Facebook darf Nutzerdaten von WhatsApp nicht verarbeiten
Das hat der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit per Verwaltungsanordnung bestimmt. Zuvor hatten Verbraucherschützer bereits eine Abmahnung verschickt und die EU-Wettbewerbskommisarin eine erneute Prüfung der Fusion angekündigt. Facebook-Chef Zuckerberg brach mit dem Datenabgleich ein vor zwei Jahren gegebenes Versprechen.
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit hat es Facebook per Verwaltungsanordnung in Deutschland untersagt, Daten von WhatsApp-Nutzern zu erheben und zu speichern. Diese Maßnahme war Ende August durch Veränderungen bei den Geschäftsbedingungen und den Datenschutzrichtlinen bei WhatsApp geplant worden. Bereits durch WhatsApp an Facebook übermittelte Daten muss das Unternehmen zudem löschen.
Johannes Caspar, der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, begründet die Verwaltungsanordnung damit, dass Facebook und WhatsApp selbstständige Unternehmen seien, die die Daten ihrer jeweiligen Nutzer auf Grundlage ihrer eigenen Nutzungs- und Datenschutzbedingungen verarbeiten. Nach dem Kauf von WhatsApp durch Facebook vor zwei Jahren hätten “sie öffentlich zugesichert, dass die Daten der Nutzer nicht miteinander ausgetauscht werden. Dass dies nun doch geschieht, ist nicht nur eine Irreführung der Nutzer und der Öffentlichkeit, sondern stellt auch einen Verstoß gegen das nationale Datenschutzrecht dar”, so Caspar in einer Pressemitteilung.
Wohl nicht mit deutschem Recht vereinbar ist auch das Vorhaben, dass ein Widerspruch dagegen nicht möglich ist: Wer die geänderten Nutzungsbedingungen nicht akzeptiert, kann den Dienst nicht mehr benutzen. In den neuen AGB heißt es: “Du stellst uns regelmäßig die Telefonnummern von WhatsApp-Nutzern und deinen sonstigen Kontakten in deinem Mobiltelefon-Adressbuch zur Verfügung. Du bestätigst, dass du autorisiert bist, uns solche Telefonnummern zur Verfügung zu stellen, (…)“. Begründet wird das damit, dass so “relevantere Werbung” für die Nutzer angezeigt werden könne.
Warum der Datenaustausch in der geplanten Forum unzulässig ist
Laut Caspar ist ein Austausch von Daten in der nun geplanten Form aber nur dann zulässig, wenn sowohl auf Seiten des Unternehmens, das die Daten liefert – in dem Fall WhatsApp – als auch bei dem Empfänger – in dem Fall Facebook – eine Rechtsgrundlage für den Datenaustausch vorliegt. “Facebook hat allerdings weder eine wirksame Einwilligung von den Nutzern von WhatsApp eingeholt, noch ist eine gesetzliche Grundlage für den Datenempfang vorhanden”, heißt es in der Pressemitteilung weiter.
Mit dem Datenschutz nicht vereinbar hält Caspar auch das Vorhaben, Kontaktdaten von Millionen von Personen, die bisher weder etwas mit Facebook noch mit WhatsApp zu tun hatten, aus den Adressbüchern der Nutzer zu WhatsApp hochzuladen. Diese “gigantische Menge von Daten” habe Facebook zwar eigenen Aussagen zufolge noch nicht erhoben.
Die Antwort von Facebook auf eine Anfrage von Caspar, “dass dies lediglich zur Zeit noch nicht erfolgt sei, gibt jedoch Anlass zur Sorge, dass das Ausmaß des Datenverstoßes noch massivere Auswirkungen nach sich ziehen wird.”
Wegen der geplanten Zusammenführung der Daten hatte bereits der Verbraucherzentrale Bundesverband (vzbv) Facebook abgemahnt . Die Verbraucherschützer kritisieren darüber hinaus so wie jetzt auch Caspar, dass auch die Nummern von lediglich im Telefonbuch der WhatsApp-Kunden gespeicherten Verbrauchern an die gesamte Facebook-Unternehmensgruppe übermittelt werden sollen.
Auch EU-Wettbewerbskommissarin will aktiv werden
Das Vorhaben von Facebook hatte zuvor auch schon die EU auf den Plan gerufen. Wettbewerbskommissarin Margrethe Vestager hatte angekündigt prüfen zu wollen, ob aufgrund der Veränderungen bei den Geschäftsbedingungen das Fusionskontrollverfahren neu aufgerollt werden muss.
Erst im Mai hatte WhatsApp im Streit um einen anderen Datenschutzaspekt eine Schlappe hinnehmen müssen. Das Kammergericht Berlin hatte damals entschieden, dass es nicht ausreicht, Nutzungsbedingungen und Datenschutzhinweise auf Englisch anzubieten. Sie müssen für deutsche Nutzer auf der Internetseite auch in Deutsch vorgehalten werden. Klaus Müller, Vorstand der klagenden Verbraucherzentrale Bundesverband (vzbv), bezeichnete das in einem Kommentar zu dem Urteil als ein “wichtiges Signal an andere international handelnde Unternehmen.”
In seiner Pressemitteilung begründet Caspar die Zuständigkeit seiner Behörde mit Verwies auf ein Urteil des EuGH vom Juli. Darin wurde bestätigt, dass nationales Datenschutzrecht anwendbar ist, wenn ein Unternehmen im Zusammenhang mit einer nationalen Niederlassung Daten verarbeitet. “Dies tut Facebook in Deutschland durch seine Niederlassung in Hamburg, die das deutschsprachige Werbegeschäft betreibt”, so Caspar. Facebook beruft sich aber regelmäßig auf den Sitz in Irland und möchte für sich das dort geltende, Recht in Anspruch nehmen. Beobachter und Experten gehen daher davon aus, dass auch in dem Fall Facebook wieder alle Rechtsmittel ausschöpfen wird.
Tipp: Wie gut kennen Sie Soziale Netzwerke? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.