Seit einigen Wochen berichten die Medien bereits über das Update der Nutzungs- und Datenschutzbedingungen von Whatsapp. Ursprünglicher Aufreger war die Ankündigung von Whatsapp, die Accounts der Nutzer zu deaktivieren, die den neuen Bedingungen nicht bis zum 15.Mai 2021 zustimmen.
Dabei sei zunächst darauf hingewiesen, dass für die Nutzer innerhalb des Europäischen Wirtschaftsraumes nicht nur die dem AGB-Recht unterliegenden Nutzungsbedingungen neu gestaltet worden sind, sondern eben auch die als Whatsapp Datenschutzrichtlinie bezeichneten Datenschutzbedingungen.
Aufgrund öffentlichen Drucks hat sich Whatsapp nun „erweichen“ lassen und mitgeteilt, dass Whatsapp Accounts auch weiter genutzt werden können, wenn Nutzer den Änderungen nicht bis zum 15.Mai 2021 zustimmen. Nach neuesten Meldungen ist aber davon auszugehen, dass Nutzer, die noch nicht zugestimmt haben, nicht nur mit regelmäßigen Popup-Fenstern weiter „gestresst“ werden, sondern deren Messenger-Funktionen immer weiter eingeschränkt werden.
Faktisch wird diese Strategie von Whatsapp mittelfristig natürlich dazu führen, dass immer mehr Nutzer zustimmen.
A. Anordnung der Hamburger Datenschutzbehörde
Mal abgesehen davon, dass solche „erzwungenen“ Einwilligungen mangels Freiwilligkeit gegen Art. 7 DSGVO verstoßen, hat die Datenschutzbehörde in Hamburg (kurz HmbBfDI) der Facebook Ireland Ltd in einer aktuellen Anordnung die Weiterverarbeitung der Whatsapp-Daten unter Bezugnahme auf die neuen Datenschutzbedingungen untersagt (siehe Pressemitteilung des HmbBfDI vom 11.05.2021).
Diese Anordnung irritiert aus verschiedenen Gründen. Geht man mit dem HmbBfDI von einer Datenschutzwidrigkeit der neuen Rahmenbedingungen aus, so hätte eine Anordnung gegen die Whatsapp Ireland Ltd (nachfolgende Whatsapp) als eigentlich verantwortlichen Verarbeiter der Whatsapp-Daten deutlich mehr Sinn gemacht, als die Weiterverarbeitung durch die Facebook Ireland Ltd zu untersagen. Die Historie und auch die Durchsicht der neuen Datenschutzbedingungen zeigt zudem, dass die Weiterverarbeitung der Whatsapp-Daten seitens der Facebook Ireland Ltd durch die Einwilligung im Rahmen der neuen Datenschutzbedingungen nicht wesentlich erweitert werden soll. Mal abgesehen von der Frage der Zuständigkeit des HmbBfDI für eine solche Anordnung gegen eine irische Gesellschaft ist mehr als fraglich, ob die Datenschutzbehörde hiermit überhaupt das Kernproblem der neuen Gestaltung adressiert.
Entgegen der Annahme der Hamburger Datenschutzbehörde geht es bei den neuen Bedingungen von Whatsapp primär wohl nicht um die (ohnehin schon stattfindende) Weitergabe von Daten an Facebook, sondern vor allem darum, die Kommunikation und weitere Dienste (z.B. Payment) zwischen Unternehmen und Nutzern weiter „aufzubohren“. In Anlehnung an asiatische Messenger (wie vor allem WeChat) will Whatsapp nicht mehr nur Consumer-to-Consumer (C2C) Kommunikation ermöglichen, sondern ein wesentlicher Kanal mit neuen Funktionen für die Business-to-Consumer (B2C) Interaktion werden.
Demgemäß hat Whatsapp wohl auch schon mitgeteilt, dass die Anordnung auf einem „fundamentalen Mißverständnis“ beruhe und deshalb keinen Einfluss auf die weitere Umsetzung der Updates habe.
