Verbot der Weiterverarbeitung von WhatsApp-Nutzerdaten für Facebook

Hamburgischer Beauftragter für Datenschutz und Informationsfreiheit verbietet Facebook Verarbeitung personenbezogene Daten von WhatsApp zu eigenen Zwecken

[datensicherheit.de, 11.05.2021] Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) hat nach eigenen Angaben eine Anordnung erlassen, welche es der Facebook Ireland Ltd. als Betreiberin von „Facebook“ verbietet, personenbezogene Daten von „WhatsApp“ zu verarbeiten, soweit dies zu eigenen Zwecken erfolgt. „Der sofortige Vollzug wurde angeordnet.“ Dies erfolge im Rahmen des Dringlichkeitsverfahrens der Datenschutzgrundverordnung (DSGVO), welches den Erlass von Maßnahmen mit einer begrenzten Geltungsdauer im jeweiligen Hoheitsgebiet vorsehe.

HmbBfDI

Prof. Dr. Johannes Caspar: Der sofortige Vollzug wurde angeordnet!

Nutzung der Daten zur Verbindung mit Produkten von Facebook-Unternehmen angestrebt

Hintergrund dieses Verfahrens sei die Aufforderung an alle Nutzer von „WhatsApp“, den neuen Nutzungs- und Privatsphäre-Bestimmungen bis zum 15. Mai 2021 zuzustimmen. Damit lasse sich WhatsApp weitreichende Befugnisse für eine Datenweitergabe an Facebook einräumen.
Mit den neuen Bedingungen würden die Befugnisse zur Datenverarbeitung formal erneuert und künftig inhaltlich erweitert. Dies betreffe u.a. die Auswertung von Standortinformationen, die Weitergabe von Kommunikationsdaten der Nutzer von Unternehmen auf „WhatsApp“ an Drittunternehmen ausdrücklich mit Hinweis auf Facebook, den zusätzlichen Zweck der Sicherstellung der Integrität der Dienste sowie die unternehmensübergreifende Verifizierung des Accounts, um den Dienst auf „angemessene Weise“ zu nutzen.
Ferner werde die Nutzung der Daten zur Verbindung mit Produkten von Facebook-Unternehmen eröffnet. Ein sogenanntes berechtigtes Interesse für die Datenverarbeitung bzw. für den Austausch der Daten werde künftig pauschal auch gegenüber minderjährigen Nutzern vorgebracht. Ferner falle der bislang vorhandene Hinweis weg, „dass ,WhatsApp‘-Nachrichten nicht für andere sichtbar auf ,Facebook‘ geteilt werden“.

Laut HmbBfDI fehlt Facebook die rechtliche Grundlage

Nach Auswertung des gegenwärtigen Sachstands und Anhörung der Facebook Ireland Ltd. fehle für eine Verarbeitung durch Facebook zu eigenen Zwecken ungeachtet der von WhatsApp derzeit eingeholten Zustimmung zu den Nutzungsbedingungen eine ausreichende rechtliche Grundlage. Die Bestimmungen zur Datenweitergabe fänden sich verstreut auf unterschiedlichen Ebenen der Datenschutzerklärung – „sie sind unklar und in ihrer europäischen und internationalen Version schwer auseinanderzuhalten“.
Zudem seien sie inhaltlich missverständlich und wiesen erhebliche Widersprüche auf. Auch nach genauer Analyse lasse sich nicht erkennen, welche Konsequenzen die Zustimmung für die Nutzer hat. Ferner erfolge die Zustimmung nicht aus freien Stücken, da WhatsApp die Einwilligung in die neuen Bestimmungen als Bedingung für die Weiternutzung der Funktionalitäten des Dienstes einfordere. Datenschutzrechtliche Grundlagen, welche eine eigenständige Verarbeitungsbefugnis durch Facebook begründen könnten, „liegen vor diesem Hintergrund nicht vor“.
Insbesondere könne Facebook kein überwiegendes berechtigtes Interesse an der Verarbeitung der Daten von „WhatsApp“-Nutzern geltend machen, da deren Rechte und Freiheiten entgegenstünden. Die Zustimmung erfolge weder transparent noch freiwillig: „Das gilt in besonderer Weise für Kinder.“ Aus diesen Gründen komme eine datenschutzrechtliche Einwilligung als Rechtsgrund nicht in Betracht. Die Verarbeitung der Daten der Nutzer von „WhatsApp“ sei für Facebook auch nicht zur Durchführung eines Vertrages erforderlich.

