Kategorie: Social Media
22. Oktober 2021
Hintergrund
Mit Einführung der DSGVO am 25.Mai 2018 erhielten Verbraucher besondere Rechte. Unter anderem sollte sichergestellt werden, dass große Konzerne die (sensiblen) personenbezogenen Daten ihrer Nutzer nicht gegen deren Willen sammeln und verarbeiten.
Von der Verarbeitung personenbezogener Daten lebt jedoch das Geschäftsmodell von Social Media Anbietern wie Facebook, denn durch die Auswertung des Nutzerverhaltens kann Werbung auf die jeweiligen Nutzer- Interessen genau zugeschnitten werden.
Facebook wendet bislang folgenden Trick an, um die personenbezogenen Nutzerdaten zu eigenen Zwecken verarbeiten zu können und damit die Voraussetzungen der DSGVO zu umgehen: Die Einwilligung wurde vollständig in die AGB verschoben, denen potenzielle Nutzer zustimmen müssen, um Facebook überhaupt benutzen zu können. Auf eine separate Einwilligung verzichtete Facebook. So werden strenge Anforderungen der DSGVO, wie die freiwillige Einwilligung in die Verarbeitung personenbezogener Daten und das jederzeitige Widerspruchsrecht hinsichtlich dessen, umgangen. Die Betroffenenrechte der DSGVO sind so praktisch ausgehebelt. Facebooks rechtliche Argumentation ist simpel: Wird die Vereinbarung als „Vertrag“ gemäß Art. 6 Abs.1 lit.b DSGVO statt als „Einwilligung“ gemäß Art.6 Abs.1 lit.a DSGVO ausgelegt, sollen die strengen Vorschriften der DSGVO für den Konzern nicht mehr gelten.
Dem österreichischen Juristen und Datenschutz-Aktivisten Max Schrems entgingen Facebooks Änderungen nicht. Er reichte damals Beschwerde bei der zuständigen Aufsichtsbehörde in Irland ein. Die hat nun, mehr als drei Jahre später, eine vorläufige Entscheidung getroffen. Es ist ein Bußgeld in Höhe von 28 bis 36 Millionen Euro für Facebook vorgesehen. Allerdings soll Facebook weiterhin an seiner Art und Weise der Zustimmungspraxis festhalten dürfen. Kritisch wurde lediglich die Herangehensweise von Facebook angemerkt. So habe Facebook auf die Verschiebung der Einwilligung zur Datennutzung in die AGB nicht transparent hingewiesen. Dies ist sodann auch der Grund für das Bußgeld in Höhe von 28 bis 36 Millionen.
Aktuell
Letzte Woche schickte die irische Datenschutzbehörde ein Schreiben an NOYB, dessen Vorsitzender Max Schrems ist. In diesem Schreiben wird NOYB dazu aufgefordert, einen Entscheidungsentwurf unverzüglich von ihrer Website zu entfernen und von jeder weiteren oder sonstigen Veröffentlichung oder Weitergabe desselben abzusehen. Zuvor legte die irische Datenschutzbehörde den anderen europäischen Datenschutzbehörden einen „Entscheidungsentwurf“ bezüglich des juristischen Tricks, mit dem Facebook die DSGVO umgeht, vor. Diesen Entscheidungsentwurf hat NOYB sodann veröffentlicht. NOYB weist jede Aufforderung seitens der irischen Datenschutzbehörde ab, den Entwurf zu entfernen; gemäß Art. 80 DSGVO sieht sich NOYB in der Pflicht, mit den Behörden zusammenzuarbeiten und die Entwicklung der DSGVO zu verfolgen. Hierunter fallen auch Veröffentlichungen von Entscheidungen, die für die Öffentlichkeit von Bedeutung sind.
