EuGH-Generalanwalt bestätigt Rechtsauffassung der Aufsichtsbehörden gegenüber Facebook und Fanpagebetreibern

Im Verfahren des Unabhängigen Landeszentrums Datenschutz (ULD) gegen die Wirtschaftsakademie Schleswig-Holstein hat der Generalanwalt des Europäischen Gerichtshofs, Yves Bot, seine Schlussanträge vorgelegt. Darin bestätigt er sowohl die Auffassung des ULD über die datenschutzrechtliche Verantwortung von Betreibern von Facebook Fanpages als auch die seit langem durch den HmbBfDI und andere europäische Datenschutzbehörden (Belgien, Frankreich, Spanien, Niederlande) vertretene Rechtsaufassung, dass auf die Aktivitäten von Facebook in den Mitgliedstaaten grundsätzlich das nationale Datenschutzrecht Anwendung findet, obwohl Facebook seine europäische Hauptniederlassung in Irland betreibt. Anknüpfungspunkt für die nationale Aufsicht ist, wie der Generalanwalt ausdrücklich bestätigt, dass Facebook Germany, deren Sitz sich in Hamburg befindet, in Deutschland effektiv und tatsächlich eine Tätigkeit mittels einer festen Einrichtung ausübt und damit eine Niederlassung betreibt.

Hierzu Johannes Caspar, der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit: „Die Schlussanträge des Generalanwalts enthalten klare Vorschläge für den EuGH hinsichtlich der seit Jahren schwelenden Rechtsstreitigkeiten zwischen den Aufsichtsbehörden auf der einen und Facebook sowie den Betreibern von Facebook Fanpages auf der anderen Seite. Soweit der EuGH dem Generalanwalt folgt, werden die Aktivitäten von Facebook in Europa nach Maßgabe des geltenden Rechts auch weiterhin durch die unabhängigen nationalen Datenschutzbehörden überwacht werden. Ich gehe davon aus, dass unsere Anordnung zum geplanten Datenaustausch zwischen WhatsApp und Facebook im Hinblick auf deutsche Nutzer weiterhin fort gilt. Gleichzeitig ist den Betreibern von Fanpages zu raten, den weiteren Verlauf des Verfahrens vor dem EuGH zu beobachten: Künftig könnten diese als für die Datenverarbeitung Verantwortliche hinsichtlich der von den Besuchern dieser Seite erhobenen Daten neben Facebook in die datenschutzrechtliche Verantwortung genommen werden.“

Die Schlussanträge des Generalanwalts finden sich hier:

http://curia.europa.eu/juris/document/document.jsf?text=&docid=195902&pageIndex=0&doclang=EN&mode=lst&dir=&occ=first&part=1&cid=700535

Quelle: hmbbfdi, 25.10.2017

Verbot des Datenaustauschs durch den HmbBfDI zwischen WhatsApp und Facebook vorerst bestätigt

Das Verwaltungsgericht Hamburg hat mit seiner heutigen Entscheidung im vorläufigen Rechtsschutzverfahren bestätigt, dass WhatsApp die Daten deutscher Nutzer nicht an Facebook übermitteln darf. Dies ist Gegenstand einer Anordnung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit. Der Facebook Ireland Ltd. wurde untersagt, die Telefonnummer sowie weitere personenbezogene Daten von WhatsApp-Nutzern zu erheben und zu speichern, wenn die Betroffenen nicht wirksam eingewilligt haben.

Facebook und WhatsApp sind selbstständige Unternehmen, die die Daten ihrer jeweiligen Nutzer auf Grundlage ihrer eigenen Nutzungs- und Datenschutzbedingungen verarbeiten. Nach dem Kauf von WhatsApp durch Facebook 2014 haben die Unternehmen öffentlich zugesichert, dass die Daten der Nutzer nicht ohne deren wirksame Einwilligung ausgetauscht werden. Durch Einführung neuer Nutzungsbedingungen teilte WhatsApp den Nutzern im August 2016 jedoch mit, dass ihre Daten nun auch an Facebook übermittelt würden. Eine Wahl für die Nutzer besteht dabei nicht.

Der Hamburgische Datenschutzbeauftragte hält diese Praxis für rechtswidrig und hat daher den Datenaustausch im Anordnungsweg untersagt. Um die Nutzer effektiv zu schützen, wurde der Sofortvollzug angeordnet. Sonst hätte die Gefahr bestanden, dass der Datenaustausch durchgeführt wird, solange Facebook Rechtsmittel zur Verfügung stehen.

