top of page
  • AutorenbildMarie-Avril Roux SteinkĂŒhler

đŸ‡©đŸ‡Ș - Datenweitergabe von WHATSAPP an FACEBOOK

2014 wurde die Gesellschaft WHATSAPP von FACEBOOK Inc. aufgekauft. Am 25. August 2016 veröffentlichte sie eine neue Fassung ihrer Nutzungs- und Datenschutzbedingungen und wies die Nutzer darauf hin, dass ihre persönlichen Daten kĂŒnftig systematisch an FACEBOOK Inc. weitergegeben werden wĂŒrden.


Whatsapp and Facebook logos

Der Zweck dieser Weitergabe seien im Wesentlichen die «Business Intelligence» und die Sicherheit. Die Nutzer hĂ€tten nun die Wahl, dies bedingungslos anzunehmen oder abzulehnen, worauf ihnen der Zugang zu der Anwendung untersagt werden wĂŒrde.


Alarmiert von diesen Änderungen, beeilte sich die Artikel-29-Gruppe[1] oder G29, WHATSAPP aufzufordern, ihr ausfĂŒhrliche Informationen ĂŒber diese Datenverarbeitung zu liefern, und verlangte die sofortige Einstellung der gezielten Werbung. Sie beauftragte ĂŒberdies ihre «Enforcement Subgroup» mit der Koordinierung eventueller Nachforschungen der nationalen Behörden, insbesondere seitens der Nationalen Kommission fĂŒr Informatik und Freiheitsrechte (im Folgenden: CNIL).


Die CNIL fĂŒhrte im Laufe des November 2016 online und mittels Fragebogen Kontrollen durch und lud WHATSAPP zu einer Anhörung.  


Im Zuge der verschiedenen Kontrollen stellte die CNIL fest, dass das Formular, das die Erstellung eines Kontos in der App ermöglicht, keine Angaben zu der Verarbeitung personenbezogener Daten durch WHATSAPP enthielt, und dass die von bestehenden und neuen Nutzern eingeholte Einwilligung, was die Weitergabe ihrer Daten an FACEBOOK Inc. betrifft, nicht frei war.


Aufgrund dieser Feststellungen forderte die CNIL WHATSAPP auf, ihr Datenproben der französischen Nutzer zu ĂŒbermitteln, welche an FACEBOOK Inc. weitergegeben worden waren.


WHATSAPP begnĂŒgte sich mit der Antwort, sie verwende die Daten der französischen Nutzer nicht fĂŒr die gezielte Werbung, und weigerte sich kategorisch, der CNIL umfassende Informationen zu liefern, da sie der Ansicht war, nur dem amerikanischen Recht zu unterliegen.

Angesichts des Verstoßes von WHATSAPP gegen ihre Pflicht, mit der CNIL zu kooperieren (1.) sowie der VerstĂ¶ĂŸe bezĂŒglich der von ihr durchgefĂŒhrten Datenverarbeitung (2.), hat die CNIL daher WHATSAPP am 18. Dezember 2017[2] öffentlich aufgefordert, binnen eines Monats den gesetzlichen Bestimmungen zu entsprechen (3.).


1. Da französisches Recht anwendbar ist, hat WHATSAPP gegen ihre Pflicht zur Kooperation mit der CNIL verstoßen


Der Artikel 5 Absatz 2 Titel I des Loi Informatique et LibertĂ©s [franz. Datenschutzgesetz] sieht vor, dass seine Bestimmungen auf Verarbeitungen anwendbar sind, fĂŒr die der Verantwortliche «ohne auf französischem Territorium oder dem eines anderen Mitgliedstaates der EuropĂ€ischen Gemeinschaft ansĂ€ssig zu sein, auf Datenverarbeitungsmittel zugreift, die sich auf französischem Territorium befinden (
) », was die G29 in ihrer Stellungnahme Nr. 8/2010 vom 16. Dezember 2010 bestĂ€tigt hat[3] .