3. September 2021
WhatsApp wurde von der irischen Datenschutzbehörde zu einer Rekordstrafe von 225 Millionen Euro verurteilt. Da WhatsApp zu Facebook gehört und der EU-Hauptsitz der Social-Media-Plattform in Irland liegt, ist die irische Aufsichtsbehörde für WhatsApp zuständig.
Die Strafe ist die Folge einer seit drei Jahren laufenden Untersuchung. Zu dem Zeitpunkt wurde in der EU eine neue DSGVO (Datenschutzgrundverordnung) aktiv, bei der es um personenbezogenen Datenaustausch zwischen Firmen und Nutzern geht. Gerügt wurde, dass das Unternehmen gegen die Transparenz bei der Weitergabe von Personendaten an andere Facebook-Unternehmen verstoßen habe. Auch habe es die Nutzer nicht ausreichend über die Verarbeitung ihrer Daten informiert. WhatsApp hat bereits angekündigt Berufung einzulegen.
Die irische Datenschutzbehörde teilte mit, dass sie ihre Entscheidung, wie in der DSGVO vorgeschrieben, „nach einer langwierigen und umfassenden Untersuchung“ anderen nationalen Datenschutzbehörden vorgelegen und Einwände aus acht Ländern, darunter Deutschland, Frankreich und Italien, erhalten habe. Dabei stimmten einige Länder in gewissen Punkten nicht mit der irischen Aufsichtsbehörde überein; u.a. was die Höhe der Geldstrafe angehe oder auch gegen welche spezifischen Artikel der DSGVO vorliegend verstoßen werde. Ende Juli forderte der Europäische Datenschutzausschuss die irische Datenschutzbehörde dann dazu auf, ihre Feststellungen zu überarbeiten und die vorgeschlagene Geldbuße neu zu bewerten.
Eine höhere Strafe gab es bisher nur bei Amazon, die im Juli von der luxemburgischen Datenschutzbehörde eine Strafe in Höhe von 886,6 Millionen Euro auferlegt bekommen haben.
Ein Firmensprecher erklärte, WhatsApp sei bestrebt, einen sicheren und privaten Dienst anzubieten. „Wir haben uns dafür eingesetzt, dass die von uns bereitgestellten Informationen transparent und umfassend sind, und werden dies auch weiterhin tun.“ WhatsApp sei mit der aktuellen Entscheidung der irischen Datenschutzkommission in Bezug auf die Transparenz, die man den Menschen im Jahr 2018 geboten haben, nicht einverstanden. Die Strafe sei völlig unverhältnismäßig. „Wir werden gegen diese Entscheidung Rechtsmittel einlegen“, erklärte der WhatsApp-Sprecher.
27. August 2021
Der österreichische Oberste Gerichtshof (OGH) hat im Rechtsstreit von Max Schrems gegen Facebook den Europäischen Gerichtshof (EuGH) angerufen, um einzelne Fragen überprüfen zu lassen. Die Fragen beziehen sich auf die Rechtmäßigkeit der Datennutzung durch Facebook bei allen Nutzer:innen innerhalb der EU.
Das zuständige Landesgericht urteilte im Sommer, dass die Datenverarbeitung vertrags- und rechtskonform sei. Diese Ansicht teilte auch das Oberlandesgericht Wien. Im März wandte sich Schrems dann an den OGH.
Einwilligung oder Vertrag zur Datennutzung
In dem Rechtsstreit geht es unter anderem um die Frage, ob Nutzer:innen tatsächlich eine Einwilligung oder einen Vertrag mit Facebook schließen, da Facebook als angebliche „Leistung“ Werbung anbiete. Da diese beiden Rechtsgrundlagen in der DSGVO verschieden geregelt seien, argumentiert Facebook, dass die Regeln der DSGVO zur Einwilligung nicht mehr anwendbar wären. Laut Schrems wären damit die Vorschriften, die vorgeben, wie eine eindeutige Zustimmung aussehen müsse (und auch jederzeit widerrufen werden könne), hinfällig. Dies sei eine rechtswidrige Umgehung der DSGVO.
