Anordnung des Hamburger Datenschutzbeauftragten: WhatsApp darf keine Daten an Facebook weitergeben

35 Millionen Menschen nutzen WhatsApp alleine in Deutschland. Foto: CC-BY-NC-ND 2.0 Alexander Rentsch

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit hat eine Verwaltungsanordnung erlassen, die es Facebook ab sofort untersagt, Daten von deutschen WhatsApp-Nutzern zu erheben und zu speichern. Facebook wird ferner aufgegeben, bereits durch WhatsApp an das Unternehmen übermittelte Daten zu löschen. Dies teilt der Hamburger Datenschutzbeauftragte in einer Presseerklärung mit.

Facebook und WhatsApp hätten nach dem Erwerb vor zwei Jahren mitgeteilt, dass die Daten der Nutzer nicht ausgetauscht würden. Die vor kurzem angekündigte Änderung der Geschäftsbedingungen sei eine Irreführung der Nutzer und ein Verstoß gegen das deutsche Datenschutzrecht.

35 Millionen Nutzer alleine in Deutschland betroffen

Johannes Caspar, der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, sagt:

Die Anordnung schützt die Daten der ca. 35 Millionen WhatsApp-Nutzer in Deutschland. Es muss ihre jeweilige Entscheidung sein, ob sie eine Verbindung ihres Kontos mit Facebook wünschen. Dazu muss Facebook sie vorab um Erlaubnis fragen. Dies ist nicht geschehen.

Facebook hat sich mittlerweile (Update: 14:20 Uhr) zu der Anordnung geäußert. Gegenüber netzpolitik.org sagt eine Sprecherin:

Facebook complies with EU data protection law. We will work with the Hamburg DPA in an effort to address their questions and resolve any concerns.

Facebook halte sich an den EU-Datenschutz. Man werde sich an den hamburgischen Datenschutzbeauftragten wenden und die Fragen klären. Facebook kann gegen die Anordnung Widerspruch einlegen und vor Gericht ziehen.

Die Maßnahme des hamburgischen Datenschutzbeauftragten ist nicht der einzige Vorgang gegen Facebook in dieser Sache. Verbraucherschützer hatten das Unternehmen letzte Woche abgemahnt und werden juristisch gegen Facebook vorgehen.

Wer einfach selbst handeln will, dem sei unser Artikel „Fünf Gründe für den Messenger-Wechsel“ ans Herz gelegt. Dort gibt es nicht nur gute Argumente, sondern auch eine fruchtbare Leserdiskussion über Alternativen zu WhatsApp.

Update 17:30 Uhr:
Facebook schickt jetzt eine weitere Stellungnahme. In dieser heißt es:

Facebook complies with EU data protection law. We will appeal this order and we will work with the Hamburg DPA in an effort to address their questions and resolve any concerns.

Heißt: Facebook wird die Entscheidung anfechten.

10 Ergänzungen

  1. Wisst ihr wie due Durchsetzung folgend läuft ? Das ganze gilt ja ab sofort. Wird bei Nichtvollzug der Staatsanwalt den Deutschen FB Geschäftsführer kommende Woche einbuchten? Wie läuft sowas? Soweit ich weiß, ist das das 1. Urteil mit so einer eindeutigen nationalen Vollstreckungsanordnung.

  2. Könntet ihr noch einordnen inwieweit Facebook rechtlich an diese Anordnung gebunden ist?

    Soweit ich weiss laufen alle Vertragsbeziehungen zwischen FB und User außerhalb der USA über Facebook Ireland Limited. Keine Ahnung ob das bei WhatsApp genau so der Fall ist.

    1. Steht in der PM: “ Dass Facebook die Regelungen des deutschen Datenschutzrechts respektieren muss, ist klar, nachdem im Juli der EuGH in einem Urteil bestätigt hat, dass nationales Datenschutzrecht anwendbar ist, wenn ein Unternehmen im Zusammenhang mit einer nationalen Niederlassung Daten verarbeitet. Dies tut Facebook in Deutschland durch seine Niederlassung in Hamburg, die das deutschsprachige Werbegeschäft betreibt.“

  3. Die Anordnung ist insofern unsinnig, dass die EU-Datenschutzgrundverordnung, die in Kraft ist und ab 25.5.2018 auch in Hamburg anzuwenden ist, vorsieht, dass ein dem deutschen BDSG unbekanntes Konzernprivileg eingeführt wird, dass die Datenübernahme von der Tochter WhatsApp an die Mutter Facebook legal ist. Wenn also Facebook es schafft, die Rechtsprechung bis 25.5.18 durch Rechtsmittel zu verzögern, ist das Übernehmen legal. Wortspielerisch könnte man es ein Caperle-Theater nennen.
    http://www.cr-online.de/blog/2016/05/24/dsgvo-was-gilt-fuer-den-datenaustausch-innerhalb-eines-konzerns/

    1. Das sog. Konzernprivileg in der EU DS-GVO zielt u.a. auf die Übermittlung von für die Verwaltung notwendige personenbezogene Daten und erfordert eine umfängliche Interessenabwägung. Es bedeutet noch lange nicht, dass innerhalb eines Unternehmensverbunds wahllos alle Daten zur gefälligen Verwendung hin und her geschoben werden dürfen. Insofern handelt Caspar völlig richtig, indem er auf einen eindeutigen Verstoß reagiert. Was auch sein Job ist.

      1. Das kann man so behaupten. Gerichtsfest wird es damit nicht.
        Härting sagt, es reichen „berechtigte Interessen“:
        „Der konzerninterne Datenaustausch auf gesetzlicher Grundlage wird durch die DSGVO erheblich vereinfacht und erleichtert:
        Er richtet sich im Wesentlichen nach Art. 6 Abs. 1 Satz 1 lit. f DSGVO („berechtigte Interessen“)“
        Die EU führt zum berechtigten Interesse aus:
        „Die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung kann als eine einem berechtigten Interesse dienende Verarbeitung betrachtet werden.“
        http://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CONSIL:ST_5419_2016_INIT
        Da wird es der Herr Caspar vor Gericht schwer haben. Aber wie gesagt, einfach so in den Raum hinein behaupten kann man sicherlich es erst mal. Es bleibt aber die Frage, ob Caspar nicht wider besseres Wissen deutsche Steuergelder verschwendet, weil er weiß, dass er mal wieder geringe Erfolgsaussichten mit seiner rechtlichen Meinung hat.

  4. Moin moin, das mag eine naive Frage sein, aber wo kann man denn die Informationen die whatsapp, google &co. über einen sammeln erwerben? Die Antwort darauf würde mir in der Bekehrung meiner Freunde und Verwandschaft helfen.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.