2014 wurde die Gesellschaft WHATSAPP von FACEBOOK Inc. aufgekauft. Am 25. August 2016 veröffentlichte sie eine neue Fassung ihrer Nutzungs- und Datenschutzbedingungen und wies die Nutzer darauf hin, dass ihre persönlichen Daten künftig systematisch an FACEBOOK Inc. weitergegeben werden würden.
Der Zweck dieser Weitergabe seien im Wesentlichen die «Business Intelligence» und die Sicherheit. Die Nutzer hätten nun die Wahl, dies bedingungslos anzunehmen oder abzulehnen, worauf ihnen der Zugang zu der Anwendung untersagt werden würde.
Alarmiert von diesen Änderungen, beeilte sich die Artikel-29-Gruppe[1] oder G29, WHATSAPP aufzufordern, ihr ausführliche Informationen über diese Datenverarbeitung zu liefern, und verlangte die sofortige Einstellung der gezielten Werbung. Sie beauftragte überdies ihre «Enforcement Subgroup» mit der Koordinierung eventueller Nachforschungen der nationalen Behörden, insbesondere seitens der Nationalen Kommission für Informatik und Freiheitsrechte (im Folgenden: CNIL).
Die CNIL führte im Laufe des November 2016 online und mittels Fragebogen Kontrollen durch und lud WHATSAPP zu einer Anhörung. Â
Im Zuge der verschiedenen Kontrollen stellte die CNIL fest, dass das Formular, das die Erstellung eines Kontos in der App ermöglicht, keine Angaben zu der Verarbeitung personenbezogener Daten durch WHATSAPP enthielt, und dass die von bestehenden und neuen Nutzern eingeholte Einwilligung, was die Weitergabe ihrer Daten an FACEBOOK Inc. betrifft, nicht frei war.
Aufgrund dieser Feststellungen forderte die CNIL WHATSAPP auf, ihr Datenproben der französischen Nutzer zu übermitteln, welche an FACEBOOK Inc. weitergegeben worden waren.
WHATSAPP begnügte sich mit der Antwort, sie verwende die Daten der französischen Nutzer nicht für die gezielte Werbung, und weigerte sich kategorisch, der CNIL umfassende Informationen zu liefern, da sie der Ansicht war, nur dem amerikanischen Recht zu unterliegen.
Angesichts des Verstoßes von WHATSAPP gegen ihre Pflicht, mit der CNIL zu kooperieren (1.) sowie der Verstöße bezüglich der von ihr durchgeführten Datenverarbeitung (2.), hat die CNIL daher WHATSAPP am 18. Dezember 2017[2] öffentlich aufgefordert, binnen eines Monats den gesetzlichen Bestimmungen zu entsprechen (3.).
1. Da französisches Recht anwendbar ist, hat WHATSAPP gegen ihre Pflicht zur Kooperation mit der CNIL verstoßen
Der Artikel 5 Absatz 2 Titel I des Loi Informatique et Libertés [franz. Datenschutzgesetz] sieht vor, dass seine Bestimmungen auf Verarbeitungen anwendbar sind, für die der Verantwortliche «ohne auf französischem Territorium oder dem eines anderen Mitgliedstaates der Europäischen Gemeinschaft ansässig zu sein, auf Datenverarbeitungsmittel zugreift, die sich auf französischem Territorium befinden (…) », was die G29 in ihrer Stellungnahme Nr. 8/2010 vom 16. Dezember 2010 bestätigt hat[3] .
Im vorliegenden Fall steht außer Frage, dass WHATSAPP personenbezogene Daten sammelt, da sie Zugriff auf Datenverarbeitungsmittel hat, die sich auf französischem Territorium befinden, denn der mittels ihrer App angebotene Nachrichtendienst ist insbesondere zur Installation auf mobilen Endgeräten bestimmt, die sich unter anderem auf französischem Territorium befinden (siehe die Bediensprache und die Möglichkeiten zu speziellen Einstellungen für Frankreich), und ermöglicht es, zahlreiche Daten zur Identität der Nutzer zu sammeln (Name, Telefonnummer, Foto…). WHATSAPP unterliegt somit dem französischen Datenschutzgesetz in seiner abgeänderten Fassung[4].