Werbe-Targeting und Verarbeitung sensibler Daten
Entscheiden soll der EuGH nun auch konkrete Fragen rund ums Werbe-Targeting. Dazu gehört auch die Fragestellung, ob die Verwendung aller personenbezogener Daten der Nutzer:innen auf Facebook sowie aus vielen anderen Quellen, wie etwa Websites, die Facebook „Like“-Buttons oder Werbung verwenden, mit der DSGVO und dem Grundsatz der „Datenminimierung“ vereinbar ist.
Des Weiteren beziehen sich die Fragen auch auf die Problematik der Filterung und Verwendung sensibler Daten, wie beispielsweise politische Ansichten oder sexuelle Orientierung für personalisierte Werbung. „Diese weiteren Fragen sind extrem wichtig, da Facebook dann selbst bei einer gültigen Einwilligung möglicherweise nicht mehr alle Daten für Werbung nutzen darf“, so Schrems dazu. Zusätzlich müsste der Konzern dann möglicherweise sensible Daten wie politische Ansichten oder Daten zur sexuellen Orientierung herausfiltern.
Anspruch auf Schadensersatz möglich
Vor dem OGH konnte Schrems bereits einen Teilerfolg verbuchen. Das Gerichts sprach ihm 500 Euro Schadensersatz zu, da Facebook ihm keinen vollen Zugang zu den über ihn gespeicherten Daten gewährt hatte. Der Konzern habe Schrems damit „massiv genervt“, daraus begründe sich ein berechtigter Anspruch auf Schadensersatz.
„Verliert Facebook vor dem EuGH, müssten sie nicht nur damit aufhören Daten zu missbrauchen und illegal gesammelte Daten löschen, sondern auch Millionen von Nutzer:innen Schadenersatz zahlen. Wir sind über die Vorlage daher sehr glücklich“, so Max Schrems.
30. Juli 2021
Google Ireland hat im Auftrag der Tochtergesellschaft YouTube beim Verwaltungsgericht Köln Feststellungsklage gegen die jüngsten Änderungen des Netzwerkdurchsetzungsgesetzes (NetzDG) eingereicht. Im Wesentlichen wendet YouTube sich gegen die Verpflichtung, in potentiell strafrechtlich relevanten Fällen, automatisch Nutzerdaten an das Bundeskriminalamt weitergeben zu müssen.
Hintergrund:
Im Jahr 2017 wurde zur besseren Bekämpfung von Hass im Netz das Netzwerkdurchsetzungsgesetz (NetzDG) erlassen. Nunmehr wurde eine erste große Ergänzung vorgenommen, welche zum 01.Februar 2021 Wirkung entfalten soll. Neu eingefügt wird, unter anderem, der § 3a NetzDG; dieser beinhaltet eine Meldepflicht der sozialen Netzwerke. Diese sieht vor, dass der Anbieter eines sozialen Netzwerks in bestimmten Fällen dem Bundeskriminalamt (BKA) Inhalte übermitteln muss. Die Meldepflicht besteht außerdem, wenn konkrete Anhaltspunkte dafür vorliegen, dass rechtswidrige Inhalte mindestens einen der in § 3a Abs.2 Nr. 3 NetzDG genannten Tatbestände (z.B „Verbreiten von Propagandamitteln verfassungswidriger Organisationen“ gemäß § 86 StGB, „Volksverhetzung“ gemäß § 130 StGB oder „Bedrohung“ gemäß § 241 StGB) erfüllen und ferner nicht gerechtfertigt sind.
YouTube kritisiert die gesetzliche Verpflichtung, die besagt, dass die personenbezogenen Daten jener Personen, von denen angenommen wird, dass sie im Internet hasserfüllte Inhalte teilen, an die Strafverfolgungsbehörde weitergegeben werden sollen. Danach wird entschieden, ob ein Strafverfahren eingeleitet wird oder nicht. Dieser eklatante Eingriff in die Rechte der Nutzer steht laut Youtube nicht nur in Konflikt mit geltendem Datenschutzrecht, sondern auch mit der deutschen Verfassung und dem Europäischen Recht. YouTube führt dazu aus, dass Daten unschuldiger Menschen ohne ihr Wissen in einer Datenbank landen könnten.
