Mit Bescheid vom 23. September 2016 hat der Hamburger Datenschutzbeauftragte der Facebook Irleand Ltd. u.a. die Erhebung und Speicherung von Bestandsdaten deutscher WhatsApp-Nutzer untersagt. Den Bescheid der Behörde hat der Kollege Dirks veröffentlicht (pdf).
Die Hamburger Behörde begründet ihre Verfügung materiell-rechtlich insbesondere mit einer fehlenden Rechtsgrundlage seitens Facebook für die Erhebung und Speicherung der Daten, die das Unternehmen von WhatsApp erhält. Der Datenschutzbeauftragte stützt seine Argumentation auf das sog. Doppeltürmodell des BVerfG (Urt. 24. 1. 2014 – 1 BvR 1299/05), nach dem sich ein Datenaustausch zwischen zwei öffentlichen Stellen durch einander korrespondiere Eingriffe von Abfrage und Übermittlung vollzieht, die jeweils einer eigenen Rechtsgrundlage bedürfen.
So weit, so klar. Staatliches Handeln bedarf einer Rechtsgrundlage. Der Vorgang der Übertragung von Daten stellt eine Datenverarbeitung dar, eine Übermittlung. Der Vorgang des Abrufs von Daten und deren Speicherung stellen Datenverarbeitungen dar, eine Erhebung und Speicherung. Bis hier hin eigentlich keine Überraschung, da Art. 7 der Datenschutz-Richtlinie vorsieht, dass die Verarbeitung personenbezogener Daten nur erfolgen darf, wenn die Voraussetzungen eines Erlaubnistatbestandes in Art. 7 lit. a) bis f) erfüllt sind. Als ein solcher Erlaubnistatbestand kam hier die Einwilligung der WhatsApp-Nutzer in Betracht, die diese im Rahmen der Aktualisierung der AGB und Datenschutzbestimmungen abgaben.
Wie gesagt, meines Erachtens ist unstreitig und nicht neu, dass beide involvierte Stellen, WhatsApp einerseits und Facebook andererseits, für die Datenverarbeitungen einen Erlaubnistatbestand benötigen. Das stellt das BVerfG in seinem Urteil klar. Mehr nicht.
Vorliegend stört sich die Aufsichtsbehörde aber daran, dass die Betroffenen (also WhatsApp-Nutzer) mit ihrer Einwilligung gegenüber WhatsApp „nicht gleichzeitig ihre Einwilligung gegenüber Facebook Ireland Ltd.“ erteilen. Es fehle daher an einem Erlaubnistatbestand für Facebook. Zwar wurden WhatsApp-Nutzer auf den Datenaustausch mit Facebook und auch die Zwecke der Verarbeitung der Daten durch Facebook hingewiesen, jedoch werde die Einwilligung eben nicht gegenüber Facebook erteilt.
Die Frage ist: ist das überhaupt erforderlich? Meiner Meinung nach sprechen gute Argumente gegen die Ansicht der Behörde.
Erstens
Der Wortlaut der Datenschutzrichtlinie. Nach Art. 2 lit. h) wird die „Einwilligung der betroffenen Person“ als jede Willensbekundung definiert, die ohne Zwang, für den konkreten Fall und in Kenntnis der Sachlage erfolgt und mit der die betroffene Person akzeptiert, dass personenbezogene Daten, die sie betreffen, verarbeitet werden. Die Legaldefinition sagt jedoch nichts dazu aus, wem tatsächlich die Willensbekundung gegenüber abzugeben ist. Natürlich muss ihr Inhalt die geplante Datenverarbeitung abdecken und auch die Stelle benannt sein, die die Verarbeitung vornimmt. Der Adressat der Einwilligungserklärung selbst, wem die Einwilligung wie zugehen muss, wird aber nicht benannt (etwa: gegenüber dem Verantwortlichen).
Zweitens
Urteil des EuGH vom 5. Mai 2011 – C-543/09. Dieses betraf einen Rechtsstreit zwischen der Deutschen Telekom AG und der Bundesnetzagentur, über die gemäß dem Telekommunikationsgesetz bestehende Verpflichtung der Unternehmen, die Telefonnummern zuweisen, ihnen vorliegende Daten von Teilnehmern dritter Unternehmen anderen Unternehmen, deren Tätigkeit in der Bereitstellung von öffentlich zugänglichen Auskunftsdiensten oder Teilnehmerverzeichnissen besteht, zur Verfügung zu stellen.