Facebook hat gegen die Anordnung im vorläufigen Rechtsschutzverfahren das Verwaltungsgericht angerufen. Ziel war es, die sofortige Vollziehung aufheben zu lassen. Diesen Antrag hat das Gericht heute zurückgewiesen und inhaltlich klargestellt, dass es für den geplanten Datenaustausch keine rechtliche Grundlage sieht. Facebook kann sich nicht auf die Wahrung eigener Geschäftszwecke berufen, da der vollständige Datenaustausch weder zum Zweck der Netzsicherheit oder der Unternehmensanalyse noch zur Werbeoptimierung erforderlich ist. Ferner stellt das Gericht klar, dass keine wirksamen Einwilligungen der WhatsApp-Nutzer für einen Datenaustausch mit Facebook vorliegen. Im Ergebnis nimmt das Verwaltungsgericht im Rahmen des einstweiligen Rechtsschutzverfahren eine klare Abwägung vor: Danach werden die Interessen der ca. 35 Millionen deutschen WhatsApp-Nutzer höher gewichtet als das wirtschaftliche Interesse von Facebook an einer Aussetzung der sofortigen Vollziehbarkeit. Die Frage nach der Anwendbarkeit des nationalen Rechts lässt das Gericht dabei teilweise offen, denn selbst für den Fall, dass nur irisches Recht anwendbar sein sollte, müsse EU-Datenschutzrecht befolgt werden. Facebook sei daher ohnedies verpflichtet, ein rechtmäßiges Einwilligungsverfahren einzuführen.

Dazu Johannes Caspar, der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit: „Nach diesem Beschluss wird es einen Massenabgleich der Daten inländischer Nutzerinnen und Nutzer zwischen WhatsApp und Facebook auch weiterhin nicht geben. Das ist eine gute Nachricht für die vielen Millionen Menschen, die täglich den Messenger-Dienst von WhatsApp in Deutschland nutzen. Sie sind nicht schutzlos. Das Gericht hat für eine im vorläufigen Rechtsschutzverfahren deutliche Weise herausgearbeitet, dass der geplante Datenaustausch dem nationalen Datenschutzrecht widerspricht. Die Entscheidung hat erhebliche Ausstrahlungswirkung auch in Richtung EU. Denn hier gilt ja bereits heute mit der EU-Datenschutzrichtlinie – und ab Mai 2018 mit der Datenschutzgrundverordnung erst recht – ein vergleichbares Datenschutzniveau. Damit wird auch der Kritik vieler meiner Kollegen aus den anderen Mitgliedstaaten an dem geplanten Datenaustausch Rechnung getragen. Einen Massenabgleich von Daten gegen den Willen Betroffener wird und darf es in der EU nicht geben. Ein ordnungsgemäßes und transparentes Einwilligungsverfahren, das die Rechte aller Betroffenen respektiert, ist der einzig gangbare Weg. Diese Linie werden wir auch im weiteren Verlauf des Verfahrens konsequent verfolgen.“

Quelle: hmbbfdi, 25.4.2017

Verbot des Datenaustauschs durch den HmbBfDI zwischen WhatsApp und Facebook vorerst bestätigt

Kein Massendatenabgleich zwischen Facebook und WhatsApp

Das Verwaltungsgericht Hamburg hat mit seiner heutigen Entscheidung im vorläufigen Rechtsschutzverfahren bestätigt, dass WhatsApp die Daten deutscher Nutzer nicht an Facebook übermitteln darf. Dies ist Gegenstand einer Anordnung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit. Der Facebook Ireland Ltd. wurde untersagt, die Telefonnummer sowie weitere personenbezogene Daten von WhatsApp-Nutzern zu erheben und zu speichern, wenn die Betroffenen nicht wirksam eingewilligt haben.

Facebook und WhatsApp sind selbstständige Unternehmen, die die Daten ihrer jeweiligen Nutzer auf Grundlage ihrer eigenen Nutzungs- und Datenschutzbedingungen verarbeiten. Nach dem Kauf von WhatsApp durch Facebook 2014 haben die Unternehmen öffentlich zugesichert, dass die Daten der Nutzer nicht ohne deren wirksame Einwilligung ausgetauscht werden. Durch Einführung neuer Nutzungsbedingungen teilte WhatsApp den Nutzern im August 2016 jedoch mit, dass ihre Daten nun auch an Facebook übermittelt würden. Eine Wahl für die Nutzer besteht dabei nicht.

