Nutzung personenbezogener Daten deutscher WhatsApp-Nutzer nur bei Vorliegen einer datenschutzkonformen Einwilligung

Facebook darf vorerst personenbezogene Daten deutscher WhatsApp-Nutzer nur bei Vorliegen einer den deutschen Datenschutzvorschriften entsprechenden Einwilligung verwendenEnde August 2016 hat WhatsApp Inc., die 2014 von der Facebook Unternehmensgruppe übernommen worden ist, eine Aktualisierung seiner Nutzungsbedingungen und Datenschutzrichtlinien bekannt gegeben, durch die eine – bis dahin nach den Nutzungsbedingungen nicht zugelassene – Weitergabe von personenbezogenen Daten an die Facebook Unternehmensgruppe vorgesehen ist. Mit sofort vollziehbarem Bescheid vom 23. September 2016 untersagte der Hamburgische Beauftragte für Datenschutz und Informationssicherheit (Datenschutzbeauftragte) der Facebook Ireland Ltd. (Facebook) – dem internationalen Hauptsitz der Facebook Unternehmensgruppe -, die personenbezogenen Daten deutscher WhatsApp-Nutzer zu erheben und zu speichern, soweit und solange ein den deutschen Datenschutzvorschriften entsprechende Einwilligung nicht vorliege (Ziffer 1). Zugleich ordnete der Datenschutzbeauftragte die Löschung von personenbezogenen Daten an, die ohne die notwendige Einwilligung erhoben worden sind, sowie die Dokumentation der Löschung (Ziffer 2 und 3). Gegen diese Verfügung legte Facebook Widerspruch ein und beantragte einstweiligen Rechtsschutz beim Verwaltungsgericht Hamburg.

Das Verwaltungsgericht hat entschieden, dass der Bescheid des Datenschutzbeauftragten der Freien und Hansestadt Hamburg, soweit er die angeordnete Löschung und deren Dokumentation betrifft, aufgrund eines formellen Fehlers nicht sofort vollziehbar sei; insoweit muss der Bescheid nicht befolgt werden.

Hingegen dürfe Facebook personenbezogene Daten von deutschen WhatsApp-Nutzern ohne eine Einwilligung, die den Anforderungen an die deutschen Datenschutzvorschriften entspreche, auch während des laufenden Verfahrens nicht nutzen. Zwar sei offen, ob Facebook mit seinem Widerspruch Erfolg haben werde. Derzeit sei noch nicht hinreichend geklärt, ob deutsches Datenschutzrecht zur Anwendung komme und der Datenschutzbeauftragte gegen die in Irland firmierende Facebook Ltd. vorgehen könne. Sofern das deutsche Datenschutzrecht zur Anwendung komme, wäre die Anordnung des Datenschutzbeauftragten jedoch voraussichtlich rechtmäßig. Denn die von WhatsApp benutzten Zustimmungserklärungen würden den Anforderungen des deutschen Datenschutzrechts nicht genügen.

Im Rahmen der daher vorzunehmenden Interessenabwägung überwiege das Interesse der deutschen WhatsApp-Nutzer. Denn der Schutz der personenbezogenen Daten stelle ein grundrechtlich geschütztes Rechtsgut von hohem Wert dar, in das durch die geplante Weitergabe qualitativ und quantitativ erheblich eingegriffen werde.

Gegen die Entscheidung des Verwaltungsgerichts kann Beschwerde an das Hamburgische Oberverwaltungsgericht eingelegt werden.

Quelle: VG Hamburg, Pressemitteilung vom 25.04.2017 zum Beschluss 13 E 5912/16 vom 25.04.2017