Datenschutzbeauftragter verbietet Facebook Verarbeitung von WhatsApp-Nutzerdaten
Lorem Ipsum
© tashatuvango / stock.adobe.com

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit hat eine Anordnung erlassen, die es der Facebook Ireland Ltd. verbietet, personenbezogene Daten von WhatsApp zu verarbeiten, soweit dies zu eigenen Zwecken erfolgt. Der sofortige Vollzug wurde angeordnet. Dies erfolgte im Rahmen des Dringlichkeitsverfahrens der DS-GVO, das den Erlass von Maßnahmen mit einer begrenzten Geltungsdauer im jeweiligen Hoheitsgebiet vorsieht.

Neue WhatsApp-Bestimmungen lassen Datenweitergabe an Facebook zu

Hintergrund des Verfahrens ist die Aufforderung an alle Nutzer von WhatsApp, den neuen Nutzungs- und Privatsphärebestimmungen bis zum 15.05.2021 zuzustimmen. Damit lässt sich WhatsApp weitreichende Befugnisse für eine Datenweitergabe an Facebook einräumen. Mit den neuen Bedingungen werden die Befugnisse zur Datenverarbeitung formal erneuert und künftig inhaltlich erweitert. Laut Datenschutzbeauftragtem betrifft das die Auswertung von Standortinformationen, die Weitergabe von Kommunikationsdaten der Nutzer von Unternehmen auf WhatsApp an Drittunternehmen ausdrücklich mit Hinweis auf Facebook, den zusätzlichen Zweck der Sicherstellung der Integrität der Dienste sowie die unternehmensübergreifende Verifizierung des Accounts, um den Dienst auf "angemessene Weise" zu nutzen.

Keine ausreichende rechtliche Grundlage für Datennutzung

Ferner wird die Nutzung der Daten zur Verbindung mit Produkten von Facebook-Unternehmen eröffnet. Ein berechtigtes Interesse für die Datenverarbeitung beziehungsweise für den Austausch der Daten wird künftig pauschal auch gegenüber minderjährigen Nutzern vorgebracht. Zudem fällt der bislang vorhandene Hinweis weg, dass WhatsApp-Nachrichten nicht für andere sichtbar auf Facebook geteilt werden. Der Hamburgische Datenschutzbeauftragte ist nach Auswertung des gegenwärtigen Sachstands und Anhörung der Facebook Ireland Ltd. der Ansicht, dass für eine Datenverarbeitung durch Facebook zu eigenen Zwecken (ungeachtet der von WhatsApp derzeit eingeholten Zustimmung zu den Nutzungsbedingungen) eine ausreichende rechtliche Grundlage fehlt.

Bestimmungen zu Datenweitergabe missverständlich und widersprüchlich

Die Bestimmungen zur Datenweitergabe fänden sich verstreut auf unterschiedlichen Ebenen der Datenschutzerklärung, sie seien unklar und in ihrer europäischen und internationalen Version schwer auseinanderzuhalten. Zudem seien sie inhaltlich missverständlich und wiesen erhebliche Widersprüche auf. Auch nach genauer Analyse lasse sich nicht erkennen, welche Konsequenzen die Zustimmung für die Nutzer habe. Ferner erfolge die Zustimmung nicht aus freien Stücken, da WhatsApp die Einwilligung in die neuen Bestimmungen als Bedingung für die Weiternutzung der Funktionalitäten des Dienstes einfordere.

Datenschutzrechtliche Einwilligung scheidet als Rechtsgrund aus

Datenschutzrechtliche Grundlagen, die eine eigenständige Verarbeitungsbefugnis durch Facebook begründen könnten, lägen vor diesem Hintergrund nicht vor. Insbesondere könne Facebook kein überwiegendes berechtigtes Interesse an der Verarbeitung der Daten von WhatsApp-Nutzern geltend machen, da deren Rechte und Freiheiten entgegenstünden. Die Zustimmung erfolge weder transparent noch freiwillig. Das gelte in besonderer Weise für Kinder. Aus diesen Gründen komme eine datenschutzrechtliche Einwilligung als Rechtsgrund nicht in Betracht. Die Verarbeitung der Daten der Nutzer von WhatsApp sei für Facebook auch nicht zur Durchführung eines Vertrages erforderlich.