Entscheidende Vorschriften ergaben sich aus der Datenschutzrichtlinie für elektronische Kommunikation (RL 2002/58/EG), die mit Blick auf die „Einwilligung“ auf die Definition der Datenschutz-Richtlinie (siehe oben) verweist.
Nach Art. 12 Abs. 1 Datenschutzrichtlinie für elektronische Kommunikation müssen Teilnehmer (also Kunden des TK-Anbieters) vor Aufnahme in öffentliche Teilnehmerverzeichnisse über deren Zweck bzw. Zwecke und über eine eventuelle besondere Nutzung, insbesondere aufgrund der in die Software der elektronischen Fassungen der Verzeichnisse eingebetteten Suchfunktionen, informiert werden.
Hierzu stellt der EuGH fest (Rz. 58), dass diese vorherige Unterrichtung es dem betroffenen Teilnehmer ermöglicht, „in die Veröffentlichung seiner personenbezogenen Daten in öffentliche Teilnehmerverzeichnisse ohne Zwang, für den konkreten Fall und in Kenntnis der Sachlage im Sinne von Art. 2 Buchst. h und Art. 7 Buchst. a der Richtlinie 95/46 einzuwilligen“.
Nach Art. 12 Abs. 2 Datenschutzrichtlinie für elektronische Kommunikation kann der Teilnehmer lediglich entscheiden, ob seine personenbezogenen Daten – und gegebenenfalls welche – in ein öffentliches Verzeichnis aufgenommen werden. Diese Zustimmung (also die Einwilligung) bezieht sich auf den Zweck der Veröffentlichung der personenbezogenen Daten in einem öffentlichen Teilnehmerverzeichnis und nicht auf einen bestimmten Anbieter eines Verzeichnisses (Rz. 61).
Der EuGH stellt danach fest (Rz. 65), dass sich die Zustimmung eines ordnungsgemäß unterrichteten Teilnehmers zur Veröffentlichung seiner personenbezogenen Daten in einem öffentlichen Teilnehmerverzeichnis gemäß Art. 12 Abs. 2 der Datenschutzrichtlinie für elektronische Kommunikation auf den Zweck dieser Veröffentlichung bezieht
und erstreckt sich daher auf jede spätere Verarbeitung dieser Daten durch dritte Unternehmen, die auf dem Markt öffentlich zugänglicher Telefonauskunftsdienste und Teilnehmerverzeichnisse tätig sind, sofern diese Verarbeitung denselben Zweck verfolgt.
Die inhaltlichen Anforderungen an die Einwilligung sind hier also noch geringer angesetzt, als es bei WhatsApp und Facebook der Fall war. Im Fall der EuGH mussten in der Einwilligung z.B. nicht einmal konkrete dritte Unternehmen benannte werden. Zudem wird auch deutlich, dass die einmal gegenüber einem Unternehmen erteilte Einwilligung auch spätere Datenverarbeitungen durch unbekannte Dritte legitimiert, solange die Zwecke bekannt waren und eingehalten werden.
Drittens
Die Art. 29 Datenschutzgruppe hat sich auch schon zu der Frage geäußert, welcher Stelle konkret gegenüber eine Einwilligung abzugeben ist. Stets dem Verantwortlichen? Nein.
In der Arbeitsunterlage WP 12 (pdf) gehen die Datenschützer für Datenübermittlungen in Drittstaaten auf der Grundlage einer Einwilligung klar davon aus (S. 38), dass eine Einwilligung entweder direkt durch übermittelnde Stelle selbst oder „in ihrem Auftrag“ durch eine andere Stelle eingeholt werden kann.
Übertragen auf den hiesigen Fall, könnte WhatsApp also natürlich für Facebook die Einwilligung der Betroffenen einholen.
Auch in einem weiteren Bespiel (S. 40) gehen die Datenschützer ausdrücklich davon aus, dass Einwilligung nicht durch die verantwortliche Stelle selbst eingeholt werden müssen.
