Nachdem die irische Datenschutzbehörde (Data Protection Commissioner, kurz: DPC) gleich zu Beginn des Jahres ihre Entscheidungen in den Verfahren gegen Facebook und Instagram veröffentlicht hatte, gab sie nun einige Wochen später eine Entscheidung in einem Verfahren gegen WhatsApp bekannt. Darin bestätigt die Behörde, dass WhatsApp seit Jahren personenbezogenen Daten seiner Nutzer verarbeitet, ohne dass dafür eine Einwilligung oder der Tatbestand anderer Rechtsgrundlagen vorgelegen habe. Für dieses Vorgehen wurde der Messenger-Dienst mit einem Bußgeld in Höhe von 5,5 Millionen Euro belegt. Einige Datenschützer, allen voran Maximilian Schrems, kritisieren die Entscheidung.

 

Das Wichtigste in Kürze

  • Noyb reichte am 25. Mai 2018 im Namen eines deutschen Nutzers Beschwerde gegen WhatsApp bei der irischen Datenschutzbehörde ein.
  • Konkret ging es um Datenverarbeitungen auf Grundlage der Zustimmung zu aktualisierten Nutzungsbedingungen sowie die Transparenz der Informationen, die WhatsApp seinen Nutzern zur Verfügung stellte.
  • Die irische Datenschutzbehörde hat festgestellt, dass eine weitergehende Verarbeitung von Nutzerdaten durch WhatsApp auf Grundlage des Nutzungsvertrages unrechtmäßig ist.
  • Die Kernprobleme der Datenverarbeitung bei WhatsApp hat der DPC trotz einer ausdrücklichen Aufforderung des EDSA nicht untersucht.

 

Hintergrund

Nachdem die Nichtregierungsorganisation None of your business (Noyb) rund um den Datenschutzaktivisten Max Schrems von einem betroffenen Nutzer aus Deutschland um Unterstützung ersucht wurde, reichte sie am 25. Mai 2018 – am selben Tag des Inkrafttretens der Datenschutzgrundverordnung – im Namen des Nutzers Beschwerde bei der zuständigen Datenschutzbehörde ein. In der Beschwerde wurde WhatsApp vorgeworfen, die Zustimmung zu den damals neuen Nutzungsbedingungen als rechtliche Grundlage für die Verarbeitung von Nutzerdaten verwendet zu haben, ohne dass die Nutzer hinreichend darüber belehrt wurden und ohne, dass sie eine solche Verarbeitung ablehnen konnten. Zudem trug die Organisation vor, dass unklar sei, ob sich die Betreiberin auf die Einwilligung der Nutzer oder auf Vertrag als Rechtsgrundlage für die stattfindenden Verarbeitungen berief, und dass jedenfalls keine der beiden Rechtsgrundlagen einschlägig sei.

 

Erforderlichkeit der Datenverarbeitung zur Erfüllung des Nutzungsvertrages

Am Tag vor dem Inkrafttreten der DSGVO forderte WhatsApp alle Nutzer dazu auf, aktualisierte Nutzungsbedingungen zu akzeptieren, um den Messenger weiterhin nutzen zu können. Anschließend berief sich der Messenger-Dienst auf die erteilte Zustimmung in die neuen Nutzungsbedingungen und gab vor, dass die Verarbeitung der Nutzdaten erforderlich sei, um die Dienste bereitzustellen und den Vertrag mit dem Nutzer erfüllen zu können.

Die DSGVO fordert für die Verarbeitung personenbezogener Daten stets eine Rechtsgrundlage. Zwar kommt ein Vertrag generell als rechtliche Grundlage für die Verarbeitung personenbezogener Daten in Betracht. Da Tracking und Online-Werbung für die Bereitstellung eines Messenger-Dienstes jedoch nicht erforderlich sind, ist die Datenverarbeitung zu diesen Zwecken nur auf Grundlage einer freiwilligen Einwilligung der Nutzer zulässig. WhatsApp versuchte gezielt dieses Erfordernis zu umgehen, indem das Unternehmen Tracking- und Werbemaßnahmen als Teil der Dienste ausgelegt hat, die vertraglich geschuldet sind.

 

Unfreiwillige Einwilligung in die Datenverarbeitung zu Werbezwecken

Der Messenger-Dienst hat die Zustimmung in die weitgehende Datenverarbeitung sowie die erforderlichen Datenschutzhinweise bewusst in ihre Allgemeinen Geschäftsbedingungen eingebaut, um sich später auch auf die Rechtsgrundlage der Vertragserfüllung berufen zu können und so gezielt das Einwilligungserfordernis der DSGVO zu umgehen. Auf eine freiwillige und informierte Einwilligung, wie sie die DSGVO fordert, konnte sich WhatsApp aufgrund des intransparenten Vorgehens nicht berufen. WhatsApp-Nutzer haben mit der Zustimmung in die neuen Nutzungsbedingungen – wenn überhaupt – nur unwissentlich in eine weitergehende Verarbeitung ihrer persönlichen Informationen für verhaltensbezogene Werbung, für Marketingzwecke sowie für die Bereitstellung von Statistiken an Dritte und den Austausch von Daten mit verbundenen Unternehmen eingewilligt.

 

Entscheidungsentwurf des DPC

In einem ersten Entscheidungsentwurf, der sich an eine Untersuchung anschloss, befand die irische Datenschutzbehörde diese Umgehung der DSGVO durch WhatsApp für rechtmäßig. Daraufhin brachten sechs Datenschutzbehörden, darunter auch der deutsche Bundesbeauftragte für Datenschutz und die Informationsfreiheit, Einwände gegen dieses Ergebnis vor.

 

Beschluss des EDSA im Streitbeilegungsverfahren

Schließlich nahm sich der Europäische Datenschutzausschuss dem Streitfall an und bestätigte die Einwände. Im Rahmen seiner Untersuchungen stellte das Gremium fest, dass WhatsApp sich unzulässigerweise auf die Vertragserfüllung für die Verarbeitung der personenbezogenen Daten seiner Nutzer gestützt hat. In seinem Streitbeilegungsbeschluss vom 05. Dezember 2022 wies der EDSA die irische Behörde konkret an, ihren Entscheidungsentwurf im Hinblick auf die Feststellungen zur Rechtmäßigkeit sowie Transparenz der Datenverarbeitung und die vorgesehenen Abhilfemaßnahmen zu überarbeiten. Zudem sollte die Behörde weitere Untersuchungen zu den Kernverstößen wie die Datenverwendung für verhaltensbezogene Werbung sowie die Datenweitergabe an Dritte und den Austausch von Daten mit verbundenen Unternehmen durchführen.

 

Endgültige Entscheidung des DPC

Zu Beginn des Jahres gab der DPC schließlich den Abschluss seiner Untersuchung in der Sache WhatsApp bekannt und veröffentlichte die entsprechende Entscheidung. Zum einen hat der DPC einen Verstoß gegen die Transparenzpflichten bejaht, da die Nutzer nicht hinreichend darüber informiert worden seien, inwiefern eine Verarbeitung ihrer personenbezogenen Daten erfolgt und auf welcher Rechtsgrundlage dies geschieht. Ferner hat die Behörde festgestellt, dass die bisherige weitgehende Datenerhebung unter Berufung auf eine vertragliche Grundlage einen Verstoß gegen Art. 6 Abs. 1 DSGVO darstellt und daher unrechtmäßig ist. Neben einem Bußgeld in Höhe von 5,5 Mio. Euro ordnete die Behörde unter Fristsetzung Abhilfemaßnahmen an.

 

Noyb-Kritik: Irische Datenschutzbehörde unterstützt Umgehung der DSGVO

Datenschutzaktivist und Vorstandsvorsitzender der Organisation Noyb, Maximilian Schrems, beanstandet in einer kritischen Stellungnahme, dass der DPC die Kernprobleme der Datenverarbeitung bei WhatsApp trotz einer ausdrücklichen Aufforderung des EDSA nicht untersucht habe. Vielmehr habe der DPC die vom EDSA angeordnete weitergehende Untersuchung der Kernverstöße abgelehnt und klargestellt, dass es dem Gremium nicht zustehe, eine Behörde anzuweisen und anzuleiten, eine unbefristete und spekulative Untersuchung durchzuführen.

 

Datenweitergabe zu Werbezwecken bleibt unberücksichtigt

Nach Auffassung des Datenschützers ist es äußerst problematisch, dass die Behörde die Datenweitergabe zu Werbezwecken völlig außer Acht lässt. Auch wenn WhatsApp selbst keine personalisierte Werbung schalte, sei davon auszugehen, dass aufgrund der Zugehörigkeit zum US-Konzern Meta eine Übermittlung der Metadaten (Verbindungs- und Standortdaten) an Facebook und Instagram stattfindet. Metadaten ermöglichen einen Rückschluss auf das Kommunikationsverhalten der Nutzer, sodass der Konzern die gewonnenen Informationen anschließend verwenden könne, um personalisierte Werbung auf den anderen Meta-Plattformen (Facebook und Instagram) zu schalten.

 

 

Fazit

Weshalb die irische Datenschutzbehörde über vier Jahre lang gebraucht hat, um sich mit einer einfachen Rechtsfrage auseinanderzusetzen, ist insbesondere unter Berücksichtigung der Einwände der Datenschutzbehörden anderer EU-Staaten unerklärlich. Weder Noyb noch WhatsApp sind erfreut über den Ausgang des Verfahrens. WhatsApp beabsichtigt, die Entscheidung des DPC anzufechten, da das Unternehmen von der datenschutzrechtlichen Konformität seiner Dienste überzeugt ist. Abgesehen von der Nichtbeachtung der Kernprobleme rügt Noyb auch die Höhe des Bußgeldes. In Anbetracht der Tatsache, dass die Behörde erst kürzlich gegen Facebook und Instagram ein Bußgeld in Höhe von insgesamt 390 Mio. Euro ausgesprochen hat, welches bereits als viel zu gering bewertet wird, fallen die 5,5 Mio. Euro, die WhatsApp zu zahlen hat, recht milde aus. Nachdem WhatsApp die DSGVO jahrelang durch Unterstützung der irischen Behörde sehr weit auslegen konnte, muss der Messenger-Dienst zukünftig Nutzereinwilligungen einholen, wenn die breitgefasste Verarbeitung von Nutzdaten zu Produktverbesserungszwecken fortgesetzt werden soll. Die Verarbeitung von Nutzerdaten zu Sicherheitszwecken bleibt weiterhin auch ohne Einwilligung rechtlich zulässig, auch wenn der Vertrag dahingehend keine Regelung vorsieht.

 

„>

Kontakt aufnehmen