BARCELONA, SPAIN - FEBRUARY 21: Founder and CEO of Facebook Mark Zuckerber gives his speach during the presentation of the new Samsung Galaxy S7 and Samsung Galaxy S7 edge on February 21, 2016 in Barcelona, Spain. The annual Mobile World Congress will start tomorrow February 22 hosting some of the world's largst communication companies, with many unveiling their last phones and gadgets. (Photo by David Ramos/Getty Images)
BARCELONA, SPAIN - FEBRUARY 21: Founder and CEO of Facebook Mark Zuckerber gives his speach during the presentation of the new Samsung Galaxy S7 and Samsung Galaxy S7 edge on February 21, 2016 in Barcelona, Spain. The annual Mobile World Congress will start tomorrow February 22 hosting some of the world's largst communication companies, with many unveiling their last phones and gadgets. (Photo by David Ramos/Getty Images) Facebook-Chef Mark Zuckerberg

Ein Beitrag von Rechtsanwalt Karsten Krupna, Experte in Sachen Datenschutz, IT-Recht und Cybersecurity.

Hintergrund

Vor rund zwei Jahren hat Facebook WhatsApp für etwa 22 Milliarden Dollar gekauft. Damals bestanden bei Datenschützern bereits Bedenken, ob mit dem Kauf nicht zugleich ein Austausch der Nutzerdaten intendiert sei. Die Unternehmen hatten dies verneint. Im August dieses Jahres hat WhatsApp allerdings angekündigt, die eigenen Datenschutzregeln zu ändern. Im Zuge der Änderungen sollen unter anderem die Telefonnummern von WhatsApp-Nutzern an Facebook weitergegeben werden. Darüber hinaus soll auch geteilt werden, wie häufig der Messenger genutzt wird.

Lediglich der Verwendung ihrer Daten für die Personalisierung von Facebook-Werbung und Freunde-Vorschläge konnten WhatsApp-Nutzer über die Nutzungseinstellungen im Wege eines Opt-Out (Entfernung eines voreingestellten Häkchens) widersprechen. Gegenüber dem sonstigen Datenaustausch wurde den WhatsApp-Nutzern hingegen kein Mitspracherecht eingeräumt.

Verwaltungsanordnung durch Hamburgs Datenschutzbeauftragten

Mit Anordnung vom 27.09.2016 hat Hamburgs Datenschutzbeauftragter Johannes Caspar Facebook untersagt, Daten von deutschen WhatsApp-Nutzern zu erheben und zu speichern. Darüber hinaus müsse Facebook die bereits von WhatsApp erhaltenen Daten der Nutzer löschen.

Hierzu erklärt Johannes Caspar:

„Die Anordnung schützt die Daten der ca. 35 Mio. WhatsApp-Nutzer in Deutschland. Es muss ihre jeweilige Entscheidung sein, ob sie eine Verbindung ihres Kontos mit Facebook wünschen. Dazu muss Facebook sie vorab um Erlaubnis fragen. Dies ist nicht geschehen. […].“

Ist der Hamburger Datenschutzbeauftragte zuständig?

Die entscheidende Frage ist, ob das deutsche Datenschutzrecht überhaupt Anwendung findet – und damit, ob der Hamburger Datenschutzbeauftragte zuständig ist.

Und das könnte der Fall sein (nach § 1 Abs. 5 Satz 1 Halbs. 2 Bundesdatenschutzgesetz). Zunächst gilt der Grundsatz des sogenannten „Sitzlandprinzips“. Danach findet das deutsche Datenschutzrecht keine Anwendung, sofern eine verantwortliche Stelle in einem anderen Staat der EU oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum personenbezogene Daten im Inland erhebt, verarbeitet oder nutzt. Etwas anderes gilt jedoch, wenn die Datenerhebung durch eine „Niederlassung“ im Inland erfolgt.

Die Aufsichtsbehörde begründet ihre Zuständigkeit genau mit diesem Aspekt. Da Facebook durch seine Niederlassung in Hamburg das deutschsprachige Werbegeschäft betreibe, sei auch das nationale Datenschutzrecht anwendbar. Facebook erklärt demgegenüber stets, dass das deutsche Datenschutzrecht keine Anwendung finde, weil das europäische Geschäft von Irland aus betrieben werde.

