Erstes Dringlichkeitsverfahren nach § 66 DSGVO - Stoppschild für Facebook und WhatsApp oder wenn der Hamburger Datenschutzbeauftragte die Arbeit der Iren macht
von , veröffentlicht am 11.05.2021Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) hat heute eine Anordnung erlassen, die der Facebook Ireland Ltd. verbietet, personenbezogene Daten von WhatsApp zu verarbeiten, soweit dies zu eigenen Zwecken erfolgt. Der sofortige Vollzug wurde angeordnet.
Diese Entscheidung könnte, sollte sie rechtlichen Bestand haben, erhebliche Signalwirkung für alle nichtirischen Datenschutzbehörden haben, die mit dem (Nicht)Agieren der irischen Datenschutzbehörde ebenfalls hadern im Hinblick auf facebook und andere Datensammler, die in Irland ihre europäische Niederlassung haben.
Prinzipiell ist der HmbBfDI hierfür nicht federführend zuständig ist, sondern die irische Datenschutzbehörde (Art. 55, 56 mit Verweis auf die Definitionen in Art. 4 DSGVO sowie Art. 60 ff. DSGVO), die - aus welchen Gründen auch immer - kaum gegen facebook vorgeht, was auch Herrn Schrems zu spüren bekam und uns u.a. Schrems II bescherte. Hierzu mein früherer Beitrag:
https://community.beck.de/2020/07/23/schutzlos-trotz-schutzschild-privacy-shield-schrems-ii-facebook
Zur Untätigkeit der Iren heißt es in der PM kurz: „Eine Untersuchung der federführenden Aufsichtsbehörde über die tatsächliche Praxis der Datenweitergabe und -nutzung hat es bislang trotz unserer Aufforderung nicht gegeben.“
Daher greift der HmbBfDI nun zum Dringlichkeitsverfahrens nach Art. 66 DSGVO, das ihm den Erlass von Maßnahmen mit einer begrenzten Geltungsdauer in Deutschland ermöglicht.
Die Dringlichkeit bestehe aus vielerlei Gründen: 60 Mio. betroffene NutzerInnen von WhatsApp in Deutschland, facebooks unrühmliche Vergangenheit (Cambrigde Analytica, Datenlecks mit 500 Mio. Betroffenen), mögliche Beeinflussung bei der bevorstehende Bundestagswahl.
Grund für die Anordnung des HmbBfDI ist die Änderung der Bedingungen von WhatsApp, mit denen sich die App weitreichende Befugnisse für eine Datenweitergabe an Facebook einräumen lässt. Diesen neuen Nutzerbedingungen müssen die NutzerInnen bis 15. Mai 2021 zustimmen, ansonsten können sie WhatsApp nicht mehr nutzen.
Für die Datenverarbeitung sieht der HmbBfDI trotz Zustimmung zu den neuen Bedingungen keine Rechtsgrundlage:
Für eine Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) fehle es an der Transparenz (nicht in informierter Weise), und die Freiwilligkeit (Art. 4 Nr. 11 DSGVO), was „in besonderer Weise für Kinder“ gilt.
Art. 6 Abs. 1 lit. b DSGVO scheitert daran, dass die Datenweitergabe für die Erbringung des Dienstes WhatsApp selbst nicht erforderlich ist.
Und ein berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) sieht er auch nicht, weil das Pendel nach einer Abwägung der widerstreitenden Interessen nicht zugunsten facebooks ausschlägt sondern zugunsten der „Rechte und Freiheiten der Nutzer“.
Auch WhatsApp kann die Weitergabe nicht auf Art. 6 Abs. 1 lit f. DSGVO stützen. (Vgl. dazu auch EWG 49, der ein Unternehmensgruppen interne Weitergabe nur für Verwaltungszwecke vorsieht, die weder WhatsApp noch facebook verfolgen).
Art. 66 Abs. 1 DSGVO läßt Maßnahmen im Dringlichkeitsverfahren nur für 3 Monate zu, weswegen der „HmbBfDI eine Befassung durch den Europäischen Datenschutzausschuss (EDSA)beantragen (wird), um eine Entscheidung auf europäischer Ebene herbeizuführen.“
Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben
5 Kommentare
Kommentare als Feed abonnierenIn diesem Zusammenhang vielleicht auch interessant ? : ? : ? :
https://community.beck.de/2021/01/14/eugh-und-ds-gvo-wann-darf-eine-nicht-federfuehrende-datenschutzbehoerde-einschreiten
https://netzpolitik.org/2021/vorwurf-von-ulrich-kelber-irische-datenschutzbehoerde-macht-falsche-aussagen/
https://www.heise.de/news/DSGVO-Beschwerden-in-den-Papierkorb-Kritik-an-Irlands-Datenschutzbeauftragter-6030504.html
https://www.lto.de/recht/hintergruende/h/eugh-c-311-18-schlussantraege-schrems-facebook-irische-datenschutzbehoerde-datentransfer-eu-usa/
https://www.heise.de/tp/features/EuGH-Generalanwalt-Daten-von-Europaeern-in-USA-unsicher-3375632.html
https://www.heise.de/tp/features/Europaeische-Daten-gehen-die-USA-nichts-an-4846251.html
Die LTO-Presseschau:
WhatsApp/Facebook und Datenschutz: Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, Johannes Caspar, hat eine Anordnung gegen Facebook erlassen, in welcher der Plattform untersagt wird, Daten von WhatsApp für eigene Zwecke zu nutzen, berichten FAZ (Corinna Budras), spiegel.de (Markus Böhm) und LTO. Hintergrund ist eine ab dem 15. Mai geltende Änderung der Nutzungsbedingungen. Nutzerinnen und Nutzer, die dem Update nicht zugestimmt haben, sollen zwar zunächst weiter ohne Einschränkungen auf den Chatdienst zugreifen können, einige Wochen später wird der Funktionsumfang für sie aber schrittweise schrumpfen. Eigentlich ist für Facebook nicht der Hamburgische Datenschutzbeauftragte zuständig, sondern die irische Datenschutzbehörde. Aufgrund von deren Untätigkeit habe er sein Handeln jedoch auf ein Dringlichkeitsverfahren nach Artikel 66 Datenschutz-Grundverordnung gestützt, das ihm den Erlass von Maßnahmen mit einer begrenzten Geltungsdauer in Deutschland ermögliche, erläutert Rechtsprofessorin Katrin Blasek auf beck-community.
Interessanterweise ist der Kauf von Whatsapp durch Facebook seinerzeit genehmigt worden, weil man
zugesichert hatte, keine Daten von Whatsapp im Facebook - Konzern verwerten zu wollen. Man kann also gespannt sein, was auf europäischer Ebene entschieden wird. Einstweilen sieht sich vermutlich bei Facebook niemand veranlasst, sich um die Entscheidung eines einsamen Datenschutzbeauftragten in der Kraut - Provinz
zu kümmern. Who ? Who' s that ?
Hallo Kollege Rathjen,
das ist interessant. Haben Sie da genauere Infos für mich?
Danke im Voraus!
Die Zusage wird bspw. hier berichtet:
https://www.welt.de/kmpkt/article176636477/Datenschutz-WhatsApp-teilt-Nutzerdaten-mit-Facebook.html