Im vorliegenden Fall steht außer Frage, dass WHATSAPP personenbezogene Daten sammelt, da sie Zugriff auf Datenverarbeitungsmittel hat, die sich auf französischem Territorium befinden, denn der mittels ihrer App angebotene Nachrichtendienst ist insbesondere zur Installation auf mobilen EndgerĂ€ten bestimmt, die sich unter anderem auf französischem Territorium befinden (siehe die Bediensprache und die Möglichkeiten zu speziellen Einstellungen fĂŒr Frankreich), und ermöglicht es, zahlreiche Daten zur IdentitĂ€t der Nutzer zu sammeln (Name, Telefonnummer, Foto
). WHATSAPP unterliegt somit dem französischen Datenschutzgesetz in seiner abgeĂ€nderten Fassung[4].


Mehrfach hat die CNIL WHATSAPP aufgefordert, ihr Vertragsunterlagen oder andere Dokumente zu ĂŒbermitteln, aus denen Informationen ĂŒber den Datenaustausch zwischen WHATSAPP und den EmpfĂ€ngergesellschaften dieser Daten hervorgehen, sowie fĂŒr einen Querschnitt von tausend Nutzern auf französischem Territorium sĂ€mtliche Daten, die WHATSAPP an FACEBOOK Inc. weitergegeben hat.


WHATSAPP erwiderte darauf, sie verstehe nicht, um welche Art von Dokumentation es sich bei diesen Aufforderungen handle, oder dass die Übermittlung der gewĂŒnschten Stichprobe rechtliche Probleme mit sich bringe oder aber, dass die gewĂŒnschten Unterlagen strengen Geheimhaltungsbestimmungen unterliegen wĂŒrden, so dass sie sie daher nicht weitergeben dĂŒrfe.


Die Erwiderungen sind ein Zeichen fĂŒr die unzureichende, um nicht zu sagen fehlende Kooperation von WHATSAPP mit der CNIL und stellen einen Verstoß gegen ihre Verpflichtung zur Kooperation mit der CNIL gemĂ€ĂŸ Artikel 21 des oben angefĂŒhrten Datenschutzgesetzes[5].


2. Die CNIL stellte den Mangel der Rechtsgrundlage fĂŒr die Datenverarbeitung fest


Die verschiedenen Nachforschungen bestĂ€tigten, dass sich die Nutzung dieser Daten auf die einzigen Zwecke Sicherheit und Business Intelligence beschrĂ€nkte, was die BefĂŒrchtungen der Gruppe 29 und der CNIL weckte. Denn wĂ€hrend das Ziel Sicherheit fĂŒr das reibungslose Funktionieren der App wesentlich ist, was akzeptabel ist, gilt dies nicht fĂŒr die sogenannte «Business Intelligence», die auf «eine Verbesserung der Leistungen der App und die Optimierung ihrer Verwertung» abzielt, was nach Auffassung der CNIL, die sie in ihrer Stellungnahme vom vergangenen 18. Dezember vertritt, auf keiner der Rechtsgrundlagen beruht, die im Artikel 7 des Loi Informatique et LibertĂ©s aufgefĂŒhrt sind[6].


Das Argument der Einholung der freien, spezifischen Einwilligung der betroffenen Person, welches WHATSAPP in erster Linie geltend macht, ist daher im vorliegenden Fall nicht stichhaltig.


Der Stellungnahme Nr. 15/2011 vom 13. Juli 2011 der G29 zufolge «kann die Einwilligung nur gĂŒltig sein, wenn die betreffende Person wirklich in der Lage ist, eine Wahl zu treffen (
) und wenn es keine weitreichenden Folgen hat, wenn die Einwilligung nicht erteilt wird», und sie prĂ€zisiert: «wenn die Folgen der Einwilligung die Wahlfreiheit der Personen untergraben, kann die Einwilligung nicht als frei erteilt angesehen werden».


Im vorliegenden Fall wurden die Nutzer zwar ĂŒber die Weitergabe ihrer Daten informiert, doch ihre WillensĂ€ußerung kann nicht als frei betrachtet werden, insofern das einzige Mittel, das ihnen fĂŒr den Widerspruch bleibt, darin besteht, die App zu deinstallieren und somit völlig auf ihre Nutzung zu verzichten.


Wie die G29 in ihrer oben genannten Stellungnahme ausfĂŒhrt, muss die Einwilligung zudem spezifisch sein: «Mit anderen Worten, eine allgemeine Einwilligung ohne genaue Angabe des Zwecks der Verarbeitung ist nicht akzeptabel. Die Einwilligung muss hinsichtlich der verschiedenen, klar definierten Aspekte der Verarbeitung erteilt werden. (
) Es kann nicht davon ausgegangen werden, dass sie sich auf alle rechtmĂ€ĂŸigen Zwecke erstreckt, die der fĂŒr die Datenverarbeitung Verantwortliche verfolgt».


