Dringlichkeitsverfahren gegen Facebook im Zusammenhang mit den neuen WhatsApp-Nutzungsbedingungen eröffnet
Bereits vor viereinhalb Jahren hat der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) eine Anordnung gegen Facebook erlassen, die einen solchen Massendatenabgleich untersagte. Nachdem Facebook dagegen gerichtlich vorging, wurde die Anordnung durch zwei Instanzen bestätigt. Die Thematik der Weitergabe von WhatsApp-Nutzerdaten an Facebook stellt sich jetzt erneut.
Der Hamburger Datenschutzbeauftragte hat ein neues Verfahren gegen die Facebook Ireland Ltd. eröffnet, das darauf abzielt, eine sofort vollziehbare Anordnung mit dem Inhalt auszusprechen, keine Daten von WhatsApp-Nutzern zu erheben und zu eigenen Zwecken zu verarbeiten. Hintergrund sind die aktualisierten Nutzungsbedingungen und die Datenschutzrichtlinie von WhatsApp, mit denen die Nutzer seit Anfang des Jahres konfrontiert werden. Diese werden aufgefordert, den neuen Bestimmungen bis spätestens Mitte Mai zuzustimmen. Andernfalls können sie WhatsApp nicht mehr nutzen. Die WhatsApp-Bestimmungen enthalten umfangreiche Passagen, mit denen sich der Dienst das Recht einräumt, Daten der Nutzer mit anderen Facebook-Unternehmen zu teilen. Auch Facebooks Datenschutzrichtlinie selbst sieht eine allgemeine unternehmensübergreifende Nutzung und Auswertung von Daten verbundener Unternehmen vor. Der HmbBfDI befürchtet, dass WhatsApp mit den neuen Bestimmungen neben den bereits bestehenden Austauschmöglichkeiten mit Facebook für die Bereiche Produktverbesserung, Analyse, Network/Security künftig weitere für Marketingzwecke und Direktwerbung schafft.
Der HmbBfDI ist in Deutschland für Facebook zuständig, da die deutsche Niederlassung von Facebook ihren Sitz in Hamburg hat. Er kann daher unter außergewöhnlichen Umständen, die er hier gegeben sieht, auf Grundlage von Art. 66 Datenschutzgrundverordnung (DSGVO) ein Verfahren auch gegen Facebook in Irland eröffnen, um die Rechte und Freiheiten deutscher Nutzer zu schützen. Entsprechende Maßnahmen sind auf drei Monate begrenzt, können aber durch einen Beschluss des Europäischen Datenschutzausschusses (EDSA) verlängert oder ergänzt werden. Der Datenschutzbeauftragte Johannes Caspar erklärt aus diesem Anlass: „WhatsApp wird in Deutschland mittlerweile von fast 60 Mio. Menschen genutzt und ist die mit Abstand meistgenutzte Social Media-Anwendung noch vor Facebook. Umso wichtiger ist es, darauf zu achten, dass die hohe Zahl der Nutzer, die den Dienst für viele Menschen attraktiv macht, nicht zu einer missbräuchlichen Ausnutzung der Datenmacht führt. Leider ist es bislang zu keiner uns bekannten aufsichtsbehördlichen Überprüfung der tatsächlichen Verarbeitungsvorgänge zwischen WhatsApp und Facebook gekommen. Derzeit besteht Grund zu der Annahme, dass die Bestimmungen zum Teilen der Daten zwischen WhatsApp und Facebook mangels Freiwilligkeit und Informiertheit der Einwilligung unzulässig durchgesetzt werden sollen. Um gegebenenfalls einen rechtswidrigen massenhaften Datenaustausch zu verhindern und einen unzulässigen Einwilligungsdruck auf Millionen von Menschen zu beenden, ist nun ein förmliches Verwaltungsverfahren zum Schutz Betroffener eingeleitet worden.“
Quelle: Pressemitteilung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) vom 13.04.2021
Anordnung des HmbBfDI:
Verbot der Weiterverarbeitung von WhatsApp-Nutzerdaten durch Facebook
11.05.2021 • Facebook WhatsApp
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) hat eine Anordnung erlassen, die der Facebook Ireland Ltd. verbietet, personenbezogene Daten von WhatsApp zu verarbeiten, soweit dies zu eigenen Zwecken erfolgt. Der sofortige Vollzug wurde angeordnet. Dies erfolgt im Rahmen des Dringlichkeitsverfahrens der Datenschutzgrundverordnung (DSGVO), das den Erlass von Maßnahmen mit einer begrenzten Geltungsdauer im jeweiligen Hoheitsgebiet vorsieht.