Unkontrollierter Datenfluss zwischen WhatsApp und Facebook

Die Untersuchung der neuen Bestimmungen habe gezeigt, dass die enge Verbindung zwischen den beiden Unternehmen weiter ausgebaut werden solle, damit Facebook die Daten der WhatsApp-Nutzer jederzeit zu eigenen Zwecken verwenden kann. Für die Bereiche Produktverbesserung und Werbung behalte sich WhatsApp die Weitergabe an Facebook-Unternehmen vor, ohne dass es hierzu noch einer Einwilligung der Betroffenen bedürfe. In anderen Bereichen sei von einer Nutzung für eigene Zwecke nach Maßgabe der Datenschutzrichtlinie bereits derzeit auszugehen. Darin beziehungsweise in den FAQ werde etwa beschrieben, dass für die Netzwerksicherheit und zur Verhinderung des Sendens von Spam bereits aktuell Daten der WhatsApp-Nutzer wie etwa Telefonnummern und Gerätekennungen zwischen den Unternehmen für gemeinsame Zwecke ausgetauscht werden. Eine Untersuchung der federführenden Aufsichtsbehörde über die tatsächliche Praxis der Datenweitergabe und -nutzung habe es bislang trotz Aufforderung nicht gegeben.

Irreführung der Nutzer

Die Nutzer würden von WhatsApp mit intransparenten Bedingungen für eine weitreichende Datenweitergabe konfrontiert, so der Datenschutzbeauftragte. Gleichzeitig werde behauptet, die beschriebenen Verarbeitungen würden tatsächlich gar nicht ausgeführt, um sie dann zu einem späteren Zeitpunkt schrittweise auf Grundlage des auf Zustimmung der Nutzer gegründeten Rechtsrahmens umzusetzen. Diese Strategie erfolge gegenwärtig insbesondere bei der neu eingeführten Funktion des Business-Marketings, die es unter Einschluss von Facebook ermögliche, zum Versenden von Direktwerbung und der Marketingkommunikation unternehmensübergreifend Daten zu verarbeiten. Insgesamt entspreche das Vorgehen sowohl mit Blick auf Datenverarbeitungen, die laut Datenschutzrichtlinie bereits derzeit ausgeführt werden, als auch solchen, die durch Facebook jederzeit umgesetzt werden können, nicht den Vorgaben der DS-GVO.

Entscheidung auf europäischer Ebene angestrebt

Abschließend kündigt der Hamburgische Datenschutzbeauftragte an, aufgrund des beschränkten Zeitrahmens der Anordnung im Dringlichkeitsverfahren von lediglich drei Monaten eine Befassung durch den Europäischen Datenschutzausschuss zu beantragen, um eine Entscheidung auf europäischer Ebene herbeizuführen.

Redaktion beck-aktuell, 11. Mai 2021.

Weiterführende Links

Aus der Datenbank beck-online

Gola/Klug, Die Entwicklung des Datenschutzrechts, NJW 2021, 680

Neue WhatsApp-Nutzungsbedingungen, MMR-Aktuell 2021, 435480

Aus dem Nachrichtenarchiv

Datenschutzbeauftragter will Teilen von Nutzerdaten zwischen WhatsApp und Facebook verhindern, Meldung der beck-aktuell-Redaktion vom 14.04.2021, becklink 2019461

Hamburgs Datenschutzbeauftragter rät zu Verzicht auf WhatsApp, Meldung der beck-aktuell-Redaktion vom 10.10.2016, becklink 2004586

Hamburger Datenschutzbeauftragter verbietet Facebook Datenabgleich mit WhatsApp, Meldung der beck-aktuell-Redaktion vom 27.09.2016, becklink 2004487

Internet Explorer: Unsere Empfehlung

×
Sie nutzen noch den Interenet Explorer 11 (IE11) und wir empfehlen Ihnen, bis zum 15. Juni 2022 auf den neuen Browser „Microsoft Edge“ oder eine aktuelle Version eines anderen gängigen Internet-Browsers (Firefox, Chrome, usw.) umzusteigen. Wir folgen damit den Empfehlungen des Unternehmens Microsoft, das ebenfalls schrittweise begonnen hat, die Unterstützung dieser Browserversion einzustellen. Bei Fragen wenden Sie sich bitte an unsere Hotline unter der Telefonnummer 089-38189-421.