Vorerst bestätigt: Verbot des Datenaustauschs zwischen WhatsApp und Facebook

Untersagter Massendatenabgleich auf HmbBfDI-Anordnung

[datensicherheit.de, 25.04.2017] Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) meldet, dass das Verwaltungsgericht Hamburg mit seiner Entscheidung am 25. April 2017 im vorläufigen Rechtsschutzverfahren bestätigt hat, dass WhatsApp die Daten deutscher Nutzer nicht an Facebook übermitteln darf.

Zusicherung verletzt: Einführung neuer Nutzungsbedingungen bei WhatsApp

Die Entscheidung sei Gegenstand einer HmbBfDI-Anordnung. Der Facebook Ireland Ltd. sei demnach untersagt worden, die Telefonnummer sowie weitere personenbezogene Daten von WhatsApp-Nutzern zu erheben und zu speichern, wenn die Betroffenen nicht wirksam eingewilligt haben.
Facebook und WhatsApp seien selbstständige Unternehmen, welche die Daten ihrer jeweiligen Nutzer auf Grundlage ihrer eigenen Nutzungs- und Datenschutzbedingungen verarbeiteten. Nach dem Kauf von WhatsApp durch Facebook 2014 hätten die Unternehmen noch öffentlich zugesichert, dass die Daten der Nutzer nicht ohne deren wirksame Einwilligung ausgetauscht würden. Durch Einführung neuer Nutzungsbedingungen habe WhatsApp den Nutzern im August 2016 jedoch mitgeteilt, dass ihre Daten nun auch an Facebook übermittelt würden. Eine Wahl für die Nutzer bestehe dabei nicht.

Zum Schutz der Nutzer Sofortvollzug angeordnet

Der HmbBfDI hält diese Praxis nach eigenen Angaben für „rechtswidrig“ und hat daher den Datenaustausch im Anordnungsweg untersagt. Um die Nutzer effektiv zu schützen, sei der Sofortvollzug angeordnet worden. Sonst hätte die Gefahr bestanden, dass der Datenaustausch durchgeführt wird, solange Facebook Rechtsmittel zur Verfügung stehen.
Facebook habe gegen diese Anordnung im vorläufigen Rechtsschutzverfahren das Verwaltungsgericht angerufen. Ziel sei es gewesen, die sofortige Vollziehung aufheben zu lassen. Diesen Antrag habe das Gericht nun zurückgewiesen und inhaltlich klargestellt, dass es für den geplanten Datenaustausch keine rechtliche Grundlage sehe. Facebook könne sich nicht auf die Wahrung eigener Geschäftszwecke berufen, da der vollständige Datenaustausch weder zum Zweck der Netzsicherheit oder der Unternehmensanalyse noch zur Werbeoptimierung erforderlich sei. Ferner habe das Gericht klargestellt, dass keine wirksamen Einwilligungen der WhatsApp-Nutzer für einen Datenaustausch mit Facebook vorlägen.

Facebook verpflichtet, rechtmäßiges Einwilligungsverfahren einzuführen

Im Ergebnis nehme das Verwaltungsgericht im Rahmen des einstweiligen Rechtsschutzverfahren eine klare Abwägung vor: Danach würden die Interessen der ca. 35 Millionen deutschen WhatsApp-Nutzer höher gewichtet als das wirtschaftliche Interesse von Facebook an einer Aussetzung der sofortigen Vollziehbarkeit.
Die Frage nach der Anwendbarkeit des nationalen Rechts lasse das Gericht dabei teilweise offen, denn selbst für den Fall, dass nur irisches Recht anwendbar sein sollte, müsse EU-Datenschutzrecht befolgt werden. Facebook sei daher ohnedies verpflichtet, ein rechtmäßiges Einwilligungsverfahren einzuführen.
Der HmbBfDI, Johannes Caspar, kommentiert: „Nach diesem Beschluss wird es einen Massenabgleich der Daten inländischer Nutzerinnen und Nutzer zwischen WhatsApp und Facebook auch weiterhin nicht geben. Das ist eine gute Nachricht für die vielen Millionen Menschen, die täglich den Messenger-Dienst von WhatsApp in Deutschland nutzen. Sie sind nicht schutzlos. Das Gericht hat für eine im vorläufigen Rechtsschutzverfahren deutliche Weise herausgearbeitet, dass der geplante Datenaustausch dem nationalen Datenschutzrecht widerspricht.“
Diese Entscheidung habe erhebliche Ausstrahlungswirkung auch in Richtung EU. Denn dort gelte ja bereits heute mit der EU-Datenschutzrichtlinie – und ab Mai 2018 mit der Datenschutzgrundverordnung erst recht – ein vergleichbares Datenschutzniveau. Damit werde auch der Kritik vieler seiner Kollegen aus den anderen Mitgliedstaaten an dem geplanten Datenaustausch Rechnung getragen.
Einen Massenabgleich von Daten gegen den Willen Betroffener werde und dürfe es in der EU nicht geben.
„Ein ordnungsgemäßes und transparentes Einwilligungsverfahren, das die Rechte aller Betroffenen respektiert, ist der einzig gangbare Weg. Diese Linie werden wir auch im weiteren Verlauf des Verfahrens konsequent verfolgen“, betont Caspar.

Weitere Informationen zum Thema:

datensicherheit.de, 10.03.2016
facebook bleibt bei Klarnamenpflicht