Skip to content

HmbBfDI verbietet Facebook personenbezogene Daten von WhatsApp zu eigenen Zwecken zu verarbeiten - auch sofortiger Vollzug angeordnet

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) hat Facebook per Anordnung verboten, personenbezogene Daten von WhatsApp zu eigenen Zwecken zu verarbeiten. Es wurde auch der sofortige Vollzug angeordnet.

Die Pressemitteilung des Gerichts:

Anordnung des HmbBfDI: Verbot der Weiterverarbeitung von WhatsApp-Nutzerdaten durch Facebook

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) hat eine Anordnung erlassen, die der Facebook Ireland Ltd. verbietet, personenbezogene Daten von WhatsApp zu verarbeiten, soweit dies zu eigenen Zwecken erfolgt. Der sofortige Vollzug wurde angeordnet. Dies erfolgt im Rahmen des Dringlichkeitsverfahrens der Datenschutzgrundverordnung (DSGVO), das den Erlass von Maßnahmen mit einer begrenzten Geltungsdauer im jeweiligen Hoheitsgebiet vorsieht.

Hintergrund des Verfahrens ist die Aufforderung an alle Nutzerinnen und Nutzer von WhatsApp, den neuen Nutzungs- und Privatsphärebestimmungen bis zum 15. Mai zuzustimmen. Damit lässt sich WhatsApp weitreichende Befugnisse für eine Datenweitergabe an Facebook einräumen.

Mit den neuen Bedingungen werden die Befugnisse zur Datenverarbeitung formal erneuert und künftig inhaltlich erweitert. Das betrifft u.a. die Auswertung von Standortinformationen, die Weitergabe von Kommunikationsdaten der Nutzer von Unternehmen auf WhatsApp an Drittunternehmen ausdrücklich mit Hinweis auf Facebook, den zusätzlichen Zweck der Sicherstellung der Integrität der Dienste sowie die unternehmensübergreifende Verifizierung des Accounts, um den Dienst auf „angemessene Weise“ zu nutzen. Ferner wird die Nutzung der Daten zur Verbindung mit Produkten von Facebook-Unternehmen eröffnet. Ein berechtigtes Interesse für die Datenverarbeitung bzw. für den Austausch der Daten wird künftig pauschal auch gegenüber minderjährigen Nutzern vorgebracht. Ferner fällt der bislang vorhandene Hinweis weg, dass WhatsApp-Nachrichten nicht für andere sichtbar auf Facebook geteilt werden.

Nach Auswertung des gegenwärtigen Sachstands und Anhörung der Facebook Ireland Ltd. fehlt für eine Verarbeitung durch Facebook zu eigenen Zwecken ungeachtet der von WhatsApp derzeit eingeholten Zustimmung zu den Nutzungsbedingungen eine ausreichende rechtliche Grundlage. Die Bestimmungen zur Datenweitergabe finden sich verstreut auf unterschiedlichen Ebenen der Datenschutzerklärung, sie sind unklar und in ihrer europäischen und internationalen Version schwer auseinanderzuhalten. Zudem sind sie inhaltlich missverständlich und weisen erhebliche Widersprüche auf. Auch nach genauer Analyse lässt sich nicht erkennen, welche Konsequenzen die Zustimmung für die Nutzerinnen und Nutzer hat. Ferner erfolgt die Zustimmung nicht aus freien Stücken, da WhatsApp die Einwilligung in die neuen Bestimmungen als Bedingung für die Weiternutzung der Funktionalitäten des Dienstes einfordert.

Datenschutzrechtliche Grundlagen, die eine eigenständige Verarbeitungsbefugnis durch Facebook begründen könnten, liegen vor diesem Hintergrund nicht vor. Insbesondere kann Facebook kein überwiegendes berechtigtes Interesse an der Verarbeitung der Daten von WhatsApp-Nutzerinnen und -Nutzern geltend machen, da deren Rechte und Freiheiten entgegenstehen. Die Zustimmung erfolgt weder transparent noch freiwillig. Das gilt in besonderer Weise für Kinder. Aus diesen Gründen kommt eine datenschutzrechtliche Einwilligung als Rechtsgrund nicht in Betracht. Die Verarbeitung der Daten der Nutzer von WhatsApp ist für Facebook auch nicht zur Durchführung eines Vertrages erforderlich.