In einem Blogbeitrag betont YouTube, dass es bereits seit vielen Jahren Auskunftsersuchen nachkomme und mit deutschen Behörden zur Strafverfolgung und Gefahrenabwehr zusammenarbeite. Diverse weitere Änderungen am NetzDG sind bereits nach der Verabschiedung zur Jahresmitte in Kraft getreten.
16. Juli 2021
Der Europäische Datenschutzausschuss erließ seine erste verbindliche Eilentscheidung gemäß Art.66 Abs. 2 DSGVO auf Antrag der HmbBfDI (Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit), nachdem diese die vorläufige Maßnahme gegen Facebook erlassen hatte. Die Maßnahme, die auf der Grundlage von Art. 66 Abs. 1 DSGVO angeordnet wurde, hatte das Verbot der Verarbeitung von WhatsApp-Nutzerdaten durch Facebook zum Gegenstand. Nach Ansicht der HmbBfDI wurde dies mit der diesjährigen von WhatsApp in die Wege geleiteten Änderung der Nutzungsbedingungen und Datenschutzbestimmungen für europäische Nutzer begründet.
Hintergrund ist folgender: Im Januar hatte WhatsApp neue Datenschutzbestimmungen angekündgt. Nachdem diese bei den Nutzern auf große Kritik stießen, wurde das von WhatsApp angekündigte Ultimatum bis Mai verlängert und WhatsApp versuchte, die angestrebten Änderungen zu erklären. Letztendlich blieb die Erklärung aus und WhatsApp zog auch im Mai noch keine der angekündigten Konsequenzen. Diese umfassten unter anderem, dass alle, die bis Mai den Bedingungen nicht zugestimmt hätten, WhatsApp nicht mehr hätten nutzen können.
Nun entschied der EDPB im Rahmen des Eilverfahrens, dass die Voraussetzungen für den Nachweis des Vorliegens eines Verstoßes und einer Dringlichkeit nicht erfüllt seien.
Auf der Grundlage der vorgelegten Beweise kam der Europäische Datenschutzausschuss zwar zu dem Schluss, dass eine hohe Wahrscheinlichkeit besteht, dass Facebook bereits Nutzerdaten von WhatsApp als (gemeinsamer) Verantwortlicher für den gemeinsamen Zweck der Sicherheit und Integrität von WhatsApp und den anderen Facebook-Unternehmen verarbeitet. Angesichts der verschiedenen Widersprüche, Unklarheiten und Unsicherheiten, die in den nutzerorientierten Informationen von WhatsApp, in einigen schriftlichen Verpflichtungserklärungen von Facebook und in den schriftlichen Stellungnahmen von WhatsApp festgestellt wurden, entschied sich der Europäische Datenschutzausschuss jedoch dazu, dass er nicht in der Lage ist, mit Sicherheit feststellen zu können, welche Verarbeitungen tatsächlich durchgeführt werden.
Zum Vorliegen der Dringlichkeit vertrat der Europäische Datenschutzausschuss die Auffassung, dass Art.61 Abs. 8 DSGVO nicht anwendbar war. Denn der HmbBfDI konnte nicht nachweisen, dass die irische Datenschutzbehörde es versäumt hat, Informationen im Rahmen eines förmlichen Amtshilfeersuchens gemäß Art. 61 DSGVO bereitzustellen; da Facebook (wie auch WhatsApp) seinen europäischen Sitz in Irland hat, ist die dortige Datenschutzbehörde für das Unternehmen zuständig.