Man wird nun abwarten müssen, wie das Verwaltungsgericht Hamburg entscheidet. Vorgelagert zu der obigen Thematik muss sich das Gericht mit der Frage befassen, ob überhaupt deutsches Datenschutzrecht anwendbar ist.
Ihre Argumente verwundern ein wenig, Hr.Piltz.
Zu Erstens:
Die Legaldefinition des §4a BDSG sagt nichts dazu aus, wem gegenüber die Willensbekundung tatsächlich abzugeben ist. Wer ist also Adressat einer Einwilligungserklärung gem. §4a BDSG? Wem gegenüber muß eine Einwilligung abgegeben werden, wenn sie eine der Voraussetzungen zur legitimen Verarbeitung personenbezogener Daten – eine Rechtsgrundlage gem. Art.7 EU-RL – darstellt? Welche tatsächliche Wahlmöglichkeit (ohne Zwang) muß gegenüber welchem Adressaten bestehen, damit die Einwilligung als wirksam oder gültig angesehen wird?
Laut Art.6 Abs.2 EU-RL trägt z.B. für die Einhaltung des Art.6 Abs.1 lit c) der für die Verarbeitung Verantwortliche Sorge; Art.10 fordert u.a. die Informierung über Empfänger; Art.11 fordert die Informierung für den Fall, daß die Daten nicht bei der betroffenen Person erhoben wurden; Art.14 räumt ein Widerspruchsrecht der betroffenen Person ein. Inwieweit lassen diese Normen (Art.6, 7, 10, 11, 14 und auch 26) i.V.m. der Einwilligung in eine Verarbeitung welche Verarbeitung durch oder Weitergabe an Dritte zu?
Eine Einwilligung im Sinne der Legaldefinition kann nicht durch den bloßen Wortlaut von den restlichen Normen und deren Anforderungen isoliert betrachtet werden, denn dann erfüllte sie ihren Zweck nicht (Akzeptanz der jeweiligen Verarbeitung „ohne Zwang, für den konkreten Fall und in Kenntnis der Sachlage“ inkl. Kontroll- und Widerspruchsmöglichkeit). Die Einwilligung bezieht sich auf eine Verarbeitung und somit kann dahinstehen, wer diese Verarbeitung vornimmt, denn für ebendiese Verarbeitung ist die Einwilligung eine Rechtsgrundlage. Werden die Daten von einem anderen verarbeitet, dann findet auch eine andere Verarbeitung statt: der für die Verarbeitung Verantwortliche, die Sachlage und der konkrete Fall sind andere. Dass der für die Verarbeitung Verantwortliche der Adressat für eine Einwilligungserklärung ist, scheint mir ein logischer Schluss zu sein.
Zu Zweitens:
Warum ziehen Sie Parallelen zur Einwilligung in eine Veröffentlichung gem. Art.12 Abs.2 RL 2002/58/EG und zur Einwilligung in eine Weitergabe der Daten nach RL 95/46/EG? Welcher Zusammenhang besteht zwischen einer Veröffentlichung von personenbezogenen Daten in einem öffentlichen Teilnehmerverzeichnis und personenbezogenen Daten in einem nicht öffentlichen Verzeichnis? Welche konkreten dritten Unternehmen, die Zugriff auf diese Daten erhalten, sollen denn bei einer Veröffentlichung (für alle verfügbar) von Daten denn benannt werden?