Mehrfach hat die CNIL WHATSAPP aufgefordert, ihr Vertragsunterlagen oder andere Dokumente zu übermitteln, aus denen Informationen über den Datenaustausch zwischen WHATSAPP und den Empfängergesellschaften dieser Daten hervorgehen, sowie für einen Querschnitt von tausend Nutzern auf französischem Territorium sämtliche Daten, die WHATSAPP an FACEBOOK Inc. weitergegeben hat.
WHATSAPP erwiderte darauf, sie verstehe nicht, um welche Art von Dokumentation es sich bei diesen Aufforderungen handle, oder dass die Übermittlung der gewünschten Stichprobe rechtliche Probleme mit sich bringe oder aber, dass die gewünschten Unterlagen strengen Geheimhaltungsbestimmungen unterliegen würden, so dass sie sie daher nicht weitergeben dürfe.
Die Erwiderungen sind ein Zeichen für die unzureichende, um nicht zu sagen fehlende Kooperation von WHATSAPP mit der CNIL und stellen einen Verstoß gegen ihre Verpflichtung zur Kooperation mit der CNIL gemäß Artikel 21 des oben angeführten Datenschutzgesetzes[5].
2. Die CNIL stellte den Mangel der Rechtsgrundlage für die Datenverarbeitung fest
Die verschiedenen Nachforschungen bestätigten, dass sich die Nutzung dieser Daten auf die einzigen Zwecke Sicherheit und Business Intelligence beschränkte, was die Befürchtungen der Gruppe 29 und der CNIL weckte. Denn während das Ziel Sicherheit für das reibungslose Funktionieren der App wesentlich ist, was akzeptabel ist, gilt dies nicht für die sogenannte «Business Intelligence», die auf «eine Verbesserung der Leistungen der App und die Optimierung ihrer Verwertung» abzielt, was nach Auffassung der CNIL, die sie in ihrer Stellungnahme vom vergangenen 18. Dezember vertritt, auf keiner der Rechtsgrundlagen beruht, die im Artikel 7 des Loi Informatique et Libertés aufgeführt sind[6].
Das Argument der Einholung der freien, spezifischen Einwilligung der betroffenen Person, welches WHATSAPP in erster Linie geltend macht, ist daher im vorliegenden Fall nicht stichhaltig.
Der Stellungnahme Nr. 15/2011 vom 13. Juli 2011 der G29 zufolge «kann die Einwilligung nur gültig sein, wenn die betreffende Person wirklich in der Lage ist, eine Wahl zu treffen (…) und wenn es keine weitreichenden Folgen hat, wenn die Einwilligung nicht erteilt wird», und sie präzisiert: «wenn die Folgen der Einwilligung die Wahlfreiheit der Personen untergraben, kann die Einwilligung nicht als frei erteilt angesehen werden».
Im vorliegenden Fall wurden die Nutzer zwar über die Weitergabe ihrer Daten informiert, doch ihre Willensäußerung kann nicht als frei betrachtet werden, insofern das einzige Mittel, das ihnen für den Widerspruch bleibt, darin besteht, die App zu deinstallieren und somit völlig auf ihre Nutzung zu verzichten.
Wie die G29 in ihrer oben genannten Stellungnahme ausführt, muss die Einwilligung zudem spezifisch sein: «Mit anderen Worten, eine allgemeine Einwilligung ohne genaue Angabe des Zwecks der Verarbeitung ist nicht akzeptabel. Die Einwilligung muss hinsichtlich der verschiedenen, klar definierten Aspekte der Verarbeitung erteilt werden. (…) Es kann nicht davon ausgegangen werden, dass sie sich auf alle rechtmäßigen Zwecke erstreckt, die der für die Datenverarbeitung Verantwortliche verfolgt».