B. Update der Datenschutzbedingungen von Whatsapp
Nachdem im Internet viel „Halbgares“ über das Datenschutz-Update von Whatsapp berichtet wird, sollen die wesentlichen Regelungen und Änderungen nachfolgend noch einmal zusammengefasst werden.
Der Hamburger Datenschutzbehörde ist insofern zuzustimmen, als das die neuen Datenschutzbedingungen schwer zu überblicken und erfassen sind, weil sich die teilweise recht abstrakt gehaltenen Hinweise verstreut auf unterschiedlichen Ebenen der Datenschutzerklärung finden und in ihrer europäischen und internationalen Version schwer auseinanderzuhalten sind. Ein „normaler“ Nutzer hat tatsächlich wohl keine Chance zu verstehen, wie Whatsapp seine Daten eigentlich verarbeitet. Auch wenn es aus meiner Sicht durchaus denkbar ist, diese Hinweise nachvollziehbarer und transparenter zu gestalten, muss man Whatsapp aber wohl auch zugestehen, dass die Verarbeitungsvorgänge bei Whatsapp eine nicht unerhebliche Komplexität aufweisen, die nicht leicht zu beschreiben ist.
C. Übersicht über die neuen Datenschutzbedingungen von Whatsapp
Die wesentlichen Regelungen lassen sich aber wie folgt zusammenfassen:
Welche Daten verarbeitet Whatsapp?
Whatsapp unterteilt die „Informationen, die wir erheben“ in
- Informationen, die du zur Verfügung stellst (z.B. Account-Informationen und Nachrichten)
- Automatisch erhobene Informationen (z.B. Nutzungs- und Protokollinformationen, Geräte- und Verbindungsdaten, Standort-Informationen)
- Informationen Dritter (z.B. Informationen oder Meldungen von anderen Nutzern, Unternehmen auf Whatsapp, Drittanbieter und Facebook-Unternehmen)
Auch wenn man sich hier etwas mehr Konkretisierung gewünscht hätte, erscheint diese Übersicht noch einigermaßen nachvollziehbar.
Wie verarbeitet Whatsapp die Daten?
Nach den entsprechenden Hinweisen in den Datenschutzbedingungen verarbeitet Whatsapp die Daten einschließlich der Metadaten zunächst nachvollziehbarerweise um die Kernfunktionen der App („Unsere Dienste“) zur Verfügung stellen und Sicherheit und Integrität gewährleisten zu können.
Spannend wird es dann bei der Nutzung der Daten für die „Kommunikationen zu unseren Diensten und den Facebook-Unternehmen“ und der „Interaktionen mit Unternehmen“.
Die Liste der Facebook Unternehmen, die die Daten nutzen können sollen, um mit dem Nutzer kommunizieren, diesen über neuen Bedingungen und Richtlinien oder Marketing-Material informieren zu können, findet sich auf einer verlinkten Webseite.
Entsprechend dem oben bereits skizzierten Ziel von Whatsapp, den eigenen Messenger für die Kommunikation und weitere Dienste (z.B. Payment) zwischen Unternehmen und Nutzern weiter „aufzubohren“, sollen die Daten auch für die Interaktion mit Unternehmen genutzt werden. Hier deutet Whatsapp immer wieder an, dass es keine Werbung auf dem Messenger geben soll und die Nutzer die Kontrolle behalten sollen, mit welchen Unternehmen sie kommunizieren und interagieren wollen.
An wen gibt Whatsapp die Daten weiter?
Die Datenweitergabe wird seitens Whatsapp etwas verklausuliert unter der Überschrift „Informationen, die du teilst bzw. die wir teilen“ beschrieben.
Whatsapp gibt Daten weiter, um die Dienste „betreiben, anbieten, verbessern, verstehen, individualisieren, unterstützen und vermarkten zu können“. Solch allgemeine Begriffe dürften den Transparenzanforderungen der DSGVO kaum genügen.
Whatsapp gibt Daten der Nutzer (wie z.B. die Telefonnummer) wohl an Unternehmen weiter, mit denen der Nutzer kommuniziert. Zudem will Whatsapp Unternehmen Statistiken (konkret Metriken) über die Nutzung der Dienste zur Verfügung stellen können.
Während die Ausführungen zur Datenweitergabe an Unternehmen noch einigermaßen nachvollziehbar sind, wird es bei den Hinweisen zur Datenweitergabe an „Drittunternehmen“, die Facebook-Unternehmen und Dienste Dritter dann doch recht intransparent.
Im nächsten Abschnitt „So arbeitet WhatsApp mit anderen Facebook-Unternehmen zusammen“ erhofft man sich dann weitere Aufklärung zu der Weitergabe und –verarbeitung von Daten im Facebook Konzern. Dort erfährt man, dass Daten an die Facebook-Unternehmen weitergeleitet werden können, um „Produkte von Facebook Unternehmen“ zu fördern. Die Facebook Produkte (wie z.B: Facebook selbst (einschließlich der App), Instagram, Geräte der Marke Portal, Oculus-Produkte, Facebook Shops) werden dann wiederum auf einer verlinkten Webseite aufgelistet.
Diese Hinweise dürften wohl kaum ausreichen, um Nutzer den Anforderungen des Art. 13 DSGVO entsprechend über die Datenweitergabe an Dritte zu informieren.
Auf welcher Rechtsgrundlage verarbeitet Whatsapp die Daten?
Nach der DSGVO dürfen personenbezogene Daten (wie hier die Nutzerdaten) nur verarbeitet werden, wenn einer der Erlaubnistatbestände des Art. 6 DSGVO die Verarbeitung legitimiert.
Juristisch spannend wird es deshalb bei den Hinweisen von Whatsapp zur Legitimation der eigenen Datenverarbeitung nebst –weitergabe.
Whatsapp verarbeitet die Daten unter Zugrundelegung von Art. 6 Abs.1 lit.b DSGVO zu „Vertragszwecken“, um die eigenen Dienste betreiben, bereitstellen, verbessern, anpassen und unterstützen können bzw. die Sicherheit und Integrität gewährleisten zu können.
Entgegen zahlreicher Medienberichte wird die Einwilligung im Sinne von Art. 6 Abs.1 lit.a DSGVO in den Datenschutzbedingungen von Whatsapp dann aber nur insoweit eingeholt, um Daten aus dem mobilen Endgerät (z. B., Standort, Kamera oder Fotos) aufgrund der aktivierten gerätebasierten Einstellungen für die jeweiligen Funktionen (z.B. Standortfreigabe oder Versendung von Medien an Kontakte) verarbeiten zu können.
Es ist also schlicht falsch, wenn die Hamburger Datenschutzbehörde bzw. diverse Medienberichte davon ausgehen, dass die Datenweitergabe innerhalb des Facebook-Konzerns oder eine werbliche Verwendung dieser Daten nun durch eine Einwilligung im Rahmen der neuen Datenschutzbedingungen erlaubt werden soll. Für die Zulässigkeit der bereits durchgeführten Datenweitergabe im Facebook-Konzern ist es damit schlicht irrelevant, ob die Nutzer den neuen Datenschutzbedingungen zustimmen oder nicht.
Zahlreiche Datenverarbeitungsvorgänge bei Whatsapp bzw. eine Weitergabe an Facebook-Unternehmen sollen schließlich über berechtigte Interessen im Sinne von Art. 6 Abs.1 lit.f DSGVO legitimiert werden.
Problematisch ist hier vor allem, dass Whatsapp die
- Informationen, die du zur Verfügung stellst,
- Automatisch erhobene Informationen und
- Informationen Dritter
zur Bereitstellung von Messungen, Analysen und sonstigen Unternehmensservices und für die Bereitstellung von Marketingkommunikationen selbst verarbeiten und an Dritte (z.B. die Facebook-Unternehmen) weitergeben können will. Hier bestehen erhebliche Bedenken, ob diese Hinweise den Informationsanforderungen des Art. 13 DSGVO genügen bzw. entsprechend weit reichende Verarbeitungsvorgänge tatsächlich auch über berechtigte Interessen legitimiert werden können.
