EU-Datenschutz-Grundverordnung ad absurdum

Facebook kann DSGVO durch Zuständigkeitswechsel nach Irland unterlaufen.

Keyfacts

  • Das Oberlandesgericht Hamburg hatte Facebook im März die massenhafte Nutzung von WhatsApp-Nutzerdaten für eigene Zwecke untersagt.
  • Facebook versprach damals, die What's-App-Daten nur „in voller Übereinstimmung“ mit der DSGVO zu nutzen.
  • Laut aktueller WhatsApp-FAQ teilt das Unternehmen Daten wie Telefonnummer, Geräteinformationen und Informationen zum Nutzungsverhalten mit Facebook.
Barbara Scheben
  • Partnerin, Compliance & Forensic
Mehr über meine Themen Nachricht schreiben

Facebook und Datenschutz … da war doch was. Man könnte meinen, dass Facebook aktuell von einem Datenschutz-Skandal in den nächsten gerät. Man kann sich beinahe täglich mit den datenschutzrechtlichen Unzulänglichkeiten von Zuckerberg und Co. auseinandersetzen. Erst letzte Woche unterzog sich Zuckerberg einer Anhörung durch das Europäische Parlament, ohne jedoch eine der gestellten Fragen konkret zu beantworten. Und es zeigt sich: Gelernt hat man scheinbar nicht. Vielleicht will man das auch nicht.

If at first you don’t succeed, try, try again

Erst im März berichteten wir darüber, wie das Oberverwaltungsgericht Hamburg der Datensammelwut von Facebook Einhalt geboten hatte, indem eine Anordnung des Hamburger Datenschutzbeauftragten Johannes Caspar bestätigt wurde. Diese untersagte Facebook die massenhafte Nutzung von WhatsApp-Nutzerdaten für eigene Zwecke. Schon damals bestanden für Facebook nur zwei Optionen: klagen oder die Nutzungsbedingungen anpassen und es nochmals versuchen. Facebook versprach jedenfalls, die Daten nur „in voller Übereinstimmung“ mit der DSGVO zu nutzen. Wie sich nun herausstellt, gehen die Vorstellungen von Facebook einerseits und Datenschützern andererseits mit Blick auf den Begriff der „vollen Übereinstimmung mit der DSGVO“ jedoch weit auseinander.

So erklärt Facebook heimlich, still und leise im aktuellen WhatsApp-FAQ, nicht etwa in der dafür vorgesehenen Datenschutzrichtlinie, dass man nun eben doch WhatsApp-Daten wie die Telefonnummer, Geräteinformationen, aber auch Informationen zum Nutzungsverhalten mit Facebook teile. Bezweckt sei damit unter anderem die Möglichkeit der Produktverbesserung oder des Schutzes vor Spam, nicht aber die Weitergabe zu Werbezwecken, wobei man sich auch dort ein Hintertürchen offen lässt.

Wie nutzt man die DSGVO am besten?

Doch wie soll dieses Vorgehen auch nur im Entferntesten zulässig sein, wenn man doch nachweislich schon zweimal vor Gericht gescheitert ist? Eine berechtigte Frage. Wie sich Facebook die nun gültige EU-Datenschutz-Grundverordnung zu Nutze macht, ist in gewissem Maße bewundernswert. Einerseits beruft man sich auf den wohl auslegungsbedürftigsten Erlaubnistatbestand. das „berechtigte Interesse“. Dieses bestehe in der Produktweiterentwicklung und -sicherheit. Ein solches berechtigtes Interesse muss jedoch gegenüber den Interessen der Nutzer am Unterbleiben der Datenverarbeitung überwiegen. Ob eine solche Interessenabwägung zugunsten Facebooks ausfallen würde, ist in höchstem Maße zweifelhaft. Insofern, so auch Caspar, ist Facebook auf die Einwilligung der Nutzer angewiesen. Diese kann Facebook jedoch ebenfalls nicht vorweisen, so zumindest das OVG Hamburg in der schon genannten Entscheidung.

Das ist jedoch nicht der Clou am Vorgehen Facebooks. Der besteht nämlich darin, dass mit Gültigwerden der DSGVO die Anordnung Caspars nicht mehr durchsetzbar ist. Denn künftig ist die irische Datenschutzaufsichtsbehörde für Facebook federführend, da Facebook dort seine Hauptniederlassung in der EU hat. Folglich müsste diese zunächst einen neuen Verwaltungsakt erwirken. Facebook führt die DSGVO somit ad absurdum. Anstatt die mit der DSGVO intendierte Stärkung des Datenschutzes nutzt man die wechselnde Zuständigkeit nun zu einer massiven Unterwanderung der vom OVG getroffenen Entscheidung.

Was tue ich dagegen als Nutzer?

Facebook selbst scheint eine relativ klare Vorstellung davon zu haben, dass Nutzer ihre Daten nicht ohne Weiteres weitergeben wollen. So heißt es in der Datenschutzrichtlinie „du kannst deinen WhatsApp Account jederzeit löschen (also auch, wenn du deine Einwilligung zu unserer Verwendung deiner Informationen widerrufen möchtest)“. Frei nach dem Motto: Wer die Daten nicht teilen will, der kann ja austreten.

Allerdings gibt es tatsächlich eine weitere Möglichkeit. So können Nutzer Widerspruch gegen die Verarbeitung einlegen. Ob Facebook diesem dann entspricht, ist allerdings die Frage. Gleichwohl empfiehlt Caspar den Anwendern, zumindest diese Maßnahme zu nutzen.

Man kann daher mit Interesse die weitere Entwicklung verfolgen. Kaum überraschend hat der unter der DSGVO neu eingerichtete Europäische Datenschutzausschuss bereits angekündigt, die Datenweitergabe unter die Lupe zu nehmen. Und auch der schon für das Safe-Harbor-Urteil verantwortliche Datenschutzaktivist Max Schrems ist aktiv geworden und hat zum Starttag der DSGVO am 25. Mai Beschwerde gegen die Einwilligungsklauseln von Facebook, Google, Instagram und WhatsApp eingelegt. Denn wieso sollte etwas, das schon nach altem Recht untersagt war, nun unter der DSGVO, dem bisher schärfsten Datenschutzstandard, zulässig sein?

 

Barbara Scheben
  • Partnerin, Compliance & Forensic
Mehr über meine Themen Nachricht schreiben

KPMG verwendet Cookies, die für die Funktionalität und das Nutzerverhalten auf der Website notwendig sind. Durch die Nutzung der Website stimmen Sie dem Einsatz von Cookies zu, wie sie in der Datenschutzerklärung von KPMG im Detail ausgeführt ist.