Hamburg schreitet ein

Morgen treten die neuen Nutzungs- und Datenschutzbestimmungen von WhatsApp in Kraft, die den Nutzern noch weitergehend als bisher die Kontrolle über ihre Daten entziehen. Am Dienstag hat der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) eine Anordnung erlassen, die Facebook Ireland Ltd. untersagt, personenbezogene Daten von WhatsApp zu verarbeiten, soweit dies zu eigenen Zwecken erfolgt. Das war ein ungewöhnlicher Schritt, da eigentlich die Irische Datenschutzaufsichtsbehörde federführende Aufsichtsbehörde über Facebook ist. Er war aber richtig, wenn das europäische Datenschutzrecht einheitlich und effektiv in Europa durchgesetzt werden soll.

Eine Anordnung, drei Rechtsfragen

In den letzten Monaten wurden die Nutzer von WhatsApp regelmäßig aufgefordert, den neuen Nutzungs- und Datenschutzbestimmungen zuzustimmen, um den Messengerdienst auch weiterhin nutzen zu können. Die Änderungen sollten ursprünglich bereits Anfang des Jahres in Kraft treten, wurden aber nach heftigen Protesten der Nutzer und einer massiven Abwanderung zu anderen Anbietern von Seiten des Unternehmens auf den morgigen Samstag verschoben. Diejenigen Nutzer, die ihre Zustimmung zu den neuen Nutzungs- und Datenschutzbestimmungen versagen, können zwar für einen Übergangszeitraum von ein paar Wochen noch auf die grundlegenden Funktionen von WhatsApp zugreifen, müssen sich danach aber nach alternativen Plattformen umschauen, da keine Anrufe oder Benachrichtigungen mehr zugestellt werden, wie es in den FAQ auf der WhatsApp-Webseite heißt.

Diesem Gebaren ist nun der HmbBfDI entgegengetreten. Er hat gegenüber der Facebook Ireland Ltd. am Dienstag eine Anordnung erlassen und deren sofortige Vollziehung angeordnet. Facebook ist es nunmehr untersagt, personenbezogene Daten von WhatsApp zu verarbeiten, soweit dies zu eigenen Zwecken erfolgt. Die Entscheidung des HmbBfDI, in der die neuen Nutzungs- und Datenschutzbestimmungen von WhatsApp kritisch analysiert werden, weist dabei drei rechtlich höchst interessante Aspekte auf:

Erstens stelle die Zustimmung zu den neuen Nutzungs- und Datenschutzbestimmungen keine wirksame datenschutzrechtliche Einwilligung (Art. 6 Abs. 1 lit. a iVm Art. 7 DSGVO) dar, da die Nutzer ihre Zustimmung unter Zwang erteilen müssten. Zweitens könne Facebook auch kein berechtigtes Interesse an der Verarbeitung der Daten der WhatsApp-Nutzer geltend machen, da die Rechte und Freiheiten der Nutzer dieser entgegenstünden. Und drittens wurde die Anordnung im sogenannten Dringlichkeitsverfahren nach Art. 66 DSGVO erlassen, womit dieses Instrument seit Geltung der DSGVO erstmalig zur Anwendung kommt und der HmbBfDI damit auch – wenigstens indirekt – das Nicht-Tätigwerden der zuständigen Irischen Datenschutzaufsichtsbehörde rügt.

Die neuen Nutzungs- und Datenschutzbestimmungen

Um im Detail nachzuvollziehen, welche Änderungen mit den neuen Nutzungs- und Datenschutzbestimmungen einhergehen, ist ein erheblicher Aufwand erforderlich, denn dazu muss man sich als Nutzer überhaupt erst einmal durch die neuen Nutzungs- und Datenschutzbestimmungen durchkämpfen (eine Kurzanalyse findet sich hier). Diese sind aber auf unterschiedlichen Ebenen verstreut, nicht präzise und auch in ihrer europäischen und internationalen Version schwer auseinanderzuhalten. Jedenfalls fällt durch die Änderung künftig die Möglichkeit weg, dass Nutzer der Weitergabe ihrer Daten zu anderen Facebook-Unternehmen widersprechen können. WhatsApp erhebt, speichert und gibt künftig Geräte- und Verbindungsdaten, Standortinformationen sowie Daten von Dritten (!) – etwa die eingespeicherten Kontaktdaten im Telefonbuch, auch wenn diese selbst gar nicht bei WhatsApp sind – weiter. Wer gar über WhatsApp mit Unternehmen schreibt, die mit Facebook zusammenarbeiten, gibt nicht nur seine Metadaten, sondern auch den Inhalt der Kommunikation preis. Um diese Datenverarbeitungen zu legitimieren, verweist WhatsApp in seinen Datenschutzbestimmungen pauschal auf alle Rechtsgrundlagen der DSGVO zur Datenverarbeitung (Art. 6 Abs. 1 lit. a – lit. f DSGVO). Man mag sich fragen, welche lebenswichtigen Interessen (Art. 6 Abs. 1 lit. d DSGVO) oder welches öffentliche Interesse (Art. 6 Abs. 1 lit. e DSGVO) WhatsApp mit der Datenweitergabe verfolgt. Die Untauglichkeit dieser Rechtsgrundlagen ist offensichtlich.

