Internetrecht Urteile 2021

20.05.2021

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) hat eine Anordnung erlassen, die der Facebook Ireland Ltd. verbietet, personenbezogene Daten von WhatsApp zu verarbeiten, soweit dies zu eigenen Zwecken erfolgt. Der sofortige Vollzug wurde angeordnet. Dies erfolgt im Rahmen des Dringlichkeitsverfahrens der Datenschutz-Grundverordnung (DSGVO), das den Erlass von Maßnahmen mit einer begrenzten Geltungsdauer im jeweiligen Hoheitsgebiet vorsieht.

Hintergrund des Verfahrens ist die Aufforderung an alle Nutzer von WhatsApp, den neuen Nutzungs- und Privatsphärebestimmungen bis zum 15. Mai zuzustimmen. Damit lässt sich WhatsApp weitreichende Befugnisse für eine Datenweitergabe an Facebook einräumen. Mit den neuen Bedingungen werden die Befugnisse zur Datenverarbeitung formal erneuert und künftig inhaltlich erweitert. Das betrifft u. a. die Auswertung von Standortinformationen, die Weitergabe von Kommunikationsdaten der Nutzer von Unternehmen auf WhatsApp an Drittunternehmen ausdrücklich mit Hinweis auf Facebook, den zusätzlichen Zweck der Sicherstellung der Integrität der Dienste sowie die unternehmensübergreifende Verifizierung des Accounts, um den Dienst auf ?angemessene Weise? zu nutzen.

Ferner wird die Nutzung der Daten zur Verbindung mit Produkten von Facebook-Unternehmen eröffnet. Ein berechtigtes Interesse für die Datenverarbeitung bzw. für den Austausch der Daten wird künftig pauschal auch gegenüber minderjährigen Nutzern vorgebracht. Ferner fällt der bislang vorhandene Hinweis weg, dass WhatsApp-Nachrichten nicht für andere sichtbar auf Facebook geteilt werden. Nach Auswertung des gegenwärtigen Sachstands und Anhörung der Facebook Ireland Ltd. fehlt für eine Verarbeitung durch Facebook zu eigenen Zwecken ungeachtet der von WhatsApp derzeit eingeholten Zustimmung zu den Nutzungsbedingungen eine ausreichende rechtliche Grundlage.

Die Bestimmungen zur Datenweitergabe finden sich verstreut auf unterschiedlichen Ebenen der Datenschutzerklärung, sie sind unklar und in ihrer europäischen und internationalen Version schwer auseinanderzuhalten. Zudem sind sie inhaltlich missverständlich und weisen erhebliche Widersprüche auf. Auch nach genauer Analyse lässt sich nicht erkennen, welche Konsequenzen die Zustimmung für die Nutzer hat. Ferner erfolgt die Zustimmung nicht aus freien Stücken, da WhatsApp die Einwilligung in die neuen Bestimmungen als Bedingung für die Weiternutzung der Funktionalitäten des Dienstes einfordert.

Datenschutzrechtliche Grundlagen, die eine eigenständige Verarbeitungsbefugnis durch Facebook begründen könnten, liegen vor diesem Hintergrund nicht vor. Insbesondere kann Facebook kein überwiegendes berechtigtes Interesse an der Verarbeitung der Daten von WhatsApp-Nutzern geltend machen, da deren Rechte und Freiheiten entgegenstehen. Die Zustimmung erfolgt weder transparent noch freiwillig. Das gilt in besonderer Weise für Kinder. Aus diesen Gründen kommt eine datenschutzrechtliche Einwilligung als Rechtsgrund nicht in Betracht. Die Verarbeitung der Daten der Nutzer von WhatsApp ist für Facebook auch nicht zur Durchführung eines Vertrages erforderlich.

Die Untersuchung der neuen Bestimmungen hat gezeigt, dass die enge Verbindung zwischen den beiden Unternehmen weiter ausgebaut werden soll, damit Facebook die Daten der WhatsApp-Nutzer jederzeit zu eigenen Zwecken verwenden kann. Für die Bereiche Produktverbesserung und Werbung behält sich WhatsApp die Weitergabe an Facebook-Unternehmen vor, ohne dass es hierzu noch einer Einwilligung der Betroffenen bedarf. In anderen Bereichen ist von einer Nutzung für eigene Zwecke nach Maßgabe der Datenschutzrichtlinie bereits derzeit auszugehen.

Darin bzw. in den FAQ wird etwa beschrieben, dass für die Netzwerksicherheit und zur Verhinderung des Sendens von Spam bereits aktuell Daten der WhatsApp-Nutzer wie etwa Telefonnummern und Gerätekennungen zwischen den Unternehmen für gemeinsame Zwecke ausgetauscht werden. Eine Untersuchung der federführenden Aufsichtsbehörde über die tatsächliche Praxis der Datenweitergabe und -nutzung hat es bislang trotz Aufforderung des HmbBfDI nicht gegeben.

Die Nutzer werden von WhatsApp mit intransparenten Bedingungen für eine weitreichende Datenweitergabe konfrontiert. Gleichzeitig wird behauptet, die beschriebenen Verarbeitungen würden tatsächlich gar nicht ausgeführt, um sie dann zu einem späteren Zeitpunkt schrittweise auf Grundlage des auf Zustimmung der Nutzer gegründeten Rechtsrahmens umzusetzen. Diese Strategie erfolgt gegenwärtig insbesondere bei der neu eingeführten Funktion des Business-Marketings, die es unter Einschluss von Facebook ermöglicht, zum Versenden von Direktwerbung und der Marketingkommunikation unternehmensübergreifend Daten zu verarbeiten.

Insgesamt entspricht das Vorgehen sowohl mit Blick auf Datenverarbeitungen, die laut Datenschutzrichtlinie bereits derzeit ausgeführt werden, als auch solchen, die durch Facebook jederzeit umgesetzt werden können, nicht den Vorgaben der DSGVO.

(Quelle: Pressemitteilung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit)