Datenaustausch zwischen WhatsApp und Facebook bleibt auf europäischer Ebene unreguliert
Veröffentlicht am:Pressemitteilung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit vom 15.07.2021.
Der Europäische Datenschutzausschuss (EDSA) hat den Antrag des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) abgelehnt, endgültige Maßnahmen zu verhängen, um einen Datenaustausch zwischen WhatsApp und Facebook zu verhindern. Er bewertete diese Frage als nicht dringlich. Auch andere Formen der Regulierung, z.B. Facebook zu warnen, Daten von WhatsApp-Nutzer:innen für eigene Zwecke wie Produktverbesserung und Sicherheit ohne deren Einwilligung zu verarbeiten, wurden nicht ergriffen. Die Datenschutzgrundverordnung (DSGVO) sieht eine Warnung als Möglichkeit in solchen Fällen vor, in denen beabsichtigte Verarbeitungen voraussichtlich gegen die DSGVO verstoßen.
Der EDSA stellte zwar erhebliche Widersprüche zwischen den Informationen fest, mit denen einerseits die WhatsApp-Nutzer:innen über weitreichende Verwendungen ihrer Daten durch Facebook informiert werden, und andererseits den Zusagen der Unternehmen gegenüber Datenschutzaufsichtsbehörden, dies gleichwohl (noch) nicht zu tun. Der EDSA meldete zudem erhebliche Zweifel an der Rechtsgrundlage an, auf die sich Facebook bei der Nutzung der WhatsApp-Daten für eigene oder gemeinsame Verarbeitungen stützen möchte. Er greift damit wesentliche Teile der Argumentation des HmbBfDI auf.
Trotz dieser Feststellungen hat sich der EDSA nur dazu entschlossen, die federführende irische Datenschutzaufsichtsbehörde (IDPC) anzuhalten, eine Prüfung vorzunehmen. Diese soll die tatsächlichen Verarbeitungsprozesse bei Facebook in Bezug auf WhatsApp-Daten und die Frage der möglichen Rechtsgrundlage umfassen, insbesondere des überwiegenden berechtigten Interesses im Sinne von Art. 6 Abs. 1 f) DSGVO. Eine Frist wurde der IDPC hierfür nicht gesetzt.
Hierzu Ulrich Kühn, stellvertretender Hamburgischer Beauftragter für Datenschutz und Informationsfreiheit: „Die Entscheidung des Europäischen Datenschutzausschusses ist enttäuschend. Das Gremium, das geschaffen wurde, um die einheitliche Anwendung der DSGVO in der gesamten Europäischen Union sicherzustellen, verpasst damit die Chance, sich klar für den Schutz der Rechte und Freiheiten von Millionen Betroffenen in Europa einzusetzen. Er überlässt dies weiterhin allein der irischen Aufsichtsbehörde. Diese ist trotz unserer über mehr als zwei Jahre hinweg wiederholten Aufforderung, die Frage des Datenaustausches zwischen WhatsApp und Facebook zu untersuchen und ggf. zu sanktionieren, in dieser Hinsicht nicht tätig geworden. Dass sie jetzt zu einer Prüfung gedrängt wird, ist ein Erfolg unserer langjährigen Bemühungen. Allerdings wird diese unverbindliche Maßnahme der Bedeutung der Thematik nicht gerecht. Es ist kaum ein Fall denkbar, bei dem vor dem Hintergrund des drohenden Eingriffs in die Rechte und Freiheiten einer sehr großen Zahl von Betroffenen und deren faktischer Ohnmacht gegenüber monopolartigen Anbietern der dringende Handlungsbedarf für konkrete Maßnahmen klarer ins Auge springt. Der EDSA beraubt sich damit auch perspektivisch eines entscheidenden Instruments, um die DSGVO europaweit durchzusetzen. Dies ist keine gute Nachricht für die Betroffenen und den Datenschutz in Europa insgesamt.“
Die Pressemitteilungen des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit können hier abgerufen werden.