Der Europäische Datenschutzausschuss meldete zudem erhebliche Zweifel an der Rechtsgrundlage an, auf die sich Facebook bei der Nutzung der WhatsApp-Daten für eigene oder gemeinsame Verarbeitungen stützen möchte. Er greift damit wesentliche Teile der Argumentation des HmbBfDI auf. In Anbetracht der hohen Wahrscheinlichkeit diverser Verstöße, insbesondere im Hinblick auf die Sicherheit und Integrität von WhatsApp und der anderen Facebook-Unternehmen, war der Europäische Datenschutzausschuss der Ansicht, dass diese Angelegenheit zügig weiter untersucht werden muss.
7. Juli 2021
Mit einem Rundschreiben vom 16.06.21 hat der Bundesdatenschutzbeauftragte (BfDI) Ulrich Kelber die obersten Bundesbehörden und die Bundesregierung aufgefordert, ihre Facebook-Fanpages zu löschen.
Das Schreiben knüpft an ein ähnliches, im Mai 2019 verschicktes, Schreiben an. Bereits in diesem wies Kelber darauf hin, dass ein datenschutzkonformer Auftritt bei Facebook nicht möglich sei. Dafür müsste nämlich eine Vereinbarung zur gemeinsamen Verantwortlichkeit der öffentlichen Stellen mit Facebook vorliegen, die den Anforderungen von Art. 26 DSGVO entspräche. Diesbezüglich habe das Presse- und Informationsamt der Bundesregierung (BPA) Facebook kontaktiert. Facebook habe aber vor kurzem nur das öffentlich bekannte „Page Controller Addendum“ zurückgesendet. Dieses regelt die gemeinsame Verantwortung für Daten, die auf den Fanpages erhoben werden.
Dieses Addendum hält Kelber aber für nicht genügend, damit die öffentlichen Stellen ihrer Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO nachkommen können. Die Rechenschaftspflicht sieht vor, dass die Einhaltung der Grundsätze der DSGVO nachgewiesen werden kann. Insbesondere ein pauschales Verweisen der Nutzer an Facebook, wenn es um die Verarbeitung ihrer Daten im Rahmen einer Fanpage geht, sei dafür nicht ausreichend.
Als Konsequenz verlangt Kelber nun, Facebook-Fanpages von Behörden und der Regierung sollten bis Ende des Jahres gelöscht werden. Sollte dies nicht geschehen, so wolle er die in Art. 58 DSGVO zur Verfügung stehenden Abhilfemaßnahmen gebrauchen. Dies könnten z.B. Verbote oder Löschungsanordnungen sein. Auch weist er die Behörden auf die Vorbildfunktion hin, die sie in Sachen Datenschutz hätten.
Die Bundesregierung teilte mit, sie habe die Einschätzung des Bundesdatenschutzbeauftragten zur Kenntnis genommen und werde diese prüfen. Würde Sie sich dazu entscheiden dem Rat zu folgen, würde sie eine enorme Reichweite einbüßen. Die zentrale Fanpage der Bundesregierung hat auf Facebook 870.000 Fans und über eine Million Abonnenten.
18. Juni 2021
In der Frage, ob auch eine nicht federführende Aufsichtsbehörde gegen Facebook bei DSGVO Verstößen vorgehen kann, hat der EuGH nun ein Urteil gefällt. Damit legt er einen lang anhaltenden Streit zwischen der irischen Datenschutzbehörde und anderen Ländern bei.
Der Sachverhalt
Zu urteilen hatte der EuGH in einem Rechtsstreit zwischen der belgischen Datenschutzbehörde und mehreren Unternehmen des Facebook-Konzerns, konkret Facebook Ireland Ltd., Facebook Inc. und Facebook Belgium BVBA. Begonnen hat das Verfahren bereits im Jahre 2015 und damit vor in Kraft treten der DSGVO im Mai 2018, jedoch zog sich der Sprung durch die einzelnen Instanzen lange hin.