Hintergrund des Verfahrens ist die Aufforderung an alle Nutzerinnen und Nutzer von WhatsApp, den neuen Nutzungs- und Privatsphärebestimmungen bis zum 15. Mai zuzustimmen. Damit lässt sich WhatsApp weitreichende Befugnisse für eine Datenweitergabe an Facebook einräumen.
Mit den neuen Bedingungen werden die Befugnisse zur Datenverarbeitung formal erneuert und künftig inhaltlich erweitert. Das betrifft u.a. die Auswertung von Standortinformationen, die Weitergabe von Kommunikationsdaten der Nutzer von Unternehmen auf WhatsApp an Drittunternehmen ausdrücklich mit Hinweis auf Facebook, den zusätzlichen Zweck der Sicherstellung der Integrität der Dienste sowie die unternehmensübergreifende Verifizierung des Accounts, um den Dienst auf „angemessene Weise“ zu nutzen. Ferner wird die Nutzung der Daten zur Verbindung mit Produkten von Facebook-Unternehmen eröffnet. Ein berechtigtes Interesse für die Datenverarbeitung bzw. für den Austausch der Daten wird künftig pauschal auch gegenüber minderjährigen Nutzern vorgebracht. Ferner fällt der bislang vorhandene Hinweis weg, dass WhatsApp-Nachrichten nicht für andere sichtbar auf Facebook geteilt werden.
Nach Auswertung des gegenwärtigen Sachstands und Anhörung der Facebook Ireland Ltd. fehlt für eine Verarbeitung durch Facebook zu eigenen Zwecken ungeachtet der von WhatsApp derzeit eingeholten Zustimmung zu den Nutzungsbedingungen eine ausreichende rechtliche Grundlage. Die Bestimmungen zur Datenweitergabe finden sich verstreut auf unterschiedlichen Ebenen der Datenschutzerklärung, sie sind unklar und in ihrer europäischen und internationalen Version schwer auseinanderzuhalten. Zudem sind sie inhaltlich missverständlich und weisen erhebliche Widersprüche auf. Auch nach genauer Analyse lässt sich nicht erkennen, welche Konsequenzen die Zustimmung für die Nutzerinnen und Nutzer hat. Ferner erfolgt die Zustimmung nicht aus freien Stücken, da WhatsApp die Einwilligung in die neuen Bestimmungen als Bedingung für die Weiternutzung der Funktionalitäten des Dienstes einfordert.
Datenschutzrechtliche Grundlagen, die eine eigenständige Verarbeitungsbefugnis durch Facebook begründen könnten, liegen vor diesem Hintergrund nicht vor. Insbesondere kann Facebook kein überwiegendes berechtigtes Interesse an der Verarbeitung der Daten von WhatsApp-Nutzerinnen und -Nutzern geltend machen, da deren Rechte und Freiheiten entgegenstehen. Die Zustimmung erfolgt weder transparent noch freiwillig. Das gilt in besonderer Weise für Kinder. Aus diesen Gründen kommt eine datenschutzrechtliche Einwilligung als Rechtsgrund nicht in Betracht. Die Verarbeitung der Daten der Nutzer von WhatsApp ist für Facebook auch nicht zur Durchführung eines Vertrages erforderlich.
Die Untersuchung der neuen Bestimmungen hat gezeigt, dass die enge Verbindung zwischen den beiden Unternehmen weiter ausgebaut werden soll, damit Facebook die Daten der WhatsApp-Nutzerinnen und -Nutzer jederzeit zu eigenen Zwecken verwenden kann. Für die Bereiche Produktverbesserung und Werbung behält sich WhatsApp die Weitergabe an Facebook-Unternehmen vor, ohne dass es hierzu noch einer Einwilligung der Betroffenen bedarf. In anderen Bereichen ist von einer Nutzung für eigene Zwecke nach Maßgabe der Datenschutzrichtlinie bereits derzeit auszugehen. Darin bzw. in den FAQ wird etwa beschrieben, dass für die Netzwerksicherheit und zur Verhinderung des Sendens von Spam bereits aktuell Daten der WhatsApp-Nutzer wie etwa Telefonnummern und Gerätekennungen zwischen den Unternehmen für gemeinsame Zwecke ausgetauscht werden. Eine Untersuchung der federführenden Aufsichtsbehörde über die tatsächliche Praxis der Datenweitergabe und -nutzung hat es bislang trotz unserer Aufforderung nicht gegeben.
