Vor zweieinhalb Jahren kaufte Facebook Whatsapp für die Summe von 19 Milliarden US-Dollar. Whatsapp war damals gerade vier Jahre alt, es war der bis dahin höchste Preis, zu dem ein Start-up verkauft wurde. Viele fragten sich: Warum so viel Geld ausgeben für eine App, die wenig mehr kann, als Menschen Kurznachrichten an andere Menschen schreiben zu lassen? Heute sieht die Sache klarer aus: Für Milliarden Menschen rund um die Welt ist Whatsapp das wichtigste digitale Kommunikationsmittel geworden.
Bereits während des Verkaufs mahnten Kritiker, Facebook - ohnehin der ultimative Datensammelkonzern - werde sich mit Whatsapp eine Menge Daten kaufen, insbesondere die Telefonnummern der Nutzer; genau daran mangelt es Facebook mit seiner Plattform ja. Telefonnummern sind besonders gut einsetzbar, weil sie die Verbindung zwischen Nutzer und Smartphone sind. Weiß ein Konzern, welche Person welche Nummer hat, weiß er oft auch, welches Gerät er verwendet, denn Telefonnummern wechseln weit seltener die mit ihnen verbundenen Geräte als zum Beispiel E-Mail-Adressen. Genau das will sich Facebook nun zunutze machen.
Kann eine regionale Behörde einen Weltkonzern in die Schranken weisen?
Die Firma gab vor ein paar Wochen bekannt, dass bald die Telefonnummern der Whatsapp-Nutzer intern deren Facebook-Konten zugeordnet werden. Auch Daten, die darüber Aufschluss geben, wie oft ein Nutzer Whatsapp verwendet, sollen künftig bei Facebook genutzt werden. Facebook betont aber, dass die Nummern nur innerhalb der Firma weitergegeben würden.
Der Hamburger Datenschutzbeauftragte Johannes Caspar hat nun am Dienstag für einige Aufregung gesorgt, als er verkündete, er wolle es Facebook untersagen, die Daten der Whatsapp-Nutzer zu speichern. Der forsche Vorstoß des Datenschützers wirft allerdings Fragen auf: Darf er das? Kann eine regional zuständige Behörde eines nicht mal sonderlich großen Bundeslandes den Weltkonzern Facebook in die Schranken weisen?
Die erste Antwort darauf hat der Europäische Gerichtshof schon gegeben, und zwar in seinem berühmt gewordenen Urteil zum Recht auf Vergessenwerden aus dem Jahr 2014. Für die Anwendbarkeit des Datenschutzrechts reiche es aus, dass der Konzern im Geltungsbereich der maßgeblichen Vorschriften eine Niederlassung habe, selbst wenn die Daten woanders verarbeitet würden. Ende Juli hat der EuGH bekräftigt, dass ein Onlinehändler sich nicht durch kleingedruckte Klauseln dem nationalen Verbraucherschutzes entziehen kann. Dass ein Konzern seine Zentrale irgendwo im Ausland hat, wappnet ihn also normalerweise nicht gegen den Zugriff nationaler Behörden. Doch wie weit dieser Grundsatz reicht, ist umstritten.
Whatsapp hat es versprochen - reicht das?
Johannes Caspar ist schon einmal gegen Facebook angetreten: Er wollte im Frühjahr Facebook zwingen, Konten unter Pseudonym zu erlauben. Da verwies das Verwaltungsgericht Hamburg auf die Zuständigkeit der irischen Behörden am Standort der Europazentrale. Das war allerdings ein spezieller Fall, sodass das Verwaltungsgericht nun in der neuen Konstellation auch zugunsten des hamburgischen Datenschützers am Sitz der deutschen Niederlassung entscheiden könnte. Dann wäre Johannes Caspar am Zug. Doch worauf stützt er eigentlich seine Anordnung?
Die intuitive Antwort lautet: Whatsapp hat es versprochen. Als der Dienst durch Facebook übernommen wurde, hat er öffentlich zugesichert, dass die Daten der Nutzer nicht ausgetauscht werden. In der Frage, ob diese Zusicherung jetzt gerichtlich einklagbar wäre, weist Caspars Behörde zwar auf den Vertrauensschutz hin - will sich aber nicht so recht festlegen, ob allein daraus ein gerichtsfester Anspruch folgt. Immerhin: Die US-Bundesbehörde zur Bekämpfung des unlauteren Wettbewerbs hatte bei der Whatsapp-Übernahme ausdrücklich darauf hingewiesen, dass sie die Zusagen in Sachen Privatsphäre als verbindlich erachte.
"So darf Facebook mit den Nutzerdaten nicht umgehen."
Aus Caspars Sicht wäre der Datentransfer aber auch so rechtswidrig - nach Paragraf 5 Datenschutzgesetz ist eine wirksame Einwilligung der Nutzer unabdingbar: und zwar eine, die im Voraus an beide Adressen gerichtet sein muss, an Whatsapp und an Facebook. Denn im Datenschutzrecht gebe es kein Konzernprivileg, das es den Töchtern erlaubte, Daten freihändig hin und her zu schieben; auch bei Übertragungen innerhalb des Konzerns gelte der Datenschutz, sagt Caspar. Die Nutzer hätten aber schon bei der Einwilligung in die neuen Whatsapp-Geschäftsbedingungen nicht wirklich überblicken können, dass dahinter der Transfer an Facebook stehe. Und ein ausdrückliches Plazet an die Adresse von Facebook fehle völlig.
Facebook will den Hamburger Spruch anfechten und behauptet, immerhin folge man doch europäischen Datenschutzbestimmungen. Alexander Dix, einer der renommiertesten deutschen Datenschutz-Experten, widerspricht dieser Einschätzung entschieden: Der Datentransfer sei weder nach geltendem noch nach künftigem EU-Recht erlaubt, sagte er der SZ: "So darf Facebook mit den Nutzerdaten nicht umgehen." Caspar vermutet, Facebook wolle Fakten schaffen, bevor 2018 die Datenschutzgrundverordnung in Kraft trete.
Die Sache wird nun vor Gericht ausgefochten. Ob der Datencoup erlaubt war, wird wohl erst das Oberverwaltungsgericht Hamburg entscheiden. Sollte die Anordnung rechtens sein, könnte der Datenschützer sie mit einer Sanktion durchsetzen, die in der Milliardenliga vielleicht nicht wirklich bedrohlich wirkt: mit einem Zwangsgeld von einer Million Euro.