Der Zwang zur Einwilligung

Der HmbBfDI verneint in seiner Entscheidung zudem zu Recht das Vorliegen einer datenschutzkonformen Einwilligung nach Art. 6 Abs. 1 lit. a iVm Art. 7 DSGVO als taugliche Rechtsgrundlage für die Datenverarbeitung. Denn eines ihrer Wesensmerkmale ist die freiwillige Erteilung. An einer solchen fehlt es aber, sofern eine bloß „scheinbare Freiwilligkeit“ gegeben ist, wovon insbesondere in asymmetrischen Machtverhältnissen auszugehen ist.

Bei der Bewertung der Freiwilligkeit der Einwilligung lassen sich grundsätzlich drei Nutzertypen unterschieden. Ein Teil der Whatsapp-Nutzer wird die Einwilligung ausdrücklich ablehnen, sieht sich dann aber mit der Konsequenz konfrontiert, auf eine andere Messenger-App umsteigen zu müssen. Ein weiterer Teil wird in Kenntnis der neuen Nutzungs- und Datenschutzbestimmungen ausdrücklich zustimmen und keine Bedenken gegenüber den intransparenten Datenverarbeitung haben. Die große Mehrzahl der Nutzer wird in reinem Fatalismus oder Gleichgültigkeit – ähnlich der mittlerweile auf jeder Webseite auftauchenden Cookie-Einwilligungen, die man ohne den Text überhaupt zu lesen akzeptiert – ihre Zustimmung erteilen, da man ohnehin zustimmen müsse, weil alle Freunde und Bekannte WhatsApp eben auch nutzen und man andernfalls mit ihnen nicht mehr kommunizieren könne. Zwar mag die innere Haltung des Einwilligenden von Gleichgültigkeit geprägt sein, dennoch nimmt er eine nach außen sichtbare Handlung vor, die ihrerseits jedoch auf fatalistischen Motiven beruht. Eine derartige Zustimmung kann allerdings niemals eine Einwilligung im datenschutzrechtlichen Sinn darstellen. Denn andernfalls würde das Instrument der Einwilligung ausgehöhlt, nutzlos und seiner Funktion beraubt, die informationelle Selbstbestimmung zu sichern. Dieser Fatalismus beruht einzig und allein auf der strukturellen Überlegenheit monopolartiger Intermediäre. Hinzu kommt, dass die Zustimmung zu den neuen Bestimmungen Bedingung dafür ist, WhatsApp weiternutzen zu können. Hier wird dem Nutzer aber sprichwörtlich „die Pistole auf die Brust gesetzt“, denn eine freie Wahl hat er so jedenfalls nicht. Und schließlich werden auch die besonderen, strengen Voraussetzungen für die Einwilligung von Kindern in die Datenverarbeitung (Art. 8 DSGVO) überhaupt nicht berücksichtigt. Wie stellt WhatsApp sicher, dass die Einwilligung bei unter 16-Jährigen durch die Erziehungsberechtigten erfolgt (Art. 8 Abs. 1 S. 2 DSGVO)?

Kein berechtigtes Interesse

Richtigerweise verneint der HmbBfDI auch die Rechtmäßigkeit einer Datenverarbeitung aufgrund eines berechtigten Interesses von Facebook nach Art. 6 Abs. 1 lit. f DSGVO. Die Norm setzt eine Abwägung der Interessen von WhatsApp und den Nutzern voraus, wobei die Datenverarbeitung auf Seiten von WhatsApp zudem auch erforderlich sein muss. Es ist somit die Aufgabe von WhatsApp darzulegen, weshalb die Änderungen der Nutzungs- und Datenschutzbestimmungen zum jetzigen Zeitpunkt tatsächlich notwendig sind (vgl. Art. 5 Abs. 2 DSGVO), um die ausgeweiteten Datenverarbeitungen zu legitimieren. Das ist Facebook zum jetzigen Zeitpunkt offensichtlich nicht gelungen. Wirklich überraschen mag das allerdings nicht, weil die Funktionalitäten von WhatsApp auch ohne die nun vorgesehenen erweiterten Datenverarbeitungen funktioniert haben. Weshalb jetzt weitere und umfangreichere Datenverarbeitungen und damit tiefergehende Grundrechtseingriffe erforderlich sind, bleibt ein Geheimnis. Insgesamt erweisen sich die mit den Nutzungs- und Datenschutzbestimmungen verbundenen Neuerungen als intransparent und nehmen die Interessen der Nutzer nicht in den Blick. Die neuen Bestimmungen sollen ausschließlich dazu beitragen, dass die ohnehin schon bestehenden engen Verbindungen zwischen Facebook und seinen weiteren Konzerngruppen weiter ausgebaut und intensiviert werden.