Im vorliegenden Fall erteilen die Nutzer ihre Einwilligung zu den Nutzungsbedingungen und zu der Datenschutzrichtlinie in allgemeiner Form vor der Installation der App. Die erteilte Einwilligung betrifft nicht nur die Datenverarbeitung durch WHATSAPP, sondern auch die Verarbeitung durch FACEBOOK Inc. fĂŒr zusĂ€tzliche Zwecke, zu denen die Verbesserung ihres Dienstes gehört. Demzufolge ist die Zustimmung zur Weitergabe der Daten nicht spezifisch.

Da die Nutzer ihre Einwilligung weder frei noch spezifisch erteilen, kann sie nicht als rechtsgĂŒltig eingeholt betrachtet werden.


Weil es sich an zweiter Stelle um das berechtigte Interesse des Datenverantwortlichen handelt, das WHATSAPP geltend macht, muss dieses nicht nur als solches beurteilt werden, sondern auch im Hinblick auf die betroffene Person und ihre Grundrechte und Grundfreiheiten, «die das Interesse des fĂŒr die Datenverarbeitung Verantwortlichen nicht beeintrĂ€chtigen darf». Es geht also darum, die VerhĂ€ltnismĂ€ĂŸigkeit der Datenverarbeitung in Bezug auf ihre Zwecke zu berĂŒcksichtigen.


Konkret werden die Daten der Nutzer der App von WHATSAPP an FACEBOOK Inc. weitergeleitet, selbst wenn die Nutzer kein FACEBOOK-Konto besitzen. Wie die CNIL in ihrer Entscheidung vom vergangenen 27. November betont hat, «bedeutet dies, dass die Daten dieser Nutzer an einen anderen Datenverantwortlichen weitergegeben werden, mit dem sie keinerlei Beziehung haben».


In ihrer Stellungnahme Nr. 06/2014 vom 09. April 2014 unterstreicht die G29 hinsichtlich des berechtigten Interesses zudem, dass «bei der InteressenabwĂ€gung die zusĂ€tzlichen Sicherheitsvorkehrungen berĂŒcksichtigt werden mĂŒssen, die der fĂŒr die Verarbeitung Verantwortliche getroffen hat, um jedweden ungerechtfertigten Auswirkungen auf die betroffenen Personen vorzubeugen».


Wie die CNIL zu Recht festgestellt hat, «ist ein Widerspruchsmechanismus, der auf der endgĂŒltigen Löschung eines Kontos beruht, kein geeignetes Mittel, ein ausgewogenes Gleichgewicht zwischen dem Interesse des Unternehmens und dem Interesse der betroffenen Person herzustellen, wenn die Folgen darin bestehen, der Person die Nutzung eines Dienstes zu verbieten».


Was den vorliegenden Fall betrifft, so ist festzustellen, dass der Zweck der «Business Intelligence» fĂŒr das reibungslose Funktionieren der App nicht unbedingt erforderlich zu sein scheint und dass nicht die Nutzer, sondern vor allem WHATSAPP von der Datenweitergabe profitiert. Das offenkundige Ungleichgewicht zwischen der «massiven» Datenverarbeitung durch einen einzigen Akteur fĂŒr nicht genau festgelegte Zwecke hat notwendigerweise ein großes Ungleichgewicht zur Folge, das durch die Einrichtung eins effektiven


Widerspruchsmechanismus zugunsten des Nutzers korrigiert werden mĂŒsste.

Abschließend ist festzustellen, dass das Fehlen einer freien, expliziten Einwilligung der Nutzer sowie das mangelnde berechtigte Interesse von WHATSAPP einen Verstoß gegen die Bestimmung darstellt, dass bei jeder Datenverarbeitung eine der im Artikel 7 des Loi Informatique et LibertĂ©s aufgefĂŒhrten Rechtsgrundlagen erfĂŒllt sein muss.