Ihre Schlussfolgerung ist im Zusammenhang mit der EuGH-Entscheidung argumentativ nicht haltbar, wenn die Einwilligung in eine Veröffentlichung gegeben wurde – der Teilnehmer also „im Allgemeinen kein Interesse an einem Widerspruch gegen die Veröffentlichung derselben Daten in einem anderen ähnlichen Teilnehmerverzeichnis haben“ (Rn.62) – und Dritte ohnehin legitimiert sind, veröffentlichte Daten zu verarbeiten. In der Entscheidung geht es um den Zweck der Veröffentlichung gem. Art.12 RL 2002/58/EG und die daraus folgende Konsequenz, dass dritte Unternehmen dadurch grundsätzlich die Möglichkeit erhalten, diese Daten zum selben Zweck zu verarbeiten – was dem Einwilligenden zu verdeutlichen ist (in Kenntnis der Sachlage). Es geht gerade nicht um Dritte, die nicht veröffentlichte Daten zu selben oder anderen Zwecken verarbeiten wollen. Siehe auch Rn.64 ff. sowie den Hinweis auf die Argumentation der Generalanwältin (dort ab Rn.119 ff). Das Fazit könnte also höchstens lauten: „Zudem wird auch deutlich, dass die einmal gegenüber einem Unternehmen erteilte Einwilligung“ für eine Veröffentlichung von Daten „auch spätere Datenverarbeitungen durch unbekannte Dritte legitimiert, solange die Zwecke bekannt waren und eingehalten werden.“
Zu Drittens:
In der „Stellungnahme 15/2011 zur Definition von Einwilligung“ (WP 187) schreibt die Art.29 Gruppe auf Seite 11:
„Auch wenn in der Richtlinie nicht festgelegt wird, zu welchem Zeitpunkt die Einwilligung eingeholt werden sollte, wird durch die Ausdrucksweise in den verschiedenen Bestimmungen eindeutig impliziert, dass die Einwilligung vor Beginn der Verarbeitung einzuholen ist. Das Einholen der Einwilligung vor Beginn der Datenverarbeitung ist eine wesentliche Bedingung der Legitimierung der Datenverarbeitung.“ Womit wir bei Erstens und den Rechtsgrundlagen wären, und außerdem beim „konkreten Fall“. Welche konkrete Verarbeitung wird von WhatsApp genannt, die eine Weitergabe an und die Zwecke von Facebook abdecken, und in die eingewilligt wurde? Es ist wohl hilfreich, nicht die veralteten Papiere aus dem Jahr 1998 zu zitieren, sondern auf aktuelle Stellungnahmen Bezug zu nehmen. Welches Beispiel oder Gegenargument bietet die Art.29 Gruppe in der Stellungnahme 15/2011 und den darin erwähnten WPs?
Ihre Bedenken zur Weitergabe der Daten äußerte die Art.29 Gruppe übrigens in diesem Brief: http://ec.europa.eu/justice/data-protection/article-29/documentation/other-document/files/2016/20161027__letter_of_the_chair_of_the_art_29_wp_whatsapp_en.pdf
Hallo anzolino, vielen Dank für Ihren sehr ausführlichen Kommentar. Wie Sie sich denken können, bin ich anderer Ansicht. Aber wo wären wir ohne anregende Diskussionen.
Für Sie ist es ein logischer Schluss, dass der für die Verarbeitung Verantwortliche der Adressat für eine Einwilligungserklärung ist. Dem entnehmen ich, dass auch Sie davon ausgehen, dass der Wortlaut für eine solche Auslegung nichts hergibt. Dass der Verntwortliche etwa nach Art. Abs. 2 für die Einhaltung der Vorgaben verantwortlich ist, sagt gerade nichts darüber, wem gegenüber die Einwilligung abzugeben ist. Der Verantwortliche muss die Einwilligung, also deren Inhalt, beachten. Eine mögliche Erteilung ihm gegenüber ist in Art 6 Abs. 1 lit. c aber gerade nicht vorausgesetzt. Nicht ganz folgen kann ich Ihrer Argumentation, wenn Sie sagen: „Die Einwilligung bezieht sich auf eine Verarbeitung und somit kann dahinstehen, wer diese Verarbeitung vornimmt, denn für ebendiese Verarbeitung ist die Einwilligung eine Rechtsgrundlage. Werden die Daten von einem anderen verarbeitet, dann findet auch eine andere Verarbeitung statt.“ Wenn Ihrer Ansicht nach dahinstehen könnte, wer die Daten verarbeitet, dann dürfte es sich nicht um eine „andere Verarbeitung“ handeln, wenn die Daten „von einem anderen verarbeitet“ werden.
Die Parellele zu Art.12 Abs.2 RL 2002/58/EG ziehe ich, da es auch dort um eine Verarbeitung geht. Genauso wie im Fall der Weitergabe. Die Definition der Einwilligung unterscheidet ja nicht nach Verarbeitungstätigkeiten, also etwa nach Weitergabe oder Veröffentlichung. Die Anforderungen sind stets dieselben.