WhatsApp konfrontiert Nutzer mit intransparenten Bedingungen für weitreichende Datenweitergabe an Facebook

Die Untersuchung der neuen Bestimmungen habe gezeigt, dass die enge Verbindung zwischen den beiden Unternehmen weiter ausgebaut werden solle, damit Facebook die Daten der „WhatsApp“-Nutzer jederzeit zu eigenen Zwecken verwenden könne. Für die Bereiche Produktverbesserung und Werbung behalte sich WhatsApp die Weitergabe an Facebook-Unternehmen vor, ohne dass es hierzu noch einer Einwilligung der Betroffenen bedürfe.
In anderen Bereichen sei von einer Nutzung für eigene Zwecke nach Maßgabe der Datenschutzrichtlinie bereits derzeit auszugehen. Darin bzw. in den „FAQ“ werde etwa beschrieben, dass für die Netzwerksicherheit und zur Verhinderung des Sendens von Spam bereits aktuell Daten der „WhatsApp“-Nutzer wie etwa Telefonnummern und Gerätekennungen zwischen den Unternehmen für gemeinsame Zwecke ausgetauscht würden. „Eine Untersuchung der federführenden Aufsichtsbehörde über die tatsächliche Praxis der Datenweitergabe und -nutzung hat es bislang trotz unserer Aufforderung nicht gegeben.“
WhatsApp konfrontiere die Nutzer mit intransparenten Bedingungen für eine weitreichende Datenweitergabe. Gleichzeitig werde behauptet, die beschriebenen Verarbeitungen würden tatsächlich gar nicht ausgeführt, um sie dann zu einem späteren Zeitpunkt schrittweise auf Grundlage des auf Zustimmung der Nutzer gegründeten Rechtsrahmens umzusetzen. Diese Strategie erfolge gegenwärtig insbesondere bei der neu eingeführten Funktion des Business-Marketings, welche es unter Einschluss von „Facebook“ ermögliche, zum Versenden von Direktwerbung und der Marketingkommunikation unternehmensübergreifend Daten zu verarbeiten. Insgesamt entspreche dieses Vorgehen sowohl mit Blick auf Datenverarbeitungen, welche laut Datenschutzrichtlinie bereits derzeit ausgeführt würden, als auch solchen, welche durch Facebook jederzeit umgesetzt werden könnten, nicht den Vorgaben der DSGVO.

Datenleck mit mehr als 500 Millionen Facebook-Nutzer zeigte Gefahren massenhafter Profilbildung auf

„Die Anordnung soll die Rechte und Freiheiten der vielen Millionen Nutzerinnen und Nutzer sichern, die deutschlandweit ihre Zustimmung zu den Nutzungsbedingungen geben. Es gilt, Nachteile und Schäden, die mit einem derartigen Black-Box-Verfahren verbunden sind, zu verhindern“, erläutert Prof. Dr. Johannes Caspar, der Hamburgische Beauftragter für Datenschutz und Informationsfreiheit. Die Datenschutz-Skandale der letzten Jahre von „Cambridge Analytica“ bis hin zu dem kürzlich bekanntgeworden Datenleck, von dem mehr als 500 Millionen „Facebook“-Nutzer betroffen gewesen seien, zeigten das Ausmaß und die Gefahren, welche von einer massenhaften Profilbildung ausgingen.
Dies betreffe nicht allein die Privatsphäre, sondern auch die Möglichkeit, Profile zur Beeinflussung von Wählerentscheidungen einzusetzen, um demokratische Entscheidungen zu manipulieren. Die Gefahr sei angesichts von fast 60 Millionen Nutzern von „WhatsApp“ mit Blick auf die in Deutschland im September 2021 anstehenden Bundestagswahlen umso konkreter, da diese Begehrlichkeiten nach Beeinflussung der Meinungsbildung seitens der Anzeigekunden von Facebook wecken würden.
Die nun erlassene Anordnung beziehe sich auf die Weiterverarbeitung von „WhatsApp“-Nutzerdaten und richte sich an die Adresse von Facebook. Die weltweite Kritik gegen die neuen Nutzungsbedingungen sollte Anlass geben, den Zustimmungsmechanismus noch einmal grundlegend zu überdenken: „Ohne Vertrauen der Nutzerinnen und Nutzer kann auf Dauer kein auf Daten gegründetes Geschäftsmodell erfolgreich sein.“ Aufgrund des beschränkten Zeitrahmens der Anordnung im Dringlichkeitsverfahren von lediglich drei Monaten wird der HmbBfDI demnach eine Befassung durch den Europäischen Datenschutzausschuss (EDSA) beantragen, um eine Entscheidung auf europäischer Ebene herbeizuführen.

Weitere Informationen zum Thema:

datensicherheit.de, 13.04.2021
Neue WhatsApp-Nutzungsbedingungen: Dringlichkeitsverfahren gegen Facebook / Facebook erhält im Rahmen einer Anhörung Gelegenheit zur Stellungnahme

datensicherheit.de, 07.04.2021
Facebook-Datenleck: Maßnahmen gegen drohenden Identitätsdiebstahl / Persönliche Daten von 533 Millionen Facebook-Nutzern, einschließlich Telefonnummern, online geleakt

datensicherheit.de, 06.04.2021
Vorsicht vor Smishing: Datendienbstahl bei Facebook sollte Warnung sein / Jacinta Tobin erläutert Smishing – Cyber-Angriffe via SMS – und gibt Sicherheitstipps