Die Nutzerinnen und Nutzer werden von WhatsApp mit intransparenten Bedingungen für eine weitreichende Datenweitergabe konfrontiert. Gleichzeitig wird behauptet, die beschriebenen Verarbeitungen würden tatsächlich gar nicht ausgeführt, um sie dann zu einem späteren Zeitpunkt schrittweise auf Grundlage des auf Zustimmung der Nutzerinnen und Nutzer gegründeten Rechtsrahmens umzusetzen. Diese Strategie erfolgt gegenwärtig insbesondere bei der neu eingeführten Funktion des Business-Marketings, die es unter Einschluss von Facebook ermöglicht, zum Versenden von Direktwerbung und der Marketingkommunikation unternehmensübergreifend Daten zu verarbeiten. Insgesamt entspricht das Vorgehen sowohl mit Blick auf Datenverarbeitungen, die laut Datenschutzrichtlinie bereits derzeit ausgeführt werden, als auch solchen, die durch Facebook jederzeit umgesetzt werden können, nicht den Vorgaben der DSGVO.
Hierzu Johannes Caspar, Hamburgischer Beauftragter für Datenschutz und Informationsfreiheit: „Die Anordnung soll die Rechte und Freiheiten der vielen Millionen Nutzerinnen und Nutzer sichern, die deutschlandweit ihre Zustimmung zu den Nutzungsbedingungen geben. Es gilt, Nachteile und Schäden, die mit einem derartigen Black-Box-Verfahren verbunden sind, zu verhindern. Die Datenschutz-Skandale der letzten Jahre von „Cambridge Analytica“ bis hin zu dem kürzlich bekannt geworden Datenleck, von dem mehr als 500 Millionen Facebook-Nutzer betroffen waren, zeigen das Ausmaß und die Gefahren, die von einer massenhaften Profilbildung ausgehen. Das betrifft nicht allein die Privatsphäre, sondern auch die Möglichkeit, Profile zur Beeinflussung von Wählerentscheidungen einzusetzen, um demokratische Entscheidungen zu manipulieren. Die Gefahr ist angesichts von fast 60 Millionen Nutzerinnen und Nutzern von WhatsApp mit Blick auf die in Deutschland im September 2021 anstehenden Bundestagswahlen umso konkreter, da diese Begehrlichkeiten nach Beeinflussung der Meinungsbildung seitens der Anzeigekunden von Facebook wecken werden. Die nun erlassene Anordnung bezieht sich auf die Weiterverarbeitung von WhatsApp-Nutzerdaten und richtet sich an die Adresse von Facebook. Die weltweite Kritik gegen die neuen Nutzungsbedingungen sollte Anlass geben, den Zustimmungsmechanismus noch einmal grundlegend zu überdenken. Ohne Vertrauen der Nutzerinnen und Nutzer kann auf Dauer kein auf Daten gegründetes Geschäftsmodell erfolgreich sein.“
Aufgrund des beschränkten Zeitrahmens der Anordnung im Dringlichkeitsverfahren von lediglich drei Monaten wird der HmbBfDI eine Befassung durch den Europäischen Datenschutzausschuss (EDSA) beantragen, um eine Entscheidung auf europäischer Ebene herbeizuführen.
Pressekontakt
Martin Schemm
Telefon: +49 40 428 54-4044
E-Mail: presse@datenschutz.hamburg.de
https://datenschutz-hamburg.de/pressemitteilungen/2021/05/2021-05-11-facebook-anordnung
Mike Kuketz
25. Oktober 2023 | 09:27 Uhr
Eltern-WhatsApp-Gruppe in der Schule: Meine Reaktion
In der Klasse unserer Tochter ist die Gründung einer Eltern-WhatsApp-Gruppe geplant. Jetzt ist Aufklärung mit Fingerspitzengefühl gefragt. Einerseits will man nicht der Bedenkenträger sein, der das ohnehin schon angekratzte Datenschutzbild weiter beschädigt, andererseits ist die Nutzung von WhatsApp gerade im schulischen Kontext einfach nicht in Ordnung. Dazu gibt es eine Handreichung des Kultusministeriums Baden-Württemberg:
Der Einsatz von »Sozialen Netzwerken« an Schulen.
https://proxy.metager.de/it.kultus-bw.de/%2CLde/Startseite/IT-Sicherheit/soziale-netzwerke?url=https%3A%2F%2Fit.kultus-bw.de%2F%2CLde%2FStartseite%2FIT-Sicherheit%2Fsoziale-netzwerke&password=fa14a3fbf0bc65d58e695b89243a80d967cd538e6cca0bb0f347262f980e8797
https://www.kuketz-blog.de/eltern-whatsapp-gruppe-in-der-schule-meine-reaktion/