Was wird aus dem Eilverfahren gegen Whatsapp?

Caspar: Nach dem Inkrafttreten der Datenschutz-Grundverordnung DSGVO ist die Zuständigkeit nach Irland gewandert. Zuvor wurde unsere Anordnung in zwei nationalen Gerichtsinstanzen bestätigt. Seither ist wenig geschehen. Der Datenaustausch kann weiter stattfinden und die Whatsapp-Nutzerinnen und -nutzer werden zur Einwilligung in die neuen Privatsphärebestimmungen angehalten. Es war daher erforderlich, hier eine Anordnung im Eilverfahren zu erlassen.

Golem.de: Könnte der gerichtliche Stopp des Datentransfers zu Facebook aufgehoben werden?

Caspar: Wir werden noch im Juli eine Entscheidung des Europäischen Datenschutzausschusses EDPB bekommen, ob unsere Maßnahme, die jetzt für drei Monate gilt, zeitlich verlängert und räumlich auf die EU ausgedehnt wird.

Golem.de: Sie haben damit einen neuen Verfahrensansatz gewählt.

Caspar: Ein solches Eilverfahren wurde bisher von den Datenschutzaufsichtsbehörden in mehr als drei Jahren nicht eingeleitet. Wenn man es nicht versucht, weiß man auch nicht, wie solche Verfahren laufen. Mit der Folge, dass es am Ende keinen gibt, der diese Verfahren wagt, überhaupt einmal zu ergreifen.

Golem.de: Sie haben das jetzt gemacht ...

Caspar: ... und wir sind sehr auf den Ausgang gespannt, ob es gelingt, den Tanker des europäischen Datenschutzes umzusteuern. Es kann doch nicht sein, dass Millionen von Menschen in der EU gezwungen werden, Datenschutzbestimmungen zuzustimmen, die eine Pauschalermächtigung zur Weitergabe ihrer Daten beinhalten, ohne dass es dafür eine tragfähige Rechtsgrundlage gibt. Insofern sollte eine gesamteuropäische Lösung möglich sein, die die Rechte von Millionen von Nutzerinnen und Nutzern in Europa schützt.

Golem.de: Wenn das klappt, könnten künftig auch Aufsichtsbehörden, die in Europa nicht federführend sind, etwas in Gang bringen?

Nicht alles Irland überlassen

Caspar: Es geht darum, die Datenschutzstrukturen zu stärken, die jenseits der Initiativbefugnisse einer federführenden Behörde im besonderen Eilfall bestehen. Es gibt rechtliche Optionen für einen handlungsfähigen Datenschutz, auch wenn die federführende Behörde nicht tätig wird.

Golem.de: Bis zum Inkrafttreten der DSGVO waren Sie auch für Google Deutschland zuständig. Seit fast zwei Jahren sind Massenbeschwerden gegen die Echtzeitversteigerung von Online-Werbung anhängig. Wie ist hier der Stand?

Caspar: Die Problematik des Real Time Bidding ist kein Ruhmesblatt für den europäischen Datenschutz. Sein und Sollen, Rechtswirklichkeit und Rechtsgeltung finden nicht zusammen. Auch wenn alle eigentlich der Meinung sind, dass Nutzerdaten und -profile nach der DSGVO nicht wie Waren versteigert werden dürfen, bedeutet das nicht, dass dies nicht täglich massenhaft in der EU geschieht.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Golem.de: Wenn das so klar ist, warum passiert nichts?

Caspar: Die Beschwerde hierzu durch die Initiative "Stop Spying on Us" ist seit 2018 anhängig. Wir haben die auch bei uns eingelegte Beschwerde an die federführende Behörde in Irland weitergegeben. Dort liegt sie nun. Das Beispiel zeigt: Das One-Stop-Verfahren als Grundpfeiler der EU- Vollzugsstruktur funktioniert nicht.

Die Behörde am Ort der Hauptniederlassung als federführende Behörde einzusetzen, die selbst initiativ werden muss, hat sich nicht bewährt. Wir müssen aus dem Bürokratiemodus herauskommen, die rechtlichen Fesseln abstreifen, die uns hindern, nach außen aktiv zu werden und den Selbstbeschäftigungsmodus beenden.