EU-Datenschützer tragen deutsche Eilanordnung gegen WhatsApp nicht mit

Hamburgs Datenschutzbeauftragter untersagte Facebook in einem Dringlichkeitsverfahren, Daten der Tochter WhatsApp zu nutzen. Das geht so nicht.

Lesezeit: 6 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 83 Beiträge

(Bild: BigTunaOnline/Shutterstock.com)

Update
Von
  • Stefan Krempl

Schlappe für den früheren Hamburgischen Datenschutzbeauftragten Johannes Caspar vor dem Europäischen Datenschutzausschuss (EDSA). Das übergeordnete Gremium aller einschlägigen Aufsichtsbehörden der EU hat in einer verbindlichen Eilentscheidung eine im Dringlichkeitsverfahren erlassene Anordnung Caspars gegen Facebook nicht gebilligt. Der Kontrolleur hatte es der Facebook Ireland Ltd. im April untersagt, Daten deutscher Nutzer der Konzerntochter WhatsApp mit eigenen Informationsbeständen zusammenzuführen.

Stein des Anstoßes sind die Änderungen der Nutzungsbedingungen und der Datenschutzbestimmungen, die für europäische Nutzer von WhatsApp gelten sollen. Caspar, dessen Amtszeit Ende Juni nach zwei Perioden endete, sah Grund zu der Annahme, dass die neuen Vorgaben zum Teilen der Daten zwischen WhatsApp und Facebook "mangels Freiwilligkeit und Informiertheit der Einwilligung unzulässig durchgesetzt werden sollen". Um einen möglichen "rechtswidrigen massenhaften Datenaustausch" zu verhindern, hatte er daher im Frühjahr das dringliche Verwaltungsverfahren auf Basis von Artikel 66 der Datenschutz-Grundverordnung (DSGVO) eingeleitet.

Für Facebook ist in der EU generell die irische Datenschutzbehörde, die Data Protection Commission (DPC), am Sitz der europäischen Tochterfirma zuständig. Die deutsche Niederlassung des Internetkonzerns ist in Hamburg, weshalb hierzulande der dortige Datenschutzbeauftragte das Sagen hat. Der EDSA hat nun beschlossen, dass in dem Hamburger Fall "die Voraussetzungen für den Nachweis des Vorliegens einer Zuwiderhandlung und einer Dringlichkeit nicht erfüllt sind". Er verfügte daher, dass die DPC "keine endgültigen Maßnahmen" gegen Facebook ergreifen müsse.

Der Zusammenschluss der EU-Datenschutzbeauftragten begründet seine Entscheidung damit, dass die Facebook Ltd. als Verantwortliche bereits Nutzerdaten von WhatsApp "für den gemeinsamen Zweck der Sicherheit und Integrität" des Messenger-Dienstes und anderer Facebook-Unternehmen verarbeite. Dies geschehe offenbar auch bereits für den Zweck, Produkte aus dem Konzernkonglomerat zu verbessern.

Zugleich verweist der EDSA aber auf "verschiedene Widersprüche, Unklarheiten und Unsicherheiten", die der Ausschuss in den nutzerorientierten Informationen von WhatsApp sowie Stellungnahmen des Chat-Betreibers und "in einigen schriftlichen Verpflichtungserklärungen von Facebook" festgestellt habe. Man sei daher nicht in der Lage gewesen, "mit Sicherheit festzustellen, welche Verarbeitungen tatsächlich durchgeführt werden und in welcher Eigenschaft".

Ferner moniert das Gremium, es lägen nicht einmal genügend Informationen vor, um mit Sicherheit feststellen zu können, ob Facebook mit dem Zusammenführen von Nutzerdaten bereits begonnen habe. Diese Verweise auf eine große Intransparenz bei dem Konzernverbund führen zunächst aber zu keinen direkten Konsequenzen.

Die Hamburgische Datenschutzbehörde hat laut dem EDSA-Beschluss dagegen nicht nachweisen können, dass die DPC es versäumt habe, Informationen im Rahmen eines förmlichen Amtshilfeersuchens gemäß Artikel 61 DSGVO bereitzustellen. Ferner entschied der Ausschuss, dass die Annahme der aktualisierten WhatsApp-Geschäftsbedingungen allein keine Dringlichkeit begründeten, da sie "ähnliche problematische Elemente wie die vorherige Version enthalten".

