Facebook: Datenschützer verbieten Datenweitergabe von WhatsApp

Wie heute bekannt wurde, hat der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit Johannes Caspar eine Verwaltungsanordnung erlassen, die es Facebook untersagt, Daten von deutschen WhatsApp-Nutzern zu erheben und zu speichern. Bereits von WhatsApp an Facebook übermittelte Daten soll Facebook löschen.

Wie es in der Pressemitteilung der Behörde heißt, seien Facebook und WhatsApp zwei selbstständige Unternehmen. Nachdem Facebook WhatsApp vor zwei Jahren erworben habe, hätten die Unternehmen zugesichert, dass die Daten der Nutzer nicht ausgetauscht würden. Der Datenschützer wirft den Anbietern eine Irreführung der Nutzer und der Öffentlichkeit sowie einen Verstoß gegen das deutsche Datenschutzrecht vor.

IST DEUTSCHES RECHT ANWENDBAR?

Hier liegt allerdings bereits der sprichwörtliche Hase im Pfeffer. Denn zu allererst stellt sich die Frage: Ist deutsches Datenschutzrecht überhaupt anwendbar? Der Dienst Facebook wird zumindest in Europa von der Facebook Ireland Ltd. mit Sitz in Dublin angeboten. Gemäß § 1 Abs. 5 des Bundesdatenschutzgesetzes (BDSG) findet deutsches Datenschutzrecht jedoch keine Anwendung, sofern eine in einem anderen Mitgliedsstaat der Europäischen Union belegene verantwortliche Stelle personenbezogene Daten im Inland erhebt, verarbeitet oder nutzt, es sei denn, dies erfolgt durch eine Niederlassung im Inland. Dem Wortlaut des Gesetzes folgend käme eine Anwendung deutschen Datenschutzrechts somit nur in Betracht, soweit die Datenerhebung und -speicherung „durch eine Niederlassung“ in Deutschland erfolgt.

EUGH-URTEIL WENIG HILFREICH

Die Pressemitteilung lässt vermuten, dass der Hamburger Datenschützer Letzteres annimmt. Denn er verweist auf die deutsche Facebook-Niederlassung in Hamburg, die das deutschsprachige Werbegeschäft betreibt. Caspar beruft sich auf das Urteil des EuGH vom 28.07.2016, in dem das Gericht über Vorlagefragen in einem Verfahren zwischen Amazon und dem österreichischen Verein für Konsumenteninformation zu befinden hatte (Rechtssache C-191/15). Darin verweist der EuGH allerdings im wesentlichen nur auf das maßgebliche Kriterium, ob die Tätigkeit „im Rahmen der Tätigkeiten“ der Niederlassung ausgeübt werde. Wann dies der Fall ist, verrät das von Caspar angeführte EuGH-Urteil nicht.

KRITERIUM DER ENGSTEN VERBINDUNG

Diese Frage wurde indes bereits vom Verwaltungsgericht Hamburg analysiert, das am 3. März diesen Jahres eine Verfügung des Hamburgischen Datenschutzbeauftragten gegen Facebook zur Klarnamenpflicht kassiert hatte. Darin kam das VG mit einer überzeugenden Begründung zum Ergebnis, dass § 1 Abs. 5 BDSG, der auf Art. 4 Abs. 1 lit. a der Datenschutzrichtlinie 95/46/EG zurückgeht, bei grenzüberschreitenden Sachverhalten auch als Kollisionsnorm zwischen den Rechtsordnungen der verschiedenen Mitgliedsstaaten fungiert. Denn auch wenn man die deutsche Facebook-Dependance als Niederlassung im Sinne von § 1 Abs. 5 BDSG qualifiziert, läge zumindest auch eine Verantwortlichkeit der irischen Facebook-Niederlassung nahe. In einem solchen Fall sei das Recht (und nur das Recht) derjenigen Niederlassung anzuwenden, die zu der Datenverarbeitung die engste Verbindung aufweist. Das OVG Hamburg hat die Entscheidung in der Sache bestätigt, allerdings auf die ungeklärte Rechtslage und das Fehlen einer verlässlichen Prognose über deren Beantwortung verwiesen (weitergehend musste sich das OVG in seiner Eilentscheidung mit der Rechtslage nicht befassen, weil es schon die ungeklärte Rechtslage als ausreichend ansah, um die aufschiebende Wirkung des Widerspruches von Facebook wiederherzustellen, nachdem die Behörde den Sofortvollzug angeordnet hatte). Wie das VG Hamburg argumentierte auch der Generalanwalt in seinen Schlussanträgen in dem von Johannes Caspar angeführten EuGH-Verfahren (Tz. 125):

Im vorliegenden Fall geht es hingegen darum, welches von mehreren nationalen Rechten, mit denen die Richtlinie umgesetzt wurde, auf die in den streitigen Klauseln vorgesehenen Datenverarbeitungsvorgänge Anwendung finden soll. Dabei ist die Niederlassung zu bestimmen, im Rahmen von deren Tätigkeiten diese Vorgänge am unmittelbarsten erfolgen.

Der EuGH hat in seiner Entscheidung dann allerdings leider darauf verzichtet, diese – oder eine andere – Richtschnur im Urteil aufzugreifen.

ANALYSE

Es erscheint fraglich, ob sich die Hamburgische Datenschutzbehörde mit der Entscheidung einen Gefallen tut. Zwar war die Behörde zunächst – beflügelt durch die weite Auslegung des Begriffes „im Rahmen der Tätigkeiten einer Niederlassung“ im mittlerweile berühmten Google Spain-Urteil des EuGH – davon ausgegangen, dass jede Niederlassung im Inland zugleich die Anwendbarkeit deutschen Datenschutzrechts bewirkt. Dabei verkennt die Behörde aber einen gravierenden Unterschied: Während die Google Spain-Entscheidung mit einer weiten Auslegung des Niederlassungsbegriffs operiert, um überhaupt das europäische Datenschutzrecht zur Anwendung bringen zu können, geht es im vorliegenden Fall um den Konflikt zweier innerstaatlicher Rechte, die jeweils – lediglich – der Umsetzung der vollharmonisierend wirkenden Datenschutzrichtlinie 95/46/EG (EuGH) dienen. Es ist also keineswegs so, dass die Betroffenen WhatsApp-Nutzer hier schutzlos gestellt wären. Vielmehr wird sich sehr wohl die Frage nach der Rechtmäßigkeit der Übermittlung personenbezogener Daten an WhatsApp stellen – nur eben nicht auf Basis des deutschen, sondern des irischen Datenschutzrechts. Denn es ist verhältnismäßig naheliegend, dass eine wesentlich engere Verbindung dieses Vorgangs zur irischen Facebook-Niederlassung bestehen wird, die für den Facebook-Dienst und damit die Datenverwendung verantwortlich ist, wenn zugleich die deutsche Niederlassung lediglich Werbung verkauft. Es ist daher anzunehmen, dass der Bescheid des Hamburgischen Datenschutzbeauftragten eher in die Rubrik der Symbolpolitik einzusortieren ist. Rechtlich wird die Verfügung voraussichtlich ohne Wirkung bleiben. Es bleibt freilich abzuwarten, wie sich die irische Datenschutzbehörde zu dem Thema positionieren wird.

Weitere Artikel zum Thema