Wie werden Daten in Drittstaaten übertragen?
Spannend sind schließlich auch die Hinweise zur Übertragung personenbezogener Daten in sogenannten Drittstaaten (wie z.B: USA). Natürlich überträgt die Whatsapp Ireland Ltd auch Nutzerdaten an die Whatsapp LLC oder die Facebook Inc in die USA. Hier weist Whatsapp darauf hin, das insofern die Standardvertragsklauseln vereinbart worden seien, um in den Drittstaaten ein angemessenes Datenschutzniveau zu gewährleisten. Dies dürfte nach dem Urteil des EuGH in Sachen Schrems II nicht ausreichen (vgl. Europäischer Gerichtshof kippt Privacy Shield – Was Datenexporteure nun beachten müssen).
D. Zusammenfassung
Die neuen Datenschutzbedingungen sind recht komplex und für den „Durchschnittsnutzer“ kaum noch zu verstehen. Dennoch bemüht sich Whatsapp, mit dem Update deutlich mehr Transparenz herzustellen und den Anforderungen der DSGVO zu genügen.
Als zentraler Datenschutzaspekt ist darauf hinzuweisen, dass die Nachrichten bei Whatsapp, die die Nutzer miteinander austauschen auch weiter Ende-zu-Ende verschlüsselt übermittelt werden. Whatsapp kann diese also nicht „mitlesen“. Die Nachrichteninhalte werden damit wohl weder von Whatsapp weiter genutzt, noch an Dritte (z.B. Facebook) weitergegeben.
Nach Informationen von Whatsapp werden gewisse Nutzerdaten auch heute schon an Facebook weitergegeben. Diese Prozesse werden nun in der neuen Datenschutzerklärung etwas transparenter dargestellt. Bezüglich dieser Verarbeitungsvorgänge, die ohnehin schon stattfinden, ist es also unerheblich, ob Nutzer den neuen Datenschutzbedingungen zustimmen oder nicht.
Die Erteilung der datenschutzrechtlichen Einwilligung ist damit nur für den Zugriff auf Standortinformationen und Medien zur Versendung an die Kontakte relevant. Da man den Zugriff von Whatsapp auf diese Daten ohnehin in den Geräteeinstellungen wieder ändern kann, erscheint dies datenschutzrechtlich nicht allzu problematisch.
Als zentraler Aspekt bleibt damit die zukünftige Verarbeitung und Weitergabe der Daten im Rahmen der geplanten B2C Kommunikation zwischen Nutzern und Unternehmen. Hier muss jeder Nutzer selbst entscheiden, ob diese Verarbeitung hinreichend transparent beschrieben wird und er damit einverstanden ist. Da diese Verarbeitung aber wohl nicht davon abhängt, ob die Nutzer den neuen Datenschutzbedingungen zustimmen oder nicht, bleibt hier wohl nur die „Abstimmung mit den Füßen“. Wer nicht möchte, dass seine Daten den bisherigen in den Datenschutzbedingungen beschriebenen bzw. den im Rahmen der B2C Kommunikation geplanten Vorgängen verarbeitet werden, dem bleibt kurzfristig wohl nur die Option, den Messenger vom Endgerät zu löschen und Whatsapp zur Löschung aller Daten aufzufordern.
Schließlich sollte man auch den Verlauf der Auseinandersetzung zwischen der Hamburger Datenschutzbehörde und der Facebook Ireland Ltd weiter beobachten. Auch wenn der Ansatz und die Argumentation der Datenschutzbehörde aus den oben genannten Gründen verfehlt scheint, dürfte spannend werden, wie das HmbBfDI auf die Zurückweisung seitens Whatsapp („fundamentales Missverständnis“) reagiert.
[…] Einfluss auf die weitere Einführung des Updates haben”. Tatsächlich bezweifeln auch Rechtsanwälte sowie andere Daten- und Verbraucherschützerinnen, ob die neuen Nutzungsbedingungen der richtige […]