3. Am 18. Dezember 2017 forderte die CNIL WHATSAPP öffentlich auf, binnen eines Monats dem Datenschutzrecht zu entsprechen


Am vergangenen 18. Dezember forderte der Vorsitzende der CNIL WHATSAPP auf, binnen eines Monats dem Datenschutzrecht zu entsprechen, ein Beschluss, den die Direktion der CNIL nach einer internen Abstimmung veröffentlicht hat[7].


Da einige in der Veröffentlichung dieses Beschlusses eine Sanktion sehen, hat die CNIL betont, man verfolge damit im Interesse der Transparenz fĂŒr die Nutzer vor allem das Ziel, die Nutzer der App zu sensibilisieren und «ihnen zu ermöglichen, die Kontrolle ĂŒber ihre Daten zu behalten». Allerdings wird auch die unzureichende, ja nicht vorhandene Kooperation von WHATSAPP wĂ€hrend der von der CNIL durchgefĂŒhrten Untersuchungen eine Rolle bei diesem Beschuss gespielt haben.


Die CNIL hat jedoch darauf hingewiesen, dass dieser Beschluss keine Sanktion darstelle, insofern WHATSAPP innerhalb der festgesetzten Frist den gesetzlichen Bestimmungen entspricht, und dass das Verfahren abgeschlossen werde und die Beendigung ebenfalls öffentlich gemacht werden wĂŒrde. Sollte WHATSAPP der Aufforderung nicht binnen der gesetzten Frist nachkommen, wird die CNIL einen Berichterstatter ernennen, der die Aufgabe hat, der Kommission in begrenzter Zusammensetzung vorzuschlagen, eine der im Artikel 45 des Loi Informatique et libertĂ©s vorgesehenen Sanktionen zu verhĂ€ngen (Abmahnung, Geldstrafe, Anordnung zur Unterlassung der Verarbeitung in Verbindung mit einem Widerruf der erteilten Genehmigung
).



[1] In der Gruppe 29 sind alle europÀischen Datenschutzbehörden zusammengeschlossen.

[3] «Die Richtlinie findet Anwendung, wenn der fĂŒr die Verarbeitung Verantwortliche vorsĂ€tzlich personenbezogene Daten sammelt - auch wenn dies nur nebenbei geschieht -, indem er Zugriff auf Mittel hat, die sich auf dem Gebiet der EU befinden».

[4] Gesetz Nr. 78-17 vom 6. Januar 1978 in abgeÀnderter Fassung.

[5] Überdies sieht der Artikel 21 des Loi Informatique et LibertĂ©s 21 des Gesetzes Nr. 78-17 vom 6. Januar 1978 vor, dass «die (
) GeschĂ€ftsfĂŒhrer öffentlicher oder privater Unternehmen, die Verantwortlichen der verschiedenen Gruppen und generell die Inhaber oder Nutzer der Verarbeitungen oder BestĂ€nde personenbezogener Daten keine Einwendungen gegen die Maßnahmen der Kommission oder ihrer Mitglieder erheben dĂŒrfen, sondern vielmehr alle Maßnahmen ergreifen mĂŒssen, die dazu dienen, sie bei der ErfĂŒllung ihrer Aufgabe zu unterstĂŒtzen».

[6] Artikel 7 des Loi Informatique et LibertĂ©s Nr. 78-17 vom 6. Januar: «Ein Verarbeitung personenbezogener Daten muss von der betroffenen Person genehmigt worden sein oder eine der nachstehenden Bedingungen erfĂŒllen:

1. Die Einhaltung einer gesetzlichen Verpflichtung, die dem fĂŒr die Datenverarbeitung Verantwortlichen obliegt;

2. Der Schutz des Lebens der betroffenen Person ;

3. Die ErfĂŒllung einer Aufgabe, die im öffentlichen Interesse liegt und die dem Verantwortlichen oder dem EmpfĂ€nger der Verarbeitung ĂŒbertragen wurde;

4. Die ErfĂŒllung eines Vertrags, bei dem die betroffene Person Partei ist, oder die DurchfĂŒhrung vorvertraglicher Maßnahmen, die auf Antrag der betroffenen Partei erfolgen;

5. Die Wahrnehmung des berechtigten Interesses seitens des fĂŒr die Verarbeitung Verantwortlichen oder des EmpfĂ€ngers, unter der Bedingung, dass die Grundrechte und Grundfreiheiten der betroffenen Person nicht verletzt werden.»


Comments


bottom of page