Keine Weitergabe von Nutzerdaten aus WhatsApp an Facebook?

Art. 66 DS-GVO (Dringlichkeitsverfahren) ist kein Artikel, der dem Datenschutz-Interessierten häufig begegnet. Darin ist normiert:
„Unter außergewöhnlichen Umständen kann eine betroffene Aufsichtsbehörde abweichend vom Kohärenzverfahren nach Artikel 63, 64 und 65 oder dem Verfahren nach Artikel 60 sofort einstweilige Maßnahmen mit festgelegter Geltungsdauer von höchstens drei Monaten treffen, die in ihrem Hoheitsgebiet rechtliche Wirkung entfalten sollen, wenn sie zu der Auffassung gelangt, dass dringender Handlungsbedarf besteht, um Rechte und Freiheiten von betroffenen Personen zu schützen. Die Aufsichtsbehörde setzt die anderen betroffenen Aufsichtsbehörden, den Ausschuss und die Kommission unverzüglich von diesen Maßnahmen und den Gründen für deren Erlass in Kenntnis.„

Die Anwendung des Art. 66 DS-GVO soll also auch nach dem Willen des Verordnungsgebers eher die Ausnahme sein. Das verdeutlicht auch Erwägungsgrund 138, der im zweiten Satz ausführt, dass in anderen Fällen von grenzüberschreitender Relevanz das Verfahren der Zusammenarbeit zwischen der federführenden Aufsichtsbehörde und den betroffenen Aufsichtsbehörden zur Anwendung gelangen soll, und die betroffenen Aufsichtsbehörden auf bilateraler oder multilateraler Ebene Amtshilfe leisten und gemeinsame Maßnahmen durchführen können, ohne auf das Kohärenzverfahren zurückzugreifen.

Nun hat der Hamburgische Beauftragte für Datenschutz (HmbBfDI) und Informationsfreiheit auf dieses Instrument gegriffen, als er eine Anordnung erließ, die es Facebook verbietet, personenbezogene Daten von WhatsApp zu verarbeiten, soweit dies zu eigenen Zwecken erfolgt.
Anlass sind die seit geraumer Zeit kritisierten Bedingungen von WhatsApp mit denen die Befugnisse zur Datenverarbeitung formal erneuert und künftig inhaltlich erweitert werden sollen.
Darin, so der HmbBfDI, lasse sich WhatsApp insbesondere weitreichende Befugnisse für eine Datenweitergabe an Facebook einräumen.
Nach Auswertung des gegenwärtigen Sachstands fehle für eine Verarbeitung durch Facebook zu eigenen Zwecken ungeachtet der von WhatsApp derzeit eingeholten Zustimmung zu den Nutzungsbedingungen eine ausreichende rechtliche Grundlage, führt der HmbBfDI als Erklärung für seine Anordnung weiter aus. Die Bestimmungen zur Datenweitergabe fänden sich verstreut auf unterschiedlichen Ebenen der Datenschutzerklärung, sie seien unklar und in ihrer europäischen und internationalen Version schwer auseinanderzuhalten.

Aufgrund des beschränkten Zeitrahmens der Anordnung im Dringlichkeitsverfahren von lediglich drei Monaten werde der HmbBfDI eine Befassung durch den Europäischen Datenschutzausschuss (EDSA) beantragen, um eine Entscheidung auf europäischer Ebene herbeizuführen.

(Foto: Sara Michilin – stock.adobe.com)