Das Verfahren selbst zielte darauf ab, Facebook mittels Unterlassungsklage zu verpflichten, auf den Einsatz von Cookies ohne Einwilligung der belgischen Benutzer zu verzichten und die Datenerhebung auf Webseiten von Dritten zu unterlassen. Zudem sollte Facebook Abstand von der Praxis nehmen übermäßig Daten durch Social-Plugins zu erheben und die dadurch gewonnen personenbezogenen Daten zu löschen.
Facebook ist jedoch der Ansicht, dass in diesem Fall die belgische Datenschutzbehörde gar nicht zuständig ist. Damit beruft sich der Konzern auf die 2018 in Kraft getretenen Regeln der DSGVO, wonach nur die Datenschutzbehörde gerichtliche Schritte einleiten können soll, in deren Mitgliedsland Facebook seine Hauptniederlassung hat. Im konkreten Fall, müsste demnach die irische Datenschutzbehörde tätig werden.
Die Richterinnen und Richter des EuGH gelangten hier allerdings zu einer anderen Rechtsauffassung und entschieden, dass zwar grundsätzlich tatsächlich die federführende Datenschutzbehörde (Irland) tätig werden müsse, wenn es sich um DSGVO-Verstöße handele. Allerdings verweist der EuGH zusätzlich auf die Artikel 56 Abs 2, und Artikel 66 DSGVO, nach denen unter bestimmten Voraussetzungen auch andere Behörden bei grenzüberschreitenden Datenverarbeitungen zuständig sein könnten.
Fazit
Letzten Endes folgt der EuGH mit seinem Urteil damit den Ausführungen des Generalanwalts Michael Bobek, der in seinen Schlussanträgen eine Zuständigkeit für andere Datenschutzbehörden in Ausnahmefällen annahm. Das Urteil sollte in seiner Tragweite nicht unterschätzt werden, denn wie Bayerns Justizminister Georg Eisenreich zutreffend urteilte könntenes Unternehmen „künftig schwerer haben, sich durch eine geschickte Standortwahl einer effektiven Kontrolle zu entziehen“.
28. Mai 2021
Der Oberste Gerichtshof Irlands hat entschieden, dass die irische Datenschutzbehörde Data Protection Commission (DPC) das Untersuchungsverfahren gegen Facebook fortsetzen könne.
Bisherige Entwicklung
Zuvor entschied der Europäische Gerichtshof (EuGH) im letzten Jahr (wir berichteten), dass das europäische Datenschutzabkommen mit den Vereinigten Staaten, das sog. EU-US Privacy Shield, europarechtswidrig sei. Zulässig blieb nach Ansicht des Gerichts jedoch die Übermittlung von Daten in die USA auf Basis der Standardvertragsklauseln (SCC). Dies gelte jedoch nur, sofern die Unternehmen nicht den Überwachungsgesetzen wie FISA 702 unterstehen. Darüber hinaus seien teilweise auch zusätzliche Sicherungsmaßnahmen erforderlich, um einen angemessenen Schutz der personenbezogenen Daten garantieren zu können.
Entscheidung der DPC und des irischen High Courts
Der DPC unterliegt aufgrund des europäischen Hauptsitzes des Unternehmens in Irland die Aufsicht. Dort reagierte man auf das Urteil des EuGHs mit einer Untersuchung und vorläufigen Anordnung zum Stopp der Übermittlung personenbezogener Daten auf Basis von Standardvertragsklauseln. Im ersten Verfahren konnte sich Facebook zunächst erfolgreich gegen die Untersuchung und die damit verbundene Anordnung zur Wehr setzen.
Der irische High Court wies nun alle verfahrensrechtlichen Beschwerden von Facebook gegen eine vorläufige Entscheidung über den Datenverkehr ab, die das Unternehmen im August von der DPC erhalten hatte. Die Behauptungen von Facebook, dass die Datenschutzbehörde dem Unternehmen zu wenig Zeit für eine Reaktion gegeben habe oder einen Beschluss zu früh erlassen habe, wurde zurückgewiesen. Man weise jede Forderung von Facebook zurück, erklärte der Richter David Barniville.