Der Hamburgische Datenschutzbeauftragte hält diese Praxis für rechtswidrig und hat daher den Datenaustausch im Anordnungsweg untersagt. Um die Nutzer effektiv zu schützen, wurde der Sofortvollzug angeordnet. Sonst hätte die Gefahr bestanden, dass der Datenaustausch durchgeführt wird, solange Facebook Rechtsmittel zur Verfügung stehen.

Facebook hat gegen die Anordnung im vorläufigen Rechtsschutzverfahren das Verwaltungsgericht angerufen. Ziel war es, die sofortige Vollziehung aufheben zu lassen. Diesen Antrag hat das Gericht heute zurückgewiesen und inhaltlich klargestellt, dass es für den geplanten Datenaustausch keine rechtliche Grundlage sieht. Facebook kann sich nicht auf die Wahrung eigener Geschäftszwecke berufen, da der vollständige Datenaustausch weder zum Zweck der Netzsicherheit oder der Unternehmensanalyse noch zur Werbeoptimierung erforderlich ist. Ferner stellt das Gericht klar, dass keine wirksamen Einwilligungen der WhatsApp-Nutzer für einen Datenaustausch mit Facebook vorliegen. Im Ergebnis nimmt das Verwaltungsgericht im Rahmen des einstweiligen Rechtsschutzverfahren eine klare Abwägung vor: Danach werden die Interessen der ca. 35 Millionen deutschen WhatsApp-Nutzer höher gewichtet als das wirtschaftliche Interesse von Facebook an einer Aussetzung der sofortigen Vollziehbarkeit. Die Frage nach der Anwendbarkeit des nationalen Rechts lässt das Gericht dabei teilweise offen, denn selbst für den Fall, dass nur irisches Recht anwendbar sein sollte, müsse EU-Datenschutzrecht befolgt werden. Facebook sei daher ohnedies verpflichtet, ein rechtmäßiges Einwilligungsverfahren einzuführen.

Dazu Johannes Caspar, der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit: „Nach diesem Beschluss wird es einen Massenabgleich der Daten inländischer Nutzerinnen und Nutzer zwischen WhatsApp und Facebook auch weiterhin nicht geben. Das ist eine gute Nachricht für die vielen Millionen Menschen, die täglich den Messenger-Dienst von WhatsApp in Deutschland nutzen. Sie sind nicht schutzlos. Das Gericht hat für eine im vorläufigen Rechtsschutzverfahren deutliche Weise herausgearbeitet, dass der geplante Datenaustausch dem nationalen Datenschutzrecht widerspricht. Die Entscheidung hat erhebliche Ausstrahlungswirkung auch in Richtung EU. Denn hier gilt ja bereits heute mit der EU-Datenschutzrichtlinie – und ab Mai 2018 mit der Datenschutzgrundverordnung erst recht – ein vergleichbares Datenschutzniveau. Damit wird auch der Kritik vieler meiner Kollegen aus den anderen Mitgliedstaaten an dem geplanten Datenaustausch Rechnung getragen. Einen Massenabgleich von Daten gegen den Willen Betroffener wird und darf es in der EU nicht geben. Ein ordnungsgemäßes und transparentes Einwilligungsverfahren, das die Rechte aller Betroffenen respektiert, ist der einzig gangbare Weg. Diese Linie werden wir auch im weiteren Verlauf des Verfahrens konsequent verfolgen.“

Quelle: hmbbfdi, 25.4.2017

Pseudonyme Nutzung bei Facebook weiter ungeklärt

OVG Hamburg lässt Zuständigkeit des Hamburgischen Datenschutzbeauftragten weiter offen

Die Beschwerde des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit gegen den Beschluss des VG Hamburg hatte im Ergebnis keinen Erfolg. Die Entscheidung des Gerichts lässt aber weiterhin offen, ob die Aufsichtsbehörde gegen den Klarnamenzwang von Facebook erfolgreich vorgehen kann. Denn das Gericht folgte der Auffassung der Vorinstanz, dass das deutsche Datenschutzrecht offensichtlich keine Anwendung fände, ausdrücklich nicht.

Der Hamburgische Datenschutzbeauftragte hatte angeordnet, dass Facebook die Sperrung eines unter Pseudonym genutzten Accounts sofort aufzuheben hat. Dieser sogenannte Sofortvollzug war nicht durchsetzbar. Das Gericht wertete, dass das Interesse des Datenschutzbeauftragten und der Nutzerin, deren Facebook-Konto gesperrt wurde, an einem sofortigen Zugang unter einem Pseudonym nicht das Interesse von Facebook an einer Aussetzung der Anordnung überwiege.

Das Gericