Wegen der neuen Nutzungsbestimmungen, die der Messengerdienst WhatsApp –nun nicht im Februar (mein Kollege Fabian berichtete hier), sondern im Mai–kreiert hat, hat der Landesdatenschutzbeauftragte Hamburg hat im Mai 2021 eine Anordnung erlassen[1], die es Facebook zeitweise verbietet, personenbezogene Daten von Nutzern in Deutschland von WhatsApp zu verarbeiten.
Auf Grund der Bedeutung, die WhatsApp für viele Menschen in Deutschland hat –so nutzten im Jahr 2020 68% der deutschsprachigen Wohnbevölkerung in Deutschland ab 14 Jahren täglich den Messengerdienst[2]– lohnt sich ein genauerer Blick darauf, was es denn damit auf Sich hat.
I Worum geht es?
Der Messengerdienst Whatsapp wurde 2009 gegründet und wurde 2014 vom Mutterkonzern vom sozialen Netzwerkes Facebook, Facebook Inc. aufgekauft. Mit der Übernahme ging ein Versprechen einher, die Daten und WhatsApp und Facebook nicht zusammenzuführen.
Von dem Grundsatz ist Facebook dann abgewichen, als es zuerst Februar 2021 und dann nach Kritik im Mai 2021 seine Nutzungsbestimmungen so änderte, dass somit die Daten von WhatsApp an Facebook weitergegeben werden dürfen.
Alle Nutzer*innen wurden aufgefordert, bis zum 15.05.2021 zuzustimmen, andernfalls, so hieß es zeitweise, würden eine Funktion gar nicht mehr bzw. WhatsApp als solches nicht mehr genutzt werden dürfen[3].
Da diese Nutzungs- und Privatsphärebestimmungen darauf ausgerichtet sind, den Datenfluss von WhatsApp zu Facebook zu legitimieren, hat der Landesdatenschutzbeauftragte eine Anordnung im Dinglichkeitsverfahren erlassen, die Facebook die Verarbeitung von WhatsAppdaten zu eigenen Zwecken untersagt.
II Rechtlicher Background
Zeit, sich einmal rechtlich anzuschauen, warum Facebook die Daten von WhatsApp zu eigenen Zwecken nicht verarbeiten darf und was genau eine „Anordnung im Dinglichkeitsverfahren“ eigentlich ist.
II.1. Rechtsgrundlage
Für jede Verarbeitung personenbezogener Daten (also auch das Verarbeiten der Whatsappnutzerdaten seitens anderer Facebook-Konzerne als Whatsapp) wird nach der DSGVO eine Rechtsgrundlage benötigt, ist eine solche nicht gegeben, so ist eine Datenverarbeitung rechtswidrig.
a) Einwilligung gem. Art. 6 I 1 lit. a DSGVO
Damit eine Person rechtmäßig einwilligen kann, muss sie Informationen darüber, worin sie einwilligt, in einfacher, klarer Form & Sprache erhalten.[4] Darüber hinaus muss die Einwilligung freiwillig erfolgt sein.
Die Informationen sind auf unterschiedlichen Stellen der Datenschutzerklärung, verteilt, unklar sowie inhaltlich missverständlich, so der Hamburger Landesdatenschutzbeauftragte. Daher lag die Information darüber, worin ein*e Nutzer*in einwilligt, nicht in einfacher, klarer Form & Sprache vor.
Da, wie oben geschildert, bei Nichteinwilligung der Dienst nicht weiter genutzt hätte werden dürfen, kann auch nicht von einer Freiwilligkeit die Rede sein.
Somit kommt eine Einwilligung als Rechtsgrundlage nicht in Betracht.
b) Erfüllung einer vertraglichen Verpflichtung gem. Art. 6 I 1 lit. b DSGVO
Eine vertragliche Verpflichtung, die hier erfüllt werden soll, ist nicht ersichtlich.
c) Überwiegendes berechtigtes Interesse gem. Art. 6 I 1 lit. f DSGVO
Facebook könnte ein überwiegend berechtigtes Interesse daran haben, Daten von WhatsApp auch in anderen Konzernteilen zu verarbeiten.
Dazu müsste Facebook ein legitimes Interesse haben und die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person dürften nicht überwiegen.
Laut dem Landesdatenschutzbeauftragten Hamburg könne hier Facebook kein, insbesondere bei Kindern[5] nicht, überwiegendes berechtigtes Interesse geltend machen.
d) Ergebnis
Somit steht die Datenverarbeitung der WhatsAppdaten seitens Facebook für eigene Zwecke auf keiner RGL und wäre daher rechtswidrig.
II.2. Anordnung im Dinglichkeitsverfahren
Nun zur nächsten Frage: Was ist denn eigentlich dieses Dinglichkeitsverfahren?
Das Dinglichkeitsverfahren nach Art 66 DSGVO, nach dem durch den Hamburger Landesdatenschutzbeauftragen als betroffene Aufsichtsbehörde eine Verordnung ergangen ist, ist das ‚Eilverfahren‘ der DSGVO, das in dringenden Fällen dann zur Anwendung kommt, wenn die ‚normalen‘ Verfahren nach Art. 63–65 oder das Verfahren nach Art. 60 zu lange dauern würden.
Im Ergebnis bedeutet dies, dass die Anordnung nur in Deutschland und nur drei Monate gilt. Die erlassende Behörde hat bereits angekündigt, den Europäischen Datenschutzausschuss (EDSA) anzurufen, damit dieser einen verbindlichen Beschluss fasst.
III Fazit
Auch wenn aktuell wegen der Anordnung die Daten nicht durch Facebook verarbeitet werden (dürfen), sei an dieser Stelle noch einmal auf den Artikel von Fabian verwiesen, der dort über Alternativen zu Messengerdiensten berichtete.
[1] Für die Pressemitteilung dazu siehe: https://datenschutz-hamburg.de/pressemitteilungen/2021/05/2021-05-11-facebook-anordnung .
[2] https://www.ard-zdf-onlinestudie.de/files/2020/2020-10-02_Onlinestudie2020_Publikationscharts.pdf .
[3] Anscheinend hat sich Facebook hiervon jedoch distanziert: https://www.br.de/nachrichten/netzwelt/whatsapp-was-passiert-bei-ablehnung-der-datenschutzregeln,SYmwfWy .
[4] Stemmer, DS-GVO Art. 7 Bedingungen für die Einwilligung, Rn 61 ff., in BeckOK Datenschutzrecht, Wolff/Brink, 35. Edition, Stand: 01.11.2020.
[5] Bis wann eine Person als Kind gilt, ist umstritten. Albers/Veit gehen aufgrund des Umkehrschlusses aus Art. 8 I 3 DSGVO von 13 Jahren aus (Albers/Veit, DS-GVO Art. 6 Rechtmäßigkeit der Verarbeitung, Rn. 51 in BeckOK Datenschutzrecht, Wolff/Brink, 35. Edition, Stand: 01.05.2020), Buchner/Petri hingegen gehen –überzeugender– wegen Art. 8 I 1 DSGVO von 16 Jahren aus (Buchner/Petri, DS-GVO Art. 6, Rn. 155 in Kühling/Buchner, DS-GVO BDSG, 3. Auflage 2020).
Recent Comments