Der Datenstreit dauert Jahre. Im September 2016 untersagte Hamburgs Datenschutzbeauftragter Johannes Caspar Facebook die Nutzung der Daten deutscher Whatsapp-Benutzer. Facebook konterte mit Beschwerden. Verwaltungsgericht wie Oberverwaltungsgericht Hamburgs wiesen sie aber ab. Ein Entscheid, der in die EU ausstrahlte.

Mit der neuen Datenschutzverordnung der EU (DSGVO), die am 25. Mai in Kraft trat, hat sich die Situation wieder verändert. Whatsapp erneuerte am 24. April seine Datenschutzrichtlinien für den europäischen Wirtschaftsraum, der auch die Schweiz umfasst. Darin steht: «Whatsapp kann Daten innerhalb der Facebook-Unternehmensgruppe und an Dritte übertragen.»

Facebook soll nun doch an die Daten seiner Tochtergesellschaft Whatsapp kommen. War der lange Kampf Caspars vergeblich? Das glaubt Hamburgs Datenschutzbeauftragter nicht. «Ich gehe davon aus, dass dies durch die irische Datenschutzbehörde, mit der wir in Kontakt stehen, verhindert wird», sagt Caspar gegenüber der «Nordwestschweiz». Sollte dies nicht der Fall sein, will er Sofortmassnahmen ergreifen, wie er festhält: «Dann werde ich ein Dringlichkeitsverfahren einleiten, darauf gerichtet, für den nationalen Bereich sofort einstweilige Massnahmen zum Schutz der Rechte und Freiheiten Betroffener anzuordnen.»

Johannes Caspar (56), Honorarprofessor für Staats- und Verwaltungsrecht der Universität Hamburg, liegt im Dauerclinch mit den Tech-Giganten wie Facebook und Google, die Sitze in Hamburg haben. Schon 2009 forderte er von Google Zugeständnisse ein bei der Aufnahme von Strassen und Gebäuden für Google Street View. Ab 2011 kämpfte er erfolgreich gegen die Funktion der automatischen Gesichtserkennung von Facebook. Und seit 2016 versucht er, der soziale Medien nur anonym nutzt, den Datenaustausch von Whatsapp mit Facebook zu verhindern.

Kein «Freifahrtschein»

Mit der neuen Datenschutzverordnung beruft sich Facebook darauf, Irland sei für den Datenschutz zuständig. Die EU-Hauptniederlassung liege in Dublin, die Facebook Germany GmbH in Hamburg sei nur eine nationale Niederlassung. Die Verordnung hat mit Artikel 56 das Prinzip des sogenannten One Stop Shop eingeführt: Bei grenzüberschreitenden Datenverarbeitungen ist die Aufsichtsbehörde jenes Landes federführend, in dem ein Unternehmen seine Hautniederlassung hat.

Caspar will das nicht so stehen lassen. «Diese neue federführende Zuständigkeit wird hier fälschlicherweise als Freifahrtschein in eine Welt des beliebigen Datenaustausches im Konzern gesehen», sagt er. Das Vorgehen von Facebook kann Caspar umso weniger verstehen, als der Europäische Gerichtshof (EuGH) letzte Woche seine Auffassung bestätigte, der Konzern sei an das nationale Datenschutzrecht gebunden gewesen. «Damit war die Strategie von Facebook rechtswidrig, die Hauptniederlassung in Irland zu nehmen und alle anderen Datenschutzaufsichtsbehörden abzublocken», sagt er. «Wenn jetzt unter den neuen, eigentlich strengeren Vorgaben der DSGVO plötzlich zulässig sein soll, was unter den alten Regelungen verboten war, verstehen viele Bürger die Welt nicht mehr.» Ausgerechnet jetzt nehme sich der Facebook-Konzern das Recht heraus, «Daten von Millionen von Nutzern europaweit auszutauschen».

Whatsapp selbst schreibt auf einem Blog, es teile derzeit die Account-Informationen nicht zur Verbesserung der Produkterlebnisse und Werbung auf Facebook. Es betont aber auch: «Wir wir bereits in der Vergangenheit angekündigt haben, möchten wir zukünftig enger mit anderen Facebook-Unternehmen zusammenarbeiten.»

Dem Fall widmet sich nun der neue europäische Datenschutzausschuss – als einem der allerersten.