Auch der EDSA geht aber von einer "hohen Wahrscheinlichkeit von Verstößen" gegen die DSGVO angesichts der Aktivitäten von Facebook und WhatsApp aus. Er forderte die DPC daher auf, den Fall und die Rolle der beteiligten Unternehmen weiter in einem geregelten Verfahren zu untersuchen. Dabei gelte es vor allem zu prüfen, ob die Facebook-Unternehmen in der Praxis Verarbeitungen durchführen, die eine Kombination oder einen Abgleich der Nutzerdaten von WhatsApp mit anderen Datensätzen beinhalten. Dies könnte etwa durch den Einsatz eindeutiger Kennungen erleichtert werden.

Aktivisten und Datenschützer etwa aus Deutschland und Österreich werfen der irischen Behörde aber schon seit Langem vor, die zahlreichen Beschwerden gegen die in Irland mit ihren EU-Zentralen ansässigen Internetriesen nicht ernsthaft und zeitnah abzuarbeiten.

WhatsApp hatte den Start der neuen Nutzungsbedingungen mehrfach verschoben und besonders kritische Passagen noch gestrichen. Ende Mai hieß es nach dem Inkrafttreten, dass es für Nutzer vorerst keine negativen Folgen haben werde, wenn sie den neuen Datenschutz-Bestimmungen des Chatdienstes nicht zustimmen. Es gebe aktuell keine Pläne, den Funktionsumfang für sie einzuschränken oder Konten zu löschen. Ein Konzernsprecher hatte erklärt, die Anordnung Caspars beruhe auf einem fundamentalen Missverständnis in Bezug auf die Absicht und den Effekt des rechtlichen Updates und habe keine zulässige Grundlage.

Der stellvertretende Hamburgische Datenschutzbeauftragte Ulrich Kühn bezeichnete die EDSA-Entscheidung als enttäuschend: "Das Gremium, das geschaffen wurde, um die einheitliche Anwendung der DSGVO in der gesamten EU sicherzustellen, verpasst damit die Chance, sich klar für den Schutz der Rechte und Freiheiten von Millionen Betroffenen in Europa einzusetzen."

Die DPC sei "trotz unserer über mehr als zwei Jahre hinweg wiederholten Aufforderung, die Frage des Datenaustausches zwischen WhatsApp und Facebook zu untersuchen und gegebenenfalls zu sanktionieren, in dieser Hinsicht nicht tätig geworden". Dass sie jetzt zu einer Prüfung gedrängt werde, sei zumindest "ein Erfolg unserer langjährigen Bemühungen". Allerdings werde diese unverbindliche Maßnahme der Bedeutung der Thematik nicht gerecht. Der EDSA beraube sich damit ferner "perspektivisch eines entscheidenden Instruments, um die DSGVO europaweit durchzusetzen. Dies ist keine gute Nachricht für die Betroffenen und den Datenschutz in Europa insgesamt."

[Update 15:40 Uhr]
Caspar selbst sieht den Beschluss mit großer Sorge. Inhaltlich stütze der EDSA zwar seine Auffassung, erklärte der Rechtswissenschaftler gegenüber heise online. Die auch von den früheren Kollegen angenommene "hohe Wahrscheinlichkeit, dass es derzeit zu einer unrechtmäßigen Datenverarbeitung durch Facebook kommt, zeigt, dass unser Verfahren eben nicht auf einem 'Missverständnis' aufbaut". Höchst widersprüchlich und "völlig mutlos" sei aber, dass der Ausschuss trotzdem keine Dringlichkeit sehe. Wenn aufgrund klarer Indizien von einer unrechtmäßigen Datenverarbeitung durch Facebook und vermutlich von mehreren 100 Millionen Betroffenen in der EU auszugehen sei, widerspreche dies der Gewährleistungsverantwortung aus der EU-Grundrechtecharta. Es sei zu prüfen, ob in der Sache nicht der Europäische Gerichtshof das letzte Wort haben sollte.

(bme)