Die Untersuchung der neuen Bestimmungen hat gezeigt, dass die enge Verbindung zwischen den beiden Unternehmen weiter ausgebaut werden soll, damit Facebook die Daten der WhatsApp-Nutzerinnen und -Nutzer jederzeit zu eigenen Zwecken verwenden kann. Für die Bereiche Produktverbesserung und Werbung behält sich WhatsApp die Weitergabe an Facebook-Unternehmen vor, ohne dass es hierzu noch einer Einwilligung der Betroffenen bedarf. In anderen Bereichen ist von einer Nutzung für eigene Zwecke nach Maßgabe der Datenschutzrichtlinie bereits derzeit auszugehen. Darin bzw. in den FAQ wird etwa beschrieben, dass für die Netzwerksicherheit und zur Verhinderung des Sendens von Spam bereits aktuell Daten der WhatsApp-Nutzer wie etwa Telefonnummern und Gerätekennungen zwischen den Unternehmen für gemeinsame Zwecke ausgetauscht werden. Eine Untersuchung der federführenden Aufsichtsbehörde über die tatsächliche Praxis der Datenweitergabe und -nutzung hat es bislang trotz unserer Aufforderung nicht gegeben.

Die Nutzerinnen und Nutzer werden von WhatsApp mit intransparenten Bedingungen für eine weitreichende Datenweitergabe konfrontiert. Gleichzeitig wird behauptet, die beschriebenen Verarbeitungen würden tatsächlich gar nicht ausgeführt, um sie dann zu einem späteren Zeitpunkt schrittweise auf Grundlage des auf Zustimmung der Nutzerinnen und Nutzer gegründeten Rechtsrahmens umzusetzen. Diese Strategie erfolgt gegenwärtig insbesondere bei der neu eingeführten Funktion des Business-Marketings, die es unter Einschluss von Facebook ermöglicht, zum Versenden von Direktwerbung und der Marketingkommunikation unternehmensübergreifend Daten zu verarbeiten. Insgesamt entspricht das Vorgehen sowohl mit Blick auf Datenverarbeitungen, die laut Datenschutzrichtlinie bereits derzeit ausgeführt werden, als auch solchen, die durch Facebook jederzeit umgesetzt werden können, nicht den Vorgaben der DSGVO.

Hierzu Johannes Caspar, Hamburgischer Beauftragter für Datenschutz und Informationsfreiheit: „Die Anordnung soll die Rechte und Freiheiten der vielen Millionen Nutzerinnen und Nutzer sichern, die deutschlandweit ihre Zustimmung zu den Nutzungsbedingungen geben. Es gilt, Nachteile und Schäden, die mit einem derartigen Black-Box-Verfahren verbunden sind, zu verhindern. Die Datenschutz-Skandale der letzten Jahre von „Cambridge Analytica“ bis hin zu dem kürzlich bekannt geworden Datenleck, von dem mehr als 500 Millionen Facebook-Nutzer betroffen waren, zeigen das Ausmaß und die Gefahren, die von einer massenhaften Profilbildung ausgehen. Das betrifft nicht allein die Privatsphäre, sondern auch die Möglichkeit, Profile zur Beeinflussung von Wählerentscheidungen einzusetzen, um demokratische Entscheidungen zu manipulieren. Die Gefahr ist angesichts von fast 60 Millionen Nutzerinnen und Nutzern von WhatsApp mit Blick auf die in Deutschland im September 2021 anstehenden Bundestagswahlen umso konkreter, da diese Begehrlichkeiten nach Beeinflussung der Meinungsbildung seitens der Anzeigekunden von Facebook wecken werden. Die nun erlassene Anordnung bezieht sich auf die Weiterverarbeitung von WhatsApp-Nutzerdaten und richtet sich an die Adresse von Facebook. Die weltweite Kritik gegen die neuen Nutzungsbedingungen sollte Anlass geben, den Zustimmungsmechanismus noch einmal grundlegend zu überdenken. Ohne Vertrauen der Nutzerinnen und Nutzer kann auf Dauer kein auf Daten gegründetes Geschäftsmodell erfolgreich sein.“

Aufgrund des beschränkten Zeitrahmens der Anordnung im Dringlichkeitsverfahren von lediglich drei Monaten wird der HmbBfDI eine Befassung durch den Europäischen Datenschutzausschuss (EDSA) beantragen, um eine Entscheidung auf europäischer Ebene herbeizuführen.

