Oder auch: WhatsApp und Facebook reloaded – wie effektiv ist die EU-Abstimmung der Aufsichtsbehörden nach der DSGVO?
Nicht lange ist es her, da regte sich ganz erheblicher Widerstand aus Nutzerkreisen gegen eine Ankündigung von Facebook: Die Nutzungsbedingungen von WhatsApp sollten geändert werden. Mit einer verpflichtenden Datenweitergabe an Facebook. Sichtbare Folge war ein enormer Anstieg der Nutzerzahlen alternativer Angebote wie Threema oder Signal. Und auch die Datenschützer sind aktiv geworden – wieder einmal aus dem hohen Norden: Der Hamburgische Datenschutzbeauftragte leitete ein Dringlichkeitsverfahren ein. Aufgrund des EU-Sitzes der Unternehmen in Irland sind seine Befugnisse begrenzt. Die EU-Gruppierung aber hat nun ein Einschreiten abgelehnt. Aber der Reihe nach:
Der Zusammenschluss der europäischen Datenschutzaufsichtsbehörden, der Europäische Datenschutzausschuss (EDSA), hat im Juli 2021 in einer Verbindlichen Entscheidung die Ergreifung von endgültigen Maßnahmen zur Sicherstellung der einheitlichen Anwendung der DSGVO gegenüber WhatsApp und dem Facebook-Konzern abgelehnt (Entscheidung 01/2021, hier abrufbar). Damit endet ein vom Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) eingeleitetes Dringlichkeitsverfahren über die Untersagung des Datenaustausches zwischen Facebook und WhatsApp.
Unzulässige Datenweitergabe an Facebook?
Wie der HmbBfDI in seiner Pressemitteilung aus April 2021 mitteilte, zielte das Verfahren darauf ab, dem Facebook-Konzern die Weitergabe und Nutzung der über den Messenger-Dienst WhatsApp gesammelten Daten zu eigenen Zwecken zu untersagen. Zurück ging dies auf die Ankündigung des Konzerns Anfang 2021, die Nutzungsbedingungen und Datenschutzbestimmungen des Konzerns dahingehend zu ändern, dass die Weitergabe dieser Daten an die übrigen Unternehmen des Facebook-Konzerns, etwa die Plattformen Facebook und Instagram, zulässig ist. Die weitere Nutzung von WhatsApp wurde von der Akzeptanz der geänderten Nutzungsbedingungen abhängig gemacht.
Der HmbBfDI äußerte die Befürchtung, durch den erweiterten Datenaustausch könnten die Daten nicht nur für Produktverbesserungs- und Analysezwecke, sondern auch für Marketing und Direktwerbung genutzt werden. Die deutsche Datenschutzaufsichtsbehörde kritisierte auch, dass die federführend zuständige irische Datenschutzaufsichtsbehörde bisher den Datenaustausch zwischen WhatsApp und dem Mutterkonzern nicht genauer untersucht hätte. In der Kombination sah der HmbBfDI die Möglichkeit der unzulässigen Durchsetzung eines massenhaften Datenaustausch und leitete deshalb ein Dringlichkeitsverfahren nach Art. 66 Abs. 1 DSGVO ein. Dieses fand seinen Abschluss mit einem vorläufigen Verbot der Weiterverarbeitung der WhatsApp-Nutzerdaten deutscher Kunden durch den Facebook-Konzern (Pressemitteilung).
Das Dringlichkeitsverfahren nach Art. 66 Abs. 1 DSGVO stellt ein Mittel zum kurzfristigen Einschreiten von Aufsichtsbehörden dar, die einen dringenden Handlungsbedarf zum Schutz der Rechte und Freiheiten von Betroffenen sehen. Hierzu können die Aufsichtsbehörden für ihren Zuständigkeitsbereich einstweilige Maßnahmen mit einer Geltungsdauer von höchstens drei Monaten erlassen. Dabei ist der HmbBfDI nur für Deutschland die für den Facebook-Konzern zuständige Aufsichtsbehörde; die federführende Aufsicht hat die irische Datenschutzaufsichtsbehörde, die Data Protection Commission (DPC), inne. DPC und Facebook konnten zum Vorgehen des HmbBfDI sodann umfassend Stellung nehmen, bevor sodann der EDSA über die Verhängung endgültiger, bindender Maßnahmen zu entscheiden hatten.
Unzureichende Informationen für endgültige Entscheidung
Der EDSA hat nun mit der Verbindlichen Entscheidung 01/2021 im Juli 2021 die endgültige Entscheidung in diesem Verfahren getroffen: Es werden keine Maßnahmen gegen Facebook ergriffen. Zwar vermutete der EDSA, dass der Facebook-Konzern und WhatsApp die über WhatsApp gesammelten Nutzerdaten als gemeinsame Verantwortliche für jeweils eigene Zwecke auch schon vor der Änderung der Nutzungsbedingungen verarbeiteten. Auch bei der derzeitigen Datenweitergabe und -Verarbeitung zwischen den Konzernen sieht der EDSA die Möglichkeit eines DSGVO-Verstoßes als gegeben. Weil aber bisher keine umfassende Untersuchung in die Verarbeitungspraxis durchgeführt wurde, fehlte es dem EDSA an eindeutigen Informationen, sodass ein Verstoß gegen die DSGVO nicht mit Sicherheit angenommen werden konnte. Deshalb wurden keine endgültigen Maßnahmen gegen die Unternehmensgruppe ausgesprochen.
Kontrollauftrag für DPC und weitere Entscheidungen im Kohärenzverfahren
Damit steht indes weiterhin nicht fest, dass das Verhalten von Facebook und WhatsApp datenschutzrechtlich zulässig ist. Es mangelte letztlich aus Sicht des EDSA lediglich an Nachweisen für einen DSGVO-Verstoß. Folgerichtig gab der EDSA denn auch der zuständigen DPC auf, eine Untersuchung der Datenverarbeitung zwischen WhatsApp und dem Facebook-Konzern durchzuführen. Sollte diese zu dem Ergebnis kommen, dass tatsächlich ein Verstoß gegen die DSGVO-Vorschriften vorliegt, wären umfassende Aufsichtsmaßnahmen zu ergreifen.
Fast zeitgleich erging auch ein weiterer Verbindlicher Beschluss des EDSA, dieses Mal in einem Kohärenzverfahren nach Art. 65 Abs. 1 DSGVO. Dieses Verfahren dient dazu, Meinungsverschiedenheiten zwischen den europäischen Datenschutzaufsichtsbehörden – notfalls mit verbindlichen Entscheidungen – zu klären (ausführlich über das Verfahren und Auseinandersetzungen mit der DPC im Fall Twitter berichteten wir in unserem Newsletter aus Januar 2021). Wie der EDSA in einer Pressemitteilung Ende Juli (hier abrufbar) mitteilte, ging es in diesem Verfahren um eine DPC-Untersuchung der Einhaltung der Transparenzvorschriften (Betroffeneninformation) der Art. 12, Art. 13 und Art. 14 DSGVO durch WhatsApp aus Dezember 2020. Mehrere Aufsichtsbehörden hatten sich mit Einwendungen gegen die Entscheidung des DCP gewandt – mit Erfolg: Der EDSA verpflichtete nun die DPC, die Entscheidung gegenüber WhatsApp entsprechend den Beanstandungen der anderen Aufsichtsbehörden anzupassen. Die neue, überarbeite Entscheidung sollte die DPC in Kürze auf ihrer Website veröffentlichen.