Sie befinden sich hier:

Verbot der Weiterverarbeitung von WhatsApp-Nutzerdaten durch Facebook

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) hat eine Anordnung erlassen, die der Facebook Ireland Ltd. verbietet, personenbezogene Daten von WhatsApp zu verarbeiten, soweit dies zu eigenen Zwecken erfolgt.

WhatsApp hat seine Nutzer aufgefordert, bis zum 15. Mai den neuen Nutzungs- und Privatsphärebestimmungen zuzustimmen. Durch diese Bestimmungen lässt sich WhatsApp weitreichende Befugnisse für eine Datenweitergabe an Facebook einräumen. So werden die Befugnisse zur Datenverarbeitung formal erneuert und künftig inhaltlich erweitert. Das betrifft u.a. die Auswertung von Standortinformationen, die Weitergabe von Kommunikationsdaten der Nutzer von Unternehmen auf WhatsApp an Drittunternehmen ausdrücklich mit Hinweis auf Facebook, den zusätzlichen Zweck der Sicherstellung der Integrität der Dienste sowie die unternehmensübergreifende Verifizierung des Accounts, um den Dienst auf „angemessene Weise“ zu nutzen. Ferner wird die Nutzung der Daten zur Verbindung mit Produkten von Facebook-Unternehmen eröffnet. Ein berechtigtes Interesse für die Datenverarbeitung bzw. für den Austausch der Daten wird künftig pauschal auch gegenüber minderjährigen Nutzern vorgebracht. Ferner fällt der bislang vorhandene Hinweis weg, dass WhatsApp-Nachrichten nicht für andere sichtbar auf Facebook geteilt werden.

Nach Ansicht des HmbBfDI fehlt für eine Verarbeitung durch Facebook zu eigenen Zwecken ungeachtet der von WhatsApp eingeholten Zustimmung zu den Nutzungsbedingungen eine ausreichende rechtliche Grundlage. Die Bestimmungen zur Datenweitergabe würden sich verstreut auf unterschiedlichen Ebenen der Datenschutzerklärung finden, sie seien unklar und in ihrer europäischen und internationalen Version schwer auseinanderzuhalten. Zudem wären sie inhaltlich missverständlich und würden erhebliche Widersprüche aufweisen. Auch nach genauer Analyse lasse sich nicht erkennen, welche Konsequenzen die Zustimmung für die Nutzer hat. Ferner erfolge die Zustimmung nicht aus freien Stücken, da WhatsApp die Einwilligung in die neuen Bestimmungen als Bedingung für die Weiternutzung der Funktionalitäten des Dienstes einfordert.

Datenschutzrechtliche Grundlagen, die eine eigenständige Verarbeitungsbefugnis durch Facebook begründen könnten, lägen vor diesem Hintergrund nicht vor. Insbesondere könne Facebook kein überwiegendes berechtigtes Interesse an der Verarbeitung der Daten von WhatsApp-Nutzern geltend machen, da deren Rechte und Freiheiten entgegenstehen. Die Zustimmung erfolge weder transparent noch freiwillig. Das gelte in besonderer Weise für Kinder. Aus diesen Gründen komme eine datenschutzrechtliche Einwilligung als Rechtsgrund nicht in Betracht. Die Verarbeitung der Daten der Nutzer von WhatsApp sei für Facebook auch nicht zur Durchführung eines Vertrages erforderlich.

Die Untersuchung der neuen Bestimmungen habe gezeigt, dass die enge Verbindung zwischen den beiden Unternehmen weiter ausgebaut werden solle, damit Facebook die Daten der WhatsApp-Nutzer jederzeit zu eigenen Zwecken verwenden kann. Für die Bereiche Produktverbesserung und Werbung behalte sich WhatsApp die Weitergabe an Facebook-Unternehmen vor, ohne dass es hierzu noch einer Einwilligung der Betroffenen bedarf. In anderen Bereichen sei von einer Nutzung für eigene Zwecke nach Maßgabe der Datenschutzrichtlinie bereits derzeit auszugehen. Darin bzw. in den FAQ würde etwa beschrieben werden, dass für die Netzwerksicherheit und zur Verhinderung des Sendens von Spam bereits aktuell Daten der WhatsApp-Nutzer wie etwa Telefonnummern und Gerätekennungen zwischen den Unternehmen für gemeinsame Zwecke ausgetauscht werden. Eine Untersuchung der federführenden Aufsichtsbehörde über die tatsächliche Praxis der Datenweitergabe und -nutzung habe es bislang nicht gegeben.

Die Nutzer würden von WhatsApp mit intransparenten Bedingungen für eine weitreichende Datenweitergabe konfrontiert. Gleichzeitig würde behauptet werden, die beschriebenen Verarbeitungen würden tatsächlich gar nicht ausgeführt, um sie dann zu einem späteren Zeitpunkt schrittweise auf Grundlage des auf Zustimmung der Nutzer gegründeten Rechtsrahmens umzusetzen. Diese Strategie erfolge gegenwärtig insbesondere bei der neu eingeführten Funktion des Business-Marketings, die es unter Einschluss von Facebook ermöglicht, zum Versenden von Direktwerbung und der Marketingkommunikation unternehmensübergreifend Daten zu verarbeiten. Insgesamt entspreche das Vorgehen sowohl mit Blick auf Datenverarbeitungen, die laut Datenschutzrichtlinie bereits derzeit ausgeführt werden, als auch solchen, die durch Facebook jederzeit umgesetzt werden können, nicht den Vorgaben der DSGVO.

Die vom Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit erlassene Anordnung bezieht sich auf die Weiterverarbeitung von WhatsApp-Nutzerdaten und richtet sich an die Adresse von Facebook. Die weltweite Kritik gegen die neuen Nutzungsbedingungen sollte nach Ansicht des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit Anlass geben, den Zustimmungsmechanismus noch einmal grundlegend zu überdenken. Ohne Vertrauen der Nutzerinnen und Nutzer könne auf Dauer kein auf Daten gegründetes Geschäftsmodell erfolgreich sein.

Aufgrund des beschränkten Zeitrahmens der Anordnung im Dringlichkeitsverfahren von lediglich drei Monaten wird der HmbBfDI eine Befassung durch den Europäischen Datenschutzausschuss (EDSA) beantragen, um eine Entscheidung auf europäischer Ebene herbeizuführen.

Fundstelle: Pressemitteilung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit vom 11.05.2021 – abrufbar im Internet unter https://datenschutz-hamburg.de/pressemitteilungen/2021/05/2021-05-11-facebook-anordnung

nach oben