OVG Hamburg: Facebook darf personenbezogene Daten deutscher WhatsApp-Nutzer mangels ausreichender Einwillungserklärung nach deutschem Recht nicht verwenden

OVG Hamburg
Entscheidung vom 01.03.2018
5 Bs 93/17


Das OVG Hamburg hat im Rahmen eines Eilverfahrens entschieden, dass Facebook personenbezogene Daten deutscher WhatsApp-Nutzer mangels ausreichender Einwillungserklärung nach deutschem Recht nicht verwenden darf. Der Ausgang des Hauptsacheverfahrens sei - so das Gericht - jedoch offen. Im Eilverfahren würden jedoch jedenfalls die Interessen deutscher WhatsApp-Nutzer am Schutz ihrer personenbezogenen Daten überwiegen.

Die Pressemitteilung des Gerichts:

Vorerst weiter keine Verwendung personenbezogener Daten deutscher WhatsApp-Nutzer durch Facebook

Das Hamburgische Oberverwaltungsgericht hat entschieden, dass die Facebook Ireland Ltd. (Facebook) die personenbezogenen Daten deutscher WhatsApp-Nutzer vorerst nicht auf der Grundlage der bisher abgeforderten Einwilligung erheben und speichern darf (5 Bs 93/17). Damit bestätigt es die vorausgegangene Entscheidung des Verwaltungsgerichts Hamburg, das einen Eilantrag von Facebook gegen eine sofort vollziehbare Untersagungsverfügung des Hamburgischen Beauftragten für Datenschutz und Informationssicherheit (Datenschutzbeauftragter) abgelehnt hatte (13 E 5912/16).

Zur Begründung hat das Hamburgische Oberverwaltungsgericht im Wesentlichen ausgeführt: Es sei offen, ob die beanstandete Untersagungsverfügung rechtmäßig sei. Offen sei insbesondere, ob deutsches Datenschutzrecht zur Anwendung gelange und – wenn ja – ob der Datenschutzbeauftragte gegen Facebook mit Sitz in Irland vorgehen dürfe. In diesem Fall erweise sich die beanstandete Untersagung allerdings nicht als offensichtlich rechtswidrig. Denn die seit August 2016 abgeforderte Zustimmung der WhatsApp-Nutzer zu den neuen Nutzungsbedingungen und Datenschutzrichtlinien entspreche voraussichtlich nicht den deutschen Datenschutzvorschriften. Die vor diesem Hintergrund vorzunehmende Interessenabwägung führe zu einem Überwiegen der Interessen deutscher WhatsApp-Nutzer am Schutz ihrer personenbezogenen Daten.



VG Hamburg: Facebook darf personenbezogene Daten von WhatsApp-Nutzern nur bei Vorliegen einer ausreichenden Einwilligungserklärung nach deutschem Recht nutzen

VG Hamburg
Beschluss vom 24.04.2017
13 E 5912/16

Das VG Hamburg hat entschieden, dass Facebook personenbezogene Daten von WhatsApp-Nutzern nur bei Vorliegen einer ausreichenden Einwilligungserklärung nach deutschem Recht nutzen darf.

Den Volltext der Entscheidung finden Sie hier:

Die Pressemitteilung des VG Hamburg:

Verwaltungsgericht Hamburg entscheidet: Facebook darf vorerst personenbezogene Daten deutscher WhatsApp-Nutzer nur bei Vorliegen einer den deutschen Datenschutzvorschriften entsprechenden Einwilligung verwenden