Grundsätzlich zulässig bleibe jedoch nach Ansicht des Gerichts die Übermittlung von Daten in die USA für Unternehmen auf Basis der Standardvertragsklauseln. Vorausgesetzt die Unternehmen unterfallen nicht den oben erwähnten Massenüberwachungsgesetzen oder es werden zusätzliche Sicherungsmaßnahmen, wie bspw. die Verschlüsselung von Daten, gewährleistet.
Kläger Schrems zeigt sich zunächst zufrieden
Der österreichische Jurist Max Schrems, der die Klage gegen Facebook erhob und sich seit Jahren im Rechtsstreit mit Facebook befindet, äußerte sich wie folgt:
„Facebook hat auf allen Ebenen verloren. Das Verfahren hat das irische Verfahren am Ende nur wieder ein paar Monate blockiert. Nach acht Jahren ist die DPC nun verpflichtet, den EU-US-Datentransfer des Unternehmens zu stoppen, wahrscheinlich noch vor dem Sommer.“
Auch die DPC begrüßte die Gerichtsentscheidung. Man könne nun die Übermittlung personenbezogener Daten von Facebook-Nutzern aus der EU in die USA untersagen.
Ausblick
Die Beschlüsse der irischen Datenschutzbehörde müssten nun noch vom Europäischen Datenschutzausschuss (EDSA) genehmigt werden. Die dortige Einspruchsfrist beträgt vier Wochen. Anschließend müsste Facebook wohl die meisten Daten aus Europa lokal speichern. Nur so könnte ein Zugriff durch US-Sicherheitsbehörden kurzfristig verhindert werden.
So bleibt die Rechtsgrundlage für einen Datentransfer personenbezogener Daten in die Vereinigten Staaten weiterhin unklar und der Einsatz von US-Dienstleistern datenschutzrechtlich bedenklich. Es bleibt abzuwarten, welche Folgen die Entscheidung des irischen Gerichts nach sich ziehen wird.
27. Mai 2021
Nachdem WhatsApp jüngst mit seinen neuen Nutzungsbedingungen für Aufmerksamkeit gesorgt hatte und von Datenschützern für diese kritisiert wurde, tritt nun WhatsApp selbst verteidigend für ihren Datenschutz auf.
So hat WhatsApp beim obersten Gericht Delhi Klage gegen eine Vorgabe der neuen IT-Regelungen der indischen Regierung eingereicht. Diese Regelungen wurden bereits im Februar diesen Jahres vom indischen Ministerium für Elektronik und Informationstechnologie (MeitY) veröffentlicht und sind diese Tage in Kraft getreten. Die von WhatsApp konkret kritisierte Regelung sieht vor, dass Anbieter von Messengerdiensten, auf Anfrage einer Behörde oder auf richterlichen Beschluss hin, die Rückverfolgung von Nachrichten gewähren müssen. So soll ermittelt werden, wer der ursprüngliche Verfasser einer Information ist. Die indische Regierung begründet dies damit, dass dies der „Prävention, Aufdeckung, Untersuchung, Verfolgung oder Bestrafung“ von verschiedenen Straftaten diene. Als solche gelten u.a. die Verbreitung von Material über sexuellen Kindesmissbrauch, Angriffe auf die Staatssicherheit, Souveränität und Integrität Indiens oder die Störung der öffentlichen Ordnung. Auch ist eine Regelung gegeben, die besagt, dass Netzwerke bei gerichtlicher Aufforderung dazu, Inhalte innerhalb von 36 Stunden löschen müssen.