Warum man nicht ältere Stellungnahmen der WP nutzen sollte, erschließt sich mir nicht. Die dort enthaltenen Erwägungen gelten ja weiterhin, zumal sich die Anforderungen an die Einwillugung seitdem auch nicht verändert haben. Auch in der von Ihnen zitierten Stellungnahme geht es nicht um die Frage, wem gegenüber die Einwilligung abzugeben ist, was Sie ja auch klarstellen.
Zudem müssen wir, bei aller Diksussion zum Datenschuzrecht, auch beachten, dass die Frage des Empfangs einer Einwilligungserklärung auch nach zivilrechtlichen Maßstäben beurteilt werden könnte. WhatsApp also zB also Erklärungs- und/oder Empfangsbote.
Beste Grüße
Beste Grüße
Hallo Herr Piltz.
Die Legaldefinition ist doch nur ein allgemeingültiges Konstrukt, das erst durch die konkreten Umstände in ihre jeweiligen Bestandteile zerlegt wird. Ich verstehe die Einwilligung als mehrstufiges Konzept und aus Sicht der Datenverarbeitung. Daten: Welche Daten sollen erhoben/verarbeitet werden und auf welcher Grundlage dürfen die Daten erhoben/verarbeitet werden? Rechtsgrundlage: Die Einwilligung stellt eine Rechtsgrundlage für eine Verarbeitung dar. Verarbeitung: Muss die Einwilligung vor Beginn einer Verarbeitung erklärt werden, dann umfasst sie im konkreten Fall die genannten Verarbeitungen für die genannten Daten zu den genannten Zwecken. Verantwortlicher: Die Rechtsgrundlage benötigt derjenige, der verarbeiten will oder lassen will, und dieser informiert auch. Der Betroffene bekundet seinen Willen demzufolge gegenüber dem für die Verarbeitung Verantwortlichen (mit dem er das Rechtsgeschäft eingehen will). Das ist der Erklärungsempfänger (daran ändert auch ein Bote nichts).
Aus dieser Sicht kann zunächst dahinstehen, wer verarbeiten will. Ein „gegenüber wem“ muss nicht in §4a BDSG, Art.2 EU-RL oder in Art.4 der DS-GVO legal definiert werden. Der Erklärungsempfänger resultiert zwangsläufig aus den Anforderungen an eine Willensbekundung, an die Einwilligung und die Verarbeitung sowie aus den beteiligten Normen.
Die Definition der Einwilligung unterscheidet nicht in Verarbeitungstätigkeiten, das stimmt. Sie delegiert diese Unterscheidung aber an den Verarbeiter und zwar durch „für den konkreten Fall und in Kenntnis der Sachlage“. Müssen die Zwecke eindeutig und rechtmäßig sein und bei der Datenerhebung festgelegt werden, dann beinhaltet das die Verarbeitungstätigkeiten (Art.2 b) Weitergabe oder Veröffentlichung. Und eine wirksame Einwilligung bedingt die Kenntnis darüber. Der EuGH geht in den Rn. 58, 59 auf eine solche vorherige Unterrichtung ein. Eine generische Anforderung ist selbstverständlich immer dieselbe, aber der konkrete Fall, der Zweck und auch die Verarbeitung sind jeweils andere. Darum sehe ich keine Parallele zu Art.12 Abs.2 RL 2002/58/EG, denn dieser beinhaltet ausdrücklich die Verarbeitung zum Zweck der Veröffentlichung in Teilnehmerverzeichnissen und daraus folgend die Annahme einer konkludenten Einwilligung in weitere Verarbeitungen. Eine solche Veröffentlichung ist weder Zweck noch Verarbeitungstätigkeit bei WhatsApp. Davon, dass WhatsApp als Erklärungsbote fungiert, ist nichts in deren Datenschutzerklärung zu lesen. Diese zivilrechtlichen Maßstäbe stellen auch keine geringeren Anforderungen an die Einwilligung und an den Verarbeiter. Der Bote machte es durch die zwischengeschaltete Stelle, mögliche bewusste Falschübermittlung, unbewusste Willensmängel (diesen Irrtümern) und irgendwelche Haftungsfragen lediglich intransparenter für den Betroffenen, vielleicht auch die Rechtsfolge komplizierter.
Aber Sie haben Recht. Man wird sehen, was die Gerichte dazu meinen, und unterschiedlicher Meinung kann man immer sein.
Viele Grüße