Ende August 2016 hat WhatsApp Inc., die 2014 von der Facebook Unternehmensgruppe übernommen worden ist, eine Aktualisierung seiner Nutzungsbedingungen und Datenschutzrichtlinien bekannt gegeben, durch die eine - bis dahin nach den Nutzungsbedingungen nicht zugelassene - Weitergabe von personenbezogenen Daten an die Facebook Unternehmensgruppe vorgesehen ist. Mit sofort vollziehbarem Bescheid vom 23. September 2016 untersagte der Hamburgische Beauftragte für Datenschutz und Informationssicherheit (Datenschutzbeauftragte) der Facebook Ireland Ltd. (Facebook) - dem internationalen Hauptsitz der Facebook Unternehmensgruppe -, die personenbezogenen Daten deutscher WhatsApp-Nutzer zu erheben und zu speichern, soweit und solange ein den deutschen Datenschutzvorschriften entsprechende Einwilligung nicht vorliege (Ziffer 1). Zugleich ordnete der Datenschutzbeauftragte die Löschung von personenbezogenen Daten an, die ohne die notwendige Einwilligung erhoben worden sind, sowie die Dokumentation der Löschung (Ziffer 2 und 3). Gegen diese Verfügung legte Facebook Widerspruch ein und beantragte einstweiligen Rechtsschutz beim Verwaltungsgericht Hamburg.
AZ: 13 E 5912/16
Das Verwaltungsgericht hat entschieden, dass der Bescheid des Datenschutzbeauftragten der Freien und Hansestadt Hamburg, soweit er die angeordnete Löschung und deren Dokumentation betrifft, aufgrund eines formellen Fehlers nicht sofort vollziehbar sei; insoweit muss der Bescheid nicht befolgt werden.
Hingegen dürfe Facebook personenbezogene Daten von deutschen WhatsApp-Nutzern ohne eine Einwilligung, die den Anforderungen an die deutschen Datenschutzvorschriften entspreche, auch während des laufenden Verfahrens nicht nutzen. Zwar sei offen, ob Facebook mit seinem Widerspruch Erfolg haben werde. Derzeit sei noch nicht hinreichend geklärt, ob deutsches Datenschutzrecht zur Anwendung komme und der Datenschutzbeauftragte gegen die in Irland firmierende Facebook Ltd. vorgehen könne. Sofern das deutsche Datenschutzrecht zur Anwendung komme, wäre die Anordnung des Datenschutzbeauftragten jedoch voraussichtlich rechtmäßig. Denn die von WhatsApp benutzten Zustimmungserklärungen würden den Anforderungen des deutschen Datenschutzrechts nicht genügen.

Im Rahmen der daher vorzunehmenden Interessenabwägung überwiege das Interesse der deutschen WhatsApp-Nutzer. Denn der Schutz der personenbezogenen Daten stelle ein grundrechtlich geschütztes Rechtsgut von hohem Wert dar, in das durch die geplante Weitergabe qualitativ und quantitativ erheblich eingegriffen werde.

Gegen die Entscheidung des Verwaltungsgerichts kann Beschwerde an das Hamburgische Oberverwaltungsgericht eingelegt werden.


Datenschützer verbietet Massendatenabgleich zwischen WhatsApp und Facebook - Hamburgischer Beauftragter für Datenschutz und Informationsfreiheit erlässt Verwaltungsanordnung

Der Hamburgischer Beauftragte für Datenschutz und Informationsfreiheit hat eine Verwaltungsanordnung erlassen und Facebook den Massendatenabgleich zwischen WhatsApp und Facebook untersagt.

Es ist jedoch mehr als fraglich, ob Facebook diese Anordnung beachtet und den geplanten Datenabgleich aussetzt.

Die Pressemitteilung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit:

"Anordnung gegen Massendatenabgleich zwischen WhatsApp und Facebook

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit hat eine Verwaltungsanordnung erlassen, die es Facebook ab sofort untersagt, Daten von deutschen WhatsApp-Nutzern zu erheben und zu speichern. Facebook wird ferner aufgegeben, bereits durch WhatsApp an das Unternehmen übermittelte Daten zu löschen.