WhatsApp wehrt sich nun gegen diese Vorgaben mit der Begründung, sie würden Nachrichten Ende-zu-Ende verschlüsseln und könnten die Identifikation einer Einzelperson nicht leisten. Würde die Verschlüsselung aufgebrochen, wären sowohl Absender als auch Empfänger betroffen. Die Regelung verlange praktisch, einen Fingerabdruck von jeder einzelnen auf WhatsApp gesendeten Nachricht zu speichern. Dadurch würde eine Verletzung von Datenschutzrechten der Betroffenen stattfinden. Auch das Recht auf Privatsphäre sei betroffen, somit sei die Regelung verfassungswidrig.
Immer wieder betont WhatsApp, dass es Nachrichten selbst nicht speichere und keine Einsicht in Nutzerdaten habe. Trotzdem steht der Konzern häufig selbst wegen seines Umgangs mit Daten in der Kritik, sodass die Streitigkeit mit der indischen Regierung auch für das Image von WhatsApp nicht uninteressant sein dürfte.
12. Mai 2021
In dem seit längerem schwelenden Streit um die neuen Nutzungsbedingungen von WhatsApp, hat sich nun auch der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI), Prof. Dr. Johannes Caspar, geäußert.
Hintergrund ist, dass ab dem 15.05.2021 für den Kurznachrichtendienst WhatsApp neue Nutzungsbedingungen gelten sollen. Diese Nutzungsbedingungen sollten ursprünglich schon seit Februar gelten, die Einführung wurde aber nach lautstarker Kritik um drei Monate verschoben. Stein des Anstoßes bei den neuen Nutzungsbedingungen ist ein Passus, der eine veränderte Datenschutzerklärung enthält. Kritiker sehen hier vor allem den unklaren Datenaustausch mit der Konzernmutter Facebook als problematisch an. Auch die Tatsache, dass die weitere Nutzung von WhatsApp von der Einwilligung in die Bedingungen abhängt, ist nicht unumstritten.
Am 11.05.2021 gab HmbBfDI Caspar bekannt, dass eine Anordnung gegen Konzernmutter Facebook erlassen wurde, in der die Weiterverarbeitung von WhatsApp-Daten für eigene Zwecke untersagt wird. Für eine solche Verarbeitung bestünde keine gesetzliche Grundlage. Er kritisiert auch, dass eine Einwilligung in die neuen Nutzerbedingungen nicht aus freien Stücken erfolgt, sondern für die Weiternutzung des Dienstes unumgänglich ist.
Die Anordnung gilt ab sofort für drei Monate. Für eine Entscheidung auf europäischer Ebene will der HmbBfDI Caspar eine Befassung durch den Europäischen Datenschutzausschuss (EDSA) beantragen. Facebook hat zwar eine Niederlassung in Hamburg, die Zuständigkeit liegt aber grundsätzlich bei der irischen Datenschutzbehörde. Handlungsbedarf sieht Caspar vor allem mit Blick auf die anstehende Bundestagswahl, bei der durch Anzeigekunden von Facebook eine gezielte Beeinflussung der Meinungsbildung möglich sei, würden diese über Nutzerdaten verfügen.
WhatsApp selbst versichert weiterhin, datenschutzrechtliche Vorgaben würden eingehalten. Die Behauptungen des HmbBfDI seien falsch, deswegen habe die Anordnung keine Wirkung. Ursprünglich plante WhatsApp, Konten die den Neuerungen nicht zustimmen nur noch eingeschränkt nutzbar zu machen und schließlich zu löschen. Dieses Vorhaben wurde jedoch zurückgenommen. Nutzer, die zunächst keine Einwilligung abgeben, können ihren Account weiter nutzen, bis nach einigen Wochen eine permanente Erinnerung auftaucht. Dann seien die Accounts nur eingeschränkt nutzbar. Ob die Stellungnahme des HmbBfDI daran etwas ändert, bleibt abzuwarten. Zwischenzeitlich macht es sicher Sinn, sich mit Alternativen zu WhatsApp zu beschäftigen.
