Dringlichkeitsverfahren nach Art. 66 DSGVO aufgrund der neuen WhatsApp-Nutzungsbedingungen
Anfang des Jahres 2021 bekamen WhatsApp-Nutzer beim Öffnen der App den Hinweis, dass die AGB und Datenschutzrichtlinien aktualisiert werden. In den folgenden Tagen, Wochen und Monaten überschlugen sich sodann die Ereignisse, Datenschützer schlugen Alarm und der WhatsApp-Konkurrent „Signal“ meldete einen Rekordzuwachs an neuen Nutzern. Die Verantwortlichen von WhatsApp bzw. Facebook sind seitdem um Schadensbegrenzung bemüht, starteten Aufklärungskampagnen und verlängerten die Frist für die Zustimmung der AGB vom 8. Februar auf den 15. Mai 2021. Nun geht der datenschutzrechtliche Konflikt durch den Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) in die nächste Runde. Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit Prof. Dr. Johannes Caspar, hat ein Dringlichkeitsverfahren nach Art. 66 DSGVO gegen die Facebook Ireland Ltd. eröffnet. In diesem Zusammenhang soll nun die Gelegenheit genutzt werden, um einen Blick auf die neuen WhatsApp-Nutzungsbedingungen und das Verfahren nach Art. 66 DSGVO zu werfen.
Das Dringlichkeitsverfahren nach Art. 66 DSGVO
Durch Art. 66 DSGVO werden Aufsichtsbehörden ermächtigt, in dringlichen Fällen schnell und effizient einstweilige Maßnahmen vorzunehmen (Abs. 1) bzw. gegebenenfalls auch absolute Maßnahmen zu ergreifen (Abs. 2). Art. 66 Abs. 1 DSGVO kompensiert einen strukturellen Nachteil der DSGVO, der sich allgemein aus dem Ziel der Vollharmonisierung und konkret aus Art. 63 DSGVO ergibt. Die DSGVO ist eine Verordnung der Europäischen Union und damit ein Rechtsakt der Europäischen Union mit allgemeiner Gültigkeit und unmittelbarer Wirksamkeit in den Mitgliedstaaten. Die Wahl dieser Rechtsnatur anstatt einer EU-Richtlinie, die den Mitgliedstaaten Umsetzungsspielraum lässt, dient, wie anfangs erwähnt, dem Ziel der rechtlichen Vollharmonisierung des Datenschutzes. Daneben dient Art. 63 DSGVO der Harmonisierung des Vollzugs der DSGVO. Gemäß Art. 66 DSGVO arbeiten die Aufsichtsbehörden der Mitgliedstaaten untereinander und gegebenenfalls mit der Kommission zusammen, um zur einheitlichen Anwendung der DSGVO in der gesamten Union beizutragen (Kohärenzverfahren). Dieses Kohärenzverfahren verlangsamt allerdings Verfahrensabläufe massiv. Durch Art. 66 Abs. DSGVO tritt im Rahmen der einstweiligen Maßnahmen das Kohärenzziel hinter die Effektivität der Datenschutzaufsicht zurück. Zu beachten ist, dass bezüglich absoluter Maßnahmen, Art. 66 Abs. 2 DSGVO nur eine schnellere Entscheidungsfindung im Datenschutzausschuss ermöglicht. Dagegen schafft Art. 66 Abs. 3 DSGVO für dringliche Fälle eine Untätigkeitsbeschwerde, die von jeder Aufsichtsbehörde gegen eine zuständige Aufsichtsbehörde erhoben werden kann.