Das erste Dringlichkeitsverfahren nach Art. 66 DSGVO

Zu guter Letzt lohnt sich ein Blick darauf, dass hier zum ersten Mal ein Dringlichkeitsverfahren durchgeführt wird. Art. 66 DSGVO ermöglicht der zuständigen Aufsichtsbehörde, eigenständige Maßnahmen zu ergreifen, ohne diese zuvor mit den anderen betroffenen Aufsichtsbehörden abzustimmen. Für Facebook und dessen Tochtergesellschaften ist in Europa grundsätzlich die Irische Datenschutzaufsichtsbehörde federführende Aufsichtsbehörde (Art. 60 Abs. 1 DSGVO). Allerdings kann unter außergewöhnlichen Umständen auch eine betroffene Aufsichtsbehörde in ihrem Hoheitsgebiet einstweilige Maßnahmen mit festgelegter Geltungsdauer von höchstens drei Monaten treffen, wenn die Aufsichtsbehörde zu der Auffassung gelangt, dass dringender Handlungsbedarf besteht.

Solche außergewöhnlichen Umstände und einen dringenden Handlungsbedarf sah der HmbBfDI im vorliegenden Fall als gegeben an. Denn die neuen Nutzungs- und Datenschutzbestimmungen treten zum morgigen Samstag in Kraft, ohne dass die primär zuständige Irische Datenschutzaufsichtsbehörde überhaupt eine Untersuchung über die tatsächliche Praxis der Datenweitergabe und -nutzung angestrengt hat. Damit wird einmal mehr das zögerliche und zurückhaltende Agieren der Irischen Datenschutzaufsicht deutlich, das auch schon den Bundesdatenschutzbeauftragten mehrfach zu deutlicher Kritik veranlasst hat. Dabei hat die Irische Datenschutzaufsichtsbehörde unter den nationalen europäischen Aufsichtsbehörden aber eine besonders prominente Stellung, da sie für zahlreiche Tech-Konzerne zuständig ist, die ihre Niederlassungen in Irland haben. Wenn sie trotz ihrer besonderen Stellung nicht angemessen tätig wird, wirft das allerdings Fragen auf. Entweder weist sie strukturelle Defizite auf, dann liegt es an der Irischen Regierung diesen entgegenzuwirken, oder aber andere Gründe sind für das zaghafte Handeln verantwortlich. Dann liegt es an den europäischen Partnern, dies zur Sprache zu bringen. Denn offensichtlich gibt es für Facebook gute Gründe, sich in Irland niederzulassen. Neben den bekannten steuerlichen Gründen könnte das ein zaghafter Vollzug der Europäischen Datenschutzregelungen sein. Es ist daher konsequent, dass durch das Dringlichkeitsverfahren auch andere europäische Datenschutzbehörden tätig werden können, sodass das (Nicht-)Handeln der Irischen Datenschutzaufsichtsbehörde in den Fokus rückt und eine Befassung durch den Europäischen Datenschutzausschuss (EDSA) herbeigeführt wird. Nur so lässt sich das europäische Datenschutzrecht einheitlich und effektiv anwenden und durchsetzen.

Die Konsequenzen

Kommt Facebook der Anordnung nicht nach – und danach sieht es derzeit jedenfalls aus –, kann der HmbBfDI in einer nächsten Eskalationsstufe auf die umfangreichen Befugnisse nach Art. 58 DSGVO zurückgreifen, die auch die Verhängung einer erheblichen Geldbuße (Art. 83 DSGVO) vorsehen.

Für die Nutzer von WhatsApp haben die offensichtlich rechtswidrigen Datenverarbeitungen in tatsächlicher Hinsicht zunächst keine Konsequenzen. Wer sich den neuen Nutzungs- und Datenschutzbestimmungen verweigert, wird sich nach einer alternativen Messenger-App umsehen müssen. Alle anderen Nutzer können WhatsApp auch weiterhin nutzen, sollten allerdings gewarnt sein, dass ihre Daten künftig wesentlich stärker zwischen verschiedenen Unternehmen, die zu Facebook gehören, geteilt werden, die Datenverarbeitungen weiterhin völlig intransparent bleiben und sie kaum mehr Kontrolle über ihre Daten und ihre Kontakte haben. Daher ist es zu begrüßen, dass der HmbBfDI für die Beachtung und Einhaltung der europäischen Datenschutzvorschriften streitet und diese auch konsequent gegenüber Facebook durchsetzt. Andernfalls würde das europäische Datenschutzrecht zu einem zahnlosen Tiger verkommen. Daran kann aber niemand ein ernsthaftes Interesse haben.