Erstes Dringlichkeitsverfahren nach § 66 DSGVO - Stoppschild für Facebook und WhatsApp oder wenn der Hamburger Datenschutzbeauftragte die Arbeit der Iren macht
Gespeichert von Prof. Dr. Katrin Blasek, LL.M. am
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) hat heute eine Anordnung erlassen, die der Facebook Ireland Ltd. verbietet, personenbezogene Daten von WhatsApp zu verarbeiten, soweit dies zu eigenen Zwecken erfolgt. Der sofortige Vollzug wurde angeordnet.
Diese Entscheidung könnte, sollte sie rechtlichen Bestand haben, erhebliche Signalwirkung für alle nichtirischen Datenschutzbehörden haben, die mit dem (Nicht)Agieren der irischen Datenschutzbehörde ebenfalls hadern im Hinblick auf facebook und andere Datensammler, die in Irland ihre europäische Niederlassung haben.
Prinzipiell ist der HmbBfDI hierfür nicht federführend zuständig ist, sondern die irische Datenschutzbehörde (Art. 55, 56 mit Verweis auf die Definitionen in Art. 4 DSGVO sowie Art. 60 ff. DSGVO), die - aus welchen Gründen auch immer - kaum gegen facebook vorgeht, was auch Herrn Schrems zu spüren bekam und uns u.a. Schrems II bescherte. Hierzu mein früherer Beitrag:
https://community.beck.de/2020/07/23/schutzlos-trotz-schutzschild-privacy-shield-schrems-ii-facebook
Zur Untätigkeit der Iren heißt es in der PM kurz: „Eine Untersuchung der federführenden Aufsichtsbehörde über die tatsächliche Praxis der Datenweitergabe und -nutzung hat es bislang trotz unserer Aufforderung nicht gegeben.“
Daher greift der HmbBfDI nun zum Dringlichkeitsverfahrens nach Art. 66 DSGVO, das ihm den Erlass von Maßnahmen mit einer begrenzten Geltungsdauer in Deutschland ermöglicht.
Die Dringlichkeit bestehe aus vielerlei Gründen: 60 Mio. betroffene NutzerInnen von WhatsApp in Deutschland, facebooks unrühmliche Vergangenheit (Cambrigde Analytica, Datenlecks mit 500 Mio. Betroffenen), mögliche Beeinflussung bei der bevorstehende Bundestagswahl.
Grund für die Anordnung des HmbBfDI ist die Änderung der Bedingungen von WhatsApp, mit denen sich die App weitreichende Befugnisse für eine Datenweitergabe an Facebook einräumen lässt. Diesen neuen Nutzerbedingungen müssen die NutzerInnen bis 15. Mai 2021 zustimmen, ansonsten können sie WhatsApp nicht mehr nutzen.
Für die Datenverarbeitung sieht der HmbBfDI trotz Zustimmung zu den neuen Bedingungen keine Rechtsgrundlage:
Für eine Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) fehle es an der Transparenz (nicht in informierter Weise), und die Freiwilligkeit (Art. 4 Nr. 11 DSGVO), was „in besonderer Weise für Kinder“ gilt.
Art. 6 Abs. 1 lit. b DSGVO scheitert daran, dass die Datenweitergabe für die Erbringung des Dienstes WhatsApp selbst nicht erforderlich ist.
Und ein berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) sieht er auch nicht, weil das Pendel nach einer Abwägung der widerstreitenden Interessen nicht zugunsten facebooks ausschlägt sondern zugunsten der „Rechte und Freiheiten der Nutzer“.
Auch WhatsApp kann die Weitergabe nicht auf Art. 6 Abs. 1 lit f. DSGVO stützen. (Vgl. dazu auch EWG 49, der ein Unternehmensgruppen interne Weitergabe nur für Verwaltungszwecke vorsieht, die weder WhatsApp noch facebook verfolgen).
Art. 66 Abs. 1 DSGVO läßt Maßnahmen im Dringlichkeitsverfahren nur für 3 Monate zu, weswegen der „HmbBfDI eine Befassung durch den Europäischen Datenschutzausschuss (EDSA)beantragen (wird), um eine Entscheidung auf europäischer Ebene herbeizuführen.“