Im vorliegenden Fall erteilen die Nutzer ihre Einwilligung zu den Nutzungsbedingungen und zu der Datenschutzrichtlinie in allgemeiner Form vor der Installation der App. Die erteilte Einwilligung betrifft nicht nur die Datenverarbeitung durch WHATSAPP, sondern auch die Verarbeitung durch FACEBOOK Inc. für zusätzliche Zwecke, zu denen die Verbesserung ihres Dienstes gehört. Demzufolge ist die Zustimmung zur Weitergabe der Daten nicht spezifisch.
Da die Nutzer ihre Einwilligung weder frei noch spezifisch erteilen, kann sie nicht als rechtsgültig eingeholt betrachtet werden.
Weil es sich an zweiter Stelle um das berechtigte Interesse des Datenverantwortlichen handelt, das WHATSAPP geltend macht, muss dieses nicht nur als solches beurteilt werden, sondern auch im Hinblick auf die betroffene Person und ihre Grundrechte und Grundfreiheiten, «die das Interesse des für die Datenverarbeitung Verantwortlichen nicht beeinträchtigen darf». Es geht also darum, die Verhältnismäßigkeit der Datenverarbeitung in Bezug auf ihre Zwecke zu berücksichtigen.
Konkret werden die Daten der Nutzer der App von WHATSAPP an FACEBOOK Inc. weitergeleitet, selbst wenn die Nutzer kein FACEBOOK-Konto besitzen. Wie die CNIL in ihrer Entscheidung vom vergangenen 27. November betont hat, «bedeutet dies, dass die Daten dieser Nutzer an einen anderen Datenverantwortlichen weitergegeben werden, mit dem sie keinerlei Beziehung haben».
In ihrer Stellungnahme Nr. 06/2014 vom 09. April 2014 unterstreicht die G29 hinsichtlich des berechtigten Interesses zudem, dass «bei der Interessenabwägung die zusätzlichen Sicherheitsvorkehrungen berücksichtigt werden müssen, die der für die Verarbeitung Verantwortliche getroffen hat, um jedweden ungerechtfertigten Auswirkungen auf die betroffenen Personen vorzubeugen».
Wie die CNIL zu Recht festgestellt hat, «ist ein Widerspruchsmechanismus, der auf der endgültigen Löschung eines Kontos beruht, kein geeignetes Mittel, ein ausgewogenes Gleichgewicht zwischen dem Interesse des Unternehmens und dem Interesse der betroffenen Person herzustellen, wenn die Folgen darin bestehen, der Person die Nutzung eines Dienstes zu verbieten».
Was den vorliegenden Fall betrifft, so ist festzustellen, dass der Zweck der «Business Intelligence» für das reibungslose Funktionieren der App nicht unbedingt erforderlich zu sein scheint und dass nicht die Nutzer, sondern vor allem WHATSAPP von der Datenweitergabe profitiert. Das offenkundige Ungleichgewicht zwischen der «massiven» Datenverarbeitung durch einen einzigen Akteur für nicht genau festgelegte Zwecke hat notwendigerweise ein großes Ungleichgewicht zur Folge, das durch die Einrichtung eins effektiven
Widerspruchsmechanismus zugunsten des Nutzers korrigiert werden müsste.
Abschließend ist festzustellen, dass das Fehlen einer freien, expliziten Einwilligung der Nutzer sowie das mangelnde berechtigte Interesse von WHATSAPP einen Verstoß gegen die Bestimmung darstellt, dass bei jeder Datenverarbeitung eine der im Artikel 7 des Loi Informatique et Libertés aufgeführten Rechtsgrundlagen erfüllt sein muss.
3. Am 18. Dezember 2017 forderte die CNIL WHATSAPP öffentlich auf, binnen eines Monats dem Datenschutzrecht zu entsprechen
Am vergangenen 18. Dezember forderte der Vorsitzende der CNIL WHATSAPP auf, binnen eines Monats dem Datenschutzrecht zu entsprechen, ein Beschluss, den die Direktion der CNIL nach einer internen Abstimmung veröffentlicht hat[7].