Die bekannte Entscheidung des Europäischen Gerichtshofs in Sachen Google und Google Spain (EuGH, Urt. v. 13.05.2014, C-131/12 Juris) könnte für den aktuellen Fall bedeuten, dass die Datenverarbeitung im „Rahmen der Tätigkeiten“ in der deutschen Niederlassung erfolgt. Damit findet das deutsche Datenschutzrecht Anwendung. Der EuGH hatte in seiner damaligen Entscheidung ein weites Verständnis der „Niederlassung“ angelegt. Der Gerichtshof hat Privatpersonen das Recht eingeräumt, von Suchmaschinen-Betreibern die Löschung von Links zu Webseiten zu verlangen, die unerwünschte Inhalte enthalten.

Die Entscheidung betraf allerdings einen Fall, in dem die Datenverarbeitung von einer verantwortlichen Stelle in einem Drittland, das heißt außerhalb der Europäischen Union kontrolliert wurde, diese Stelle jedoch über eine Niederlassung in der Europäischen Union verfügte. In diesem Fall sollte zum Schutz der EU-Bürger eine weite Auslegung des Niederlassungsbegriffs die Anwendbarkeit des europäischen Datenschutzrechts begründen.

In der Frage um Facebook und Whatsapp geht es allerdings nicht um die Anwendbarkeit des europäischen Datenschutzrechts, sondern vielmehr um das irische und deutsche Datenschutzrecht. In dieser Konstellation hat das Verwaltungsgericht Hamburg im März 2016 (Az. 15 E 4482/15) entschieden, dass „wenn aufgrund von Niederlassungen der verantwortlichen Stelle in mehreren Mitgliedstaaten mehrere mitgliedsstaatliche Datenschutzregime in Betracht kommen, das Recht desjenigen Mitgliedstaates anzuwenden“ ist „in dem sich diejenige Niederlassung befindet, die zu der streitigen Datenverarbeitung den engsten Bezug hat.“ Findet das europäische Datenschutzrecht also Anwendung, soll nach Auffassung des Verwaltungsgerichts Hamburg damit nicht ein weites (Google Spain), sondern vielmehr ein enges Begriffsverständnis der Niederlassung maßgeblich sein. Dies könnte zur Folge haben, dass für die Bewertung der Datenverarbeitung letztlich nur irisches Datenschutzrecht maßgeblich wäre.

Eine Frage wird entscheidend sein

Facebook könnte nun nach dieser Maßgabe die Rechtmäßigkeit der Verwaltungsanordnung gerichtlich überprüfen lassen. Entscheidend für das Verfahren wird die Frage sein, ob das jeweilige Gericht einer engen oder weiten Auslegung des Niederlassungsbegriffs für die vorliegende Fallkonstellation folgt beziehungsweise überhaupt eine Differenzierung für zulässig erachtet. Wird in dem Verfahren die Anwendbarkeit des deutschen Datenschutzrechts bestätigt, dürfte das Gericht allerdings auch den Datenaustausch zwischen WhatsApp und Facebook als unzulässig bewerten.

Da für diesen Datenverarbeitungsvorgang keine gesetzliche Erlaubnisnorm aus dem Bundesdatenschutzgesetz oder einer sonstigen Rechtsvorschrift in Betracht kommt, wäre der Datenaustausch nur auf Basis einer wirksamen Einwilligungserklärung der Nutzer zulässig. Da die jedoch nicht eingeholt wurde, wäre sowohl die Weitergabe der Nutzerdaten von WhatsApp an Facebook als auch die Nutzung dieser Daten durch Facebook unzulässig.

Ungeachtet der datenschutzrechtlichen Aspekte wird auch noch zu prüfen sein, ob die von Facebook intendierten Werbemaßnahmen nach dem Datenaustausch zulässig sind. Bei von Facebook generierten Werbeemails dürfte dies jedenfalls nicht der Fall sein, da hierfür eine ausdrückliche Einwilligung der Nutzer erforderlich wäre. Diese Voraussetzungen nach dem Gesetz gegen den unlauteren Wettbewerb (UWG) sind zumindest durch das angewandte Opt-Out-Verfahren nicht erfüllt.

Bild: David Ramos