Facebook und WhatsApp sind selbstständige Unternehmen, die die Daten ihrer jeweiligen Nutzer auf Grundlage ihrer eigenen Nutzungs- und Datenschutzbedingungen verarbeiten. Nach dem Erwerb von WhatsApp durch Facebook vor zwei Jahren haben sie öffentlich zugesichert, dass die Daten der Nutzer nicht miteinander ausgetauscht werden. Dass dies nun doch geschieht, ist nicht nur eine Irreführung der Nutzer und der Öffentlichkeit, sondern stellt auch einen Verstoß gegen das nationale Datenschutzrecht dar. Denn ein solcher Austausch ist nur dann zulässig, wenn sowohl auf Seiten des Unternehmens, das Daten liefert (WhatsApp) als auch bei dem empfangenden Unternehmen (Facebook) eine Rechtsgrundlage dafür vorliegt. Facebook hat allerdings weder eine wirksame Einwilligung von den Nutzern von WhatsApp eingeholt, noch ist eine gesetzliche Grundlage für den Datenempfang vorhanden. Dass Facebook die Regelungen des deutschen Datenschutzrechts respektieren muss, ist klar, nachdem im Juli der EuGH in einem Urteil bestätigt hat, dass nationales Datenschutzrecht anwendbar ist, wenn ein Unternehmen im Zusammenhang mit einer nationalen Niederlassung Daten verarbeitet. Dies tut Facebook in Deutschland durch seine Niederlassung in Hamburg, die das deutschsprachige Werbegeschäft betreibt.

Hierzu der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, Johannes Caspar:

"Die Anordnung schützt die Daten der ca. 35 Millionen WhatsApp-Nutzer in Deutschland. Es muss ihre jeweilige Entscheidung sein, ob sie eine Verbindung ihres Kontos mit Facebook wünschen. Dazu muss Facebook sie vorab um Erlaubnis fragen. Dies ist nicht geschehen.
Dazu kommen noch viele Millionen Personen, deren Kontaktdaten aus den Adressbüchern der Nutzer zu WhatsApp hochgeladen wurden, ohne dass diese etwas mit Facebook oder WhatsApp zu tun haben müssen. Diese gigantische Menge von Daten hat Facebook zwar nach eigenem Bekunden noch nicht erhoben. Die Antwort von Facebook, dass dies lediglich zur Zeit noch nicht erfolgt sei, gibt jedoch Anlass zur Sorge, dass das Ausmaß des Datenverstoßes noch massivere Auswirkungen nach sich ziehen wird."



Hamburger Datenschutzbeauftragter verhängt Bußgeld über 54.000 EURO gegen Europcar wegen heimlicher GPS-Ortung von Mietwagen

Der Hamburger Datenschutzbeauftragte hat gegen Europcar ein Bußgeld in Höhe von 54.000 EURO wegen der heimlichen GPS-Ortung von Mietwagen verhängt.

Aus der Pressemitteilung des Hamburger Datenschutzsbeauftragten:

"Durch eine Beschwerde wurde der Aufsichtsbehörde bekannt, dass die Firma Europcar in 1.300 hochwertigen Fahrzeugen ihrer Flotte Ortungssysteme eingebaut hatte und damit die Mieter ohne deren Wissen ortete. Nach Angaben von Europcar diente die Übermittlung der Ortungsdaten dazu, Diebstähle aufzuklären. Außerdem sollte kontrolliert werden, ob sich der Mieter noch im zulässigen Gebiet befindet, da die Benutzung der Fahrzeuge in verschiedenen Ländern vertraglich ausgeschlossen ist. Neben dem Standort wurden Datum, Zeit und auch die Geschwindigkeit der Fahrzeuge erhoben."

Die Pressemitteilung des Hamburgischen Beauftragten für Datenschutzschutz und Informationsfreiheit finden Sie hier:

BGH: Keine Erstattung von nachträglich entstandenen Abmahnkosten bei einer Schubladenverfügung

BGH
Urteil vom 07.10.2009
I ZR 216/07
Schubladenverfügung
UWG § 12 Abs. 1; BGB § 683 Satz 1, §§ 677, 667


Leitsätze des BGH:
a) Ein Aufwendungsersatzanspruch nach § 12 Abs. 1 Satz 2 UWG besteht nur für eine Abmahnung, die vor Einleitung eines gerichtlichen Verfahrens aus-gesprochen wird.
b) Für eine Abmahnung, die erst nach Erlass einer Verbotsverfügung ausge-sprochen wird, ergibt sich ein Aufwendungsersatzanspruch auch nicht aus Geschäftsführung ohne Auftrag.
BGH, Urteil vom 7. Oktober 2009 - I ZR 216/07 - OLG Köln
LG Köln

Den Volltext der Entscheidung finden Sie hier: