Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) hat eine Anordnung erlassen, die der Facebook Ireland Ltd. verbietet, personenbezogene Daten von WhatsApp zu verarbeiten, soweit dies zu eigenen Zwecken erfolgt. Der sofortige Vollzug wurde angeordnet. Dies erfolgt im Rahmen des Dringlichkeitsverfahrens der Datenschutzgrundverordnung (DSGVO), das den Erlass von Maßnahmen mit einer begrenzten Geltungsdauer im jeweiligen Hoheitsgebiet vorsieht.
- Datenschutzrecht
Verbot der Weiterverarbeitung von WhatsApp-Nutzerdaten durch Facebook
von Carl Christian Müller
Hamburger Datenschutzbeauftragter trifft Anordnung
Neue Nutzungs- und Privatsphärebestimmungen auf WhatsApp
Hintergrund des Verfahrens ist die Aufforderung an alle Nutzerinnen und Nutzer von WhatsApp, den neuen Nutzungs- und Privatsphärebestimmungen bis zum 15.05.2021 zuzustimmen. Damit lässt sich WhatsApp weitreichende Befugnisse für eine Datenweitergabe an Facebook einräumen.
Mit den neuen Bedingungen werden die Befugnisse zur Datenverarbeitung formal erneuert und künftig inhaltlich erweitert. Das betrifft u.a. die Auswertung von Standortinformationen, die Weitergabe von Kommunikationsdaten der Nutzer von Unternehmen auf WhatsApp an Drittunternehmen ausdrücklich mit Hinweis auf Facebook, den zusätzlichen Zweck der Sicherstellung der Integrität der Dienste sowie die unternehmensübergreifende Verifizierung des Accounts, um den Dienst auf „angemessene Weise“ zu nutzen. Ferner wird die Nutzung der Daten zur Verbindung mit Produkten von Facebook-Unternehmen eröffnet. Ein berechtigtes Interesse für die Datenverarbeitung bzw. für den Austausch der Daten wird künftig pauschal auch gegenüber minderjährigen Nutzern vorgebracht. Ferner fällt der bislang vorhandene Hinweis weg, dass WhatsApp-Nachrichten nicht für andere sichtbar auf Facebook geteilt werden.
Ohne Einwilligung ist der Messengerdienst nicht mehr nutzbar
Nach Auswertung des gegenwärtigen Sachstands und Anhörung der Facebook Ireland Ltd. fehlt für eine Verarbeitung durch Facebook zu eigenen Zwecken ungeachtet der von WhatsApp derzeit eingeholten Zustimmung zu den Nutzungsbedingungen eine ausreichende rechtliche Grundlage. Die Bestimmungen zur Datenweitergabe finden sich verstreut auf unterschiedlichen Ebenen der Datenschutzerklärung, sie sind unklar und in ihrer europäischen und internationalen Version schwer auseinanderzuhalten. Zudem sind sie inhaltlich missverständlich und weisen erhebliche Widersprüche auf. Auch nach genauer Analyse lässt sich nicht erkennen, welche Konsequenzen die Zustimmung für die Nutzerinnen und Nutzer hat. Ferner erfolgt die Zustimmung nicht aus freien Stücken, da WhatsApp die Einwilligung in die neuen Bestimmungen als Bedingung für die Weiternutzung der Funktionalitäten des Dienstes einfordert.
Datenschutzrechtliche Grundlagen, die eine eigenständige Verarbeitungsbefugnis durch Facebook begründen könnten, liegen vor diesem Hintergrund nicht vor. Insbesondere kann Facebook kein überwiegendes berechtigtes Interesse an der Verarbeitung der Daten von WhatsApp-Nutzerinnen und -Nutzern geltend machen, da deren Rechte und Freiheiten entgegenstehen. Die Zustimmung erfolgt weder transparent noch freiwillig. Das gilt in besonderer Weise für Kinder. Aus diesen Gründen kommt eine datenschutzrechtliche Einwilligung als Rechtsgrund nicht in Betracht. Die Verarbeitung der Daten der Nutzer von WhatsApp ist für Facebook auch nicht zur Durchführung eines Vertrages erforderlich.
WahtsApp-Daten will Facebook für eigene Zwecke verarbeiten
Die Untersuchung der neuen Bestimmungen hat gezeigt, dass die enge Verbindung zwischen den beiden Unternehmen weiter ausgebaut werden soll, damit Facebook die Daten der WhatsApp-Nutzerinnen und -Nutzer jederzeit zu eigenen Zwecken verwenden kann. Für die Bereiche Produktverbesserung und Werbung behält sich WhatsApp die Weitergabe an Facebook-Unternehmen vor, ohne dass es hierzu noch einer Einwilligung der Betroffenen bedarf. In anderen Bereichen ist von einer Nutzung für eigene Zwecke nach Maßgabe der Datenschutzrichtlinie bereits derzeit auszugehen. Darin bzw. in den FAQ wird etwa beschrieben, dass für die Netzwerksicherheit und zur Verhinderung des Sendens von Spam bereits aktuell Daten der WhatsApp-Nutzer wie etwa Telefonnummern und Gerätekennungen zwischen den Unternehmen für gemeinsame Zwecke ausgetauscht werden. Eine Untersuchung der federführenden Aufsichtsbehörde über die tatsächliche Praxis der Datenweitergabe und -nutzung hat es bislang trotz Aufforderung nicht gegeben.
Bestimmungen entsprechen nicht der DSGVO
Die Nutzerinnen und Nutzer werden von WhatsApp mit intransparenten Bedingungen für eine weitreichende Datenweitergabe konfrontiert. Gleichzeitig wird behauptet, die beschriebenen Verarbeitungen würden tatsächlich gar nicht ausgeführt, um sie dann zu einem späteren Zeitpunkt schrittweise auf Grundlage des auf Zustimmung der Nutzerinnen und Nutzer gegründeten Rechtsrahmens umzusetzen. Diese Strategie erfolgt gegenwärtig insbesondere bei der neu eingeführten Funktion des Business-Marketings, die es unter Einschluss von Facebook ermöglicht, zum Versenden von Direktwerbung und der Marketingkommunikation unternehmensübergreifend Daten zu verarbeiten. Insgesamt entspricht das Vorgehen sowohl mit Blick auf Datenverarbeitungen, die laut Datenschutzrichtlinie bereits derzeit ausgeführt werden, als auch solchen, die durch Facebook jederzeit umgesetzt werden können, nicht den Vorgaben der DSGVO.
Hamburger Datenschutzbeauftragter warnt vor Wahlmanipulation
Hierzu Johannes Caspar, Hamburgischer Beauftragter für Datenschutz und Informationsfreiheit: „Die Anordnung soll die Rechte und Freiheiten der vielen Millionen Nutzerinnen und Nutzer sichern, die deutschlandweit ihre Zustimmung zu den Nutzungsbedingungen geben. Es gilt, Nachteile und Schäden, die mit einem derartigen Black-Box-Verfahren verbunden sind, zu verhindern. Die Datenschutz-Skandale der letzten Jahre von „Cambridge Analytica“ bis hin zu dem kürzlich bekannt geworden Datenleck, von dem mehr als 500 Millionen Facebook-Nutzer betroffen waren, zeigen das Ausmaß und die Gefahren, die von einer massenhaften Profilbildung ausgehen. Das betrifft nicht allein die Privatsphäre, sondern auch die Möglichkeit, Profile zur Beeinflussung von Wählerentscheidungen einzusetzen, um demokratische Entscheidungen zu manipulieren. Die Gefahr ist angesichts von fast 60 Millionen Nutzerinnen und Nutzern von WhatsApp mit Blick auf die in Deutschland im September 2021 anstehenden Bundestagswahlen umso konkreter, da diese Begehrlichkeiten nach Beeinflussung der Meinungsbildung seitens der Anzeigekunden von Facebook wecken werden. Die nun erlassene Anordnung bezieht sich auf die Weiterverarbeitung von WhatsApp-Nutzerdaten und richtet sich an die Adresse von Facebook. Die weltweite Kritik gegen die neuen Nutzungsbedingungen sollte Anlass geben, den Zustimmungsmechanismus noch einmal grundlegend zu überdenken. Ohne Vertrauen der Nutzerinnen und Nutzer kann auf Dauer kein auf Daten gegründetes Geschäftsmodell erfolgreich sein.“
Aufgrund des beschränkten Zeitrahmens der Anordnung im Dringlichkeitsverfahren von lediglich drei Monaten wird der HmbBfDI eine Befassung durch den Europäischen Datenschutzausschuss (EDSA) beantragen, um eine Entscheidung auf europäischer Ebene herbeizuführen.
Quelle: Pressemitteilung des HmbBfDI vom 11.05.2021