schlag vereinheitlicht. Hier gilt es möglichst schon vorab die Strukturen zu schaffen und sich bestmöglich darauf vorzubereiten. Es wird daher eine Enforcement-Gruppe der Artikel 29 WP eingerichtet, die sich auch mit der Problematik des Massendatenabgleichs zwischen Facebook und WhatsApp befassen wird.
Wenn Sie vor einem deutschen Gericht recht bekommen, wie wollen Sie einen internationalen Konzern wie Facebook zwingen, ein deutsches Urteil zu befolgen?
Letztendlich werden wir über das Vorgehen entscheiden, wenn es soweit ist. Aber wir haben bereits technische und organisatorische Auskunft über den tatsächlichen Datenaustausch angefordert. Und es ist auch klar, dass ein Hin- und Herschieben der riesigen Datenmengen nicht unerkannt bleibt. Die Nutzer sind sehr kritisch und helfen uns Verstöße aufzudecken. Facebook wird mit den Datenschutzbehörden daher nicht Versteck spielen können.
Das Gespräch führte Anika Verfürth.