Da einige in der Veröffentlichung dieses Beschlusses eine Sanktion sehen, hat die CNIL betont, man verfolge damit im Interesse der Transparenz für die Nutzer vor allem das Ziel, die Nutzer der App zu sensibilisieren und «ihnen zu ermöglichen, die Kontrolle über ihre Daten zu behalten». Allerdings wird auch die unzureichende, ja nicht vorhandene Kooperation von WHATSAPP während der von der CNIL durchgeführten Untersuchungen eine Rolle bei diesem Beschuss gespielt haben.
Die CNIL hat jedoch darauf hingewiesen, dass dieser Beschluss keine Sanktion darstelle, insofern WHATSAPP innerhalb der festgesetzten Frist den gesetzlichen Bestimmungen entspricht, und dass das Verfahren abgeschlossen werde und die Beendigung ebenfalls öffentlich gemacht werden würde. Sollte WHATSAPP der Aufforderung nicht binnen der gesetzten Frist nachkommen, wird die CNIL einen Berichterstatter ernennen, der die Aufgabe hat, der Kommission in begrenzter Zusammensetzung vorzuschlagen, eine der im Artikel 45 des Loi Informatique et libertés vorgesehenen Sanktionen zu verhängen (Abmahnung, Geldstrafe, Anordnung zur Unterlassung der Verarbeitung in Verbindung mit einem Widerruf der erteilten Genehmigung…).
[1] In der Gruppe 29 sind alle europäischen Datenschutzbehörden zusammengeschlossen.
[2].https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000036232595&fastReqId=1869831892&fastPos=2
[3] «Die Richtlinie findet Anwendung, wenn der für die Verarbeitung Verantwortliche vorsätzlich personenbezogene Daten sammelt - auch wenn dies nur nebenbei geschieht -, indem er Zugriff auf Mittel hat, die sich auf dem Gebiet der EU befinden».
[4] Gesetz Nr. 78-17 vom 6. Januar 1978 in abgeänderter Fassung.
[5] Überdies sieht der Artikel 21 des Loi Informatique et Libertés 21 des Gesetzes Nr. 78-17 vom 6. Januar 1978 vor, dass «die (…) Geschäftsführer öffentlicher oder privater Unternehmen, die Verantwortlichen der verschiedenen Gruppen und generell die Inhaber oder Nutzer der Verarbeitungen oder Bestände personenbezogener Daten keine Einwendungen gegen die Maßnahmen der Kommission oder ihrer Mitglieder erheben dürfen, sondern vielmehr alle Maßnahmen ergreifen müssen, die dazu dienen, sie bei der Erfüllung ihrer Aufgabe zu unterstützen».
[6] Artikel 7 des Loi Informatique et Libertés Nr. 78-17 vom 6. Januar: «Ein Verarbeitung personenbezogener Daten muss von der betroffenen Person genehmigt worden sein oder eine der nachstehenden Bedingungen erfüllen:
1. Die Einhaltung einer gesetzlichen Verpflichtung, die dem für die Datenverarbeitung Verantwortlichen obliegt;
2. Der Schutz des Lebens der betroffenen Person ;
3. Die Erfüllung einer Aufgabe, die im öffentlichen Interesse liegt und die dem Verantwortlichen oder dem Empfänger der Verarbeitung übertragen wurde;
4. Die Erfüllung eines Vertrags, bei dem die betroffene Person Partei ist, oder die Durchführung vorvertraglicher Maßnahmen, die auf Antrag der betroffenen Partei erfolgen;
5. Die Wahrnehmung des berechtigten Interesses seitens des für die Verarbeitung Verantwortlichen oder des Empfängers, unter der Bedingung, dass die Grundrechte und Grundfreiheiten der betroffenen Person nicht verletzt werden.»
[7].https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000036232717&fastReqId=1869831892&fastPos=1