Maßnahmen nach Art. 66 Abs. 1 DSGVO
Im vorliegenden Fall geht es um eine Maßnahme nach Art. 66 Abs. 1 DSGVO. Nach Abs. 1 kann eine betroffene Aufsichtsbehörde unter außergewöhnlichen Umständen einstweilige Maßnahmen treffen, ohne zuvor das Kohärenzverfahren durchzuführen, wenn nach Einschätzung der tätig werdenden Behörde dringender Handlungsbedarf besteht, um Rechte und Freiheiten von betroffenen Personen zu schützen. Der Gesetzgeber räumt der betroffenen Aufsichtsbehörde einen Einschätzungsspielraum ein, der gerichtlich nur eingeschränkt überprüfbar ist. Die einstweiligen Maßnahmen sind in ihrer Dauer auf maximal drei Monate zu beschränken und dürfen nur im Hoheitsgebiet der betroffenen Aufsichtsbehörde rechtliche Wirkung entfalten. Die anderen betroffenen Aufsichtsbehörden, der Ausschuss und die Kommission sind unter Mitteilung der Gründe unverzüglich vom Erlass der einstweiligen Maßnahme in Kenntnis zu setzen. Im vorliegenden Fall wurde das Verfahren nach Art. 66 Abs. 1 DSGVO eröffnet, mit dem Ziel eine sofort vollziehbare Anordnung mit dem Inhalt auszusprechen, dass durch die Facebook Ireland Limited keine Daten von WhatsApp-Nutzern erheben werden und zu eigenen Zwecken verarbeiten werden dürfen. Diese Maßnahme soll auf drei Monate begrenzt werden. Damit wurde die maximale Geltungsdauer ausgeschöpft.
Außergewöhnliche Umstände iSd Art. 66 Abs. 1 DSGVO
Anlass für das Verfahren nach Art. 66 Abs. 1 DSGVO sind wie Anfangs erwähnt die neuen bzw. aktualisierten WhatsApp-AGB/Datenschutzrichtlinien. Damit die neuen AGB/ Datenschutzrichtlinien allerdings in einem zufriedenstellenden Maß erfasst werden können und vor allem um jene WhatsApp-AGB/Datenschutzrichtlinien zu erfassen, die umfangreiche Passagen enthalten, mit denen sich der Dienst das Recht einräumt, Daten der Nutzer mit anderen Facebook-Unternehmen zu teilen, muss zunächst ein Blick auf die Vernetzungen von WhatsApp und Facebook geworfen werden: Die WhatsApp Inc. ist Teil der Facebook Inc. Die Facebook Inc. verfügt über ein kompliziertes Netz an Tochtergesellschaften und miteinander verbundenen Gesellschaften. In der EU wird der WhatsApp-Dienst von WhatsApp Ireland Limited zur Verfügung gestellt. Die WhatsApp Ireland Limited ist eine Tochtergesellschaft der Facebook Inc. Diese ist nicht zu verwechseln mit der Facebook Germany GmbH, die hauptsächlich für die Vermarktung und Werbung zuständig ist und eine inländische Niederlassung der Facebook Ireland Limited ist. Die Facebook Ireland Limited ist ebenfalls eine Tochtergesellschaft von Facebook Inc. Weitere Tochtergesellschaften der Facebook Inc. sind Facebook Payments Inc., Facebook Payments International Limited, Facebook Technologies LLC, Facebook Technologies Ireland und WhatsApp LLC. Diese Ausführungen erheben keinen Anspruch auf Vollständigkeit und sollen nur einen groben Überblick über die Strukturen vermitteln. Allerdings wird deutlich, dass, wenn die Rede von „Facebook-Unternehmen“ ist, eine Reihe von Unternehmen gemeint sein können. Dies ist für das Verständnis der nun folgenden WhatsApp-AGB und der sich daraus ergebende Gefahr für den Datenschutz von großer Wichtigkeit.
Die Datenverarbeitung unter den Facebook-Unternehmen
Im Mittelpunkt stehen folgende Klauseln der WhatsApp-AGB bzw. Datenschutzrichtlinien:
„Wir gehören zu den Facebook-Unternehmen. Als Teil der Facebook-Unternehmen erhält WhatsApp Informationen von den Facebook-Unternehmen und teilt auch Informationen mit diesen. Wir können mithilfe der von ihnen erhaltenen Informationen und sie können mithilfe der Informationen, die wir mit ihnen teilen, unsere Dienste bzw. ihre Angebote betreiben, bereitstellen, verbessern, verstehen, individualisieren, unterstützen und vermarkten. Dies umfasst auch die Unterstützung bei der Verbesserung von Infrastruktur und Auslieferungssystemen, das Erlangen von Informationen darüber, wie unsere bzw. ihre Dienste genutzt werden, die Unterstützung von uns bei der Bereitstellung einer Möglichkeit für dich zum Verbinden mit Unternehmen und die Absicherung der Systeme. Wir teilen auch Informationen, um Spam, Bedrohungen, Missbrauch oder Verletzungsaktivitäten zu bekämpfen und um die Sicherheit auf allen Produkten der Facebook-Unternehmen zu fördern. Deine WhatsApp Nachrichten werden jedoch nicht für andere sichtbar auf Facebook geteilt.
Der Datenaustausch bzw. Datenverarbeitung unter den Facebook Inc. Gesellschaften ist grundsätzlich nichts neues. Tatsächlich werden Daten wie das Handymodell des Nutzers, der Mobilfunkanbieter, die Telefonnummer, aber auch Kontakte aus dem Telefonbuch hin und her transferiert. Dieser Verarbeitung von Daten unter den Facebook-Unternehmen werden jedoch Grenzen gesetzt. Chats der Nutzer sind verschlüsselt und die Inhalte könnten von keinem Facebook-Unternehmen weder ausgelesen noch gespeichert werden. Weiterhin dürfen aufgrund von EU-Recht in Form einer EU-Richtlinie die Informationen nicht zur gezielten Ausspielung von Werbung eingesetzt werden. Einschlag findet diese rechtliche Grenze allerdings bereits in den AGB/Datenschutzrichtlinien von WhatsApp:
„Tatsächlich nutzt Facebook deine WhatsApp Nachrichten nicht für irgendeinen anderen Zweck, als uns beim Betreiben und bei der Bereitstellung unserer Dienste zu unterstützen.“
Die neuen WhatsApp-AGB/Datenschutzrichtlinien im europäischen Raum ändern an dieser Lage allerdings nichts.
Woher rührt nun die Aufregung?
Um die Kernursache der Aufregung zu verstehen muss ein Rechtsvergleich zwischen den WhatsApp-Regelungen in den USA und den WhatsApp-Regelungen in der EU herangezogen werden. In den USA gelten andere Regelungen als in der EU. Dort kann die Facebook Inc. bzw. die Tochtergesellschaften die Daten des WhatsApp-Messenger durchaus für Werbezwecke nutzen. Allerdings ist dies ebenfalls kein Novum. Neu ist allerdings, dass die Nutzer in den USA der Verarbeitung für Werbezwecke nicht mehr widersprechen können. Die neuen AGB sind für US-Nutzer also deutlich folgenreichender.
Nichtsdestotrotz: Ein kritischer Blick ist notwendig
Allerdings sollte die Verarbeitung und der Transfer von Daten der WhatsApp-Nutzer unter den Facebook-Gesellschaften in Europa trotzdem eines kritischen Blickes gewürdigt werden. So auch Casper, der ausführt, dass WhatsApp-App mit fast 60 Millionen Nutzern, die meistgenutzte Social Media Anwendung ist. Umso wichtiger sei es dadurch, darauf zu achten, dass die hohe Zahl der Nutzer, die den Dienst für viele Menschen attraktiv macht, nicht zu einer missbräuchlichen Ausnutzung der Datenmacht führt. Allerdings sei es bislang zu keiner bekannten aufsichtsbehördlichen Überprüfung der tatsächlichen Verarbeitungsvorgänge zwischen den Facebook-Unternehmen gekommen. Derzeit bestehe Grund zu der Annahme, dass die Bestimmungen zum Teilen der Daten zwischen WhatsApp und Facebook mangels Freiwilligkeit und Informiertheit der Einwilligung unzulässig durchgesetzt werden sollen. Um gegebenenfalls einen rechtswidrigen massenhaften Datenaustausch zu verhindern und einen unzulässigen Einwilligungsdruck auf Millionen von Menschen zu beenden, sei nun ein förmliches Verwaltungsverfahren zum Schutz Betroffener notwendig worden. Über den Fortgang des Verfahrens wird zeitnah unterrichtet.
Bildnachweis: concept::SAMSUNG_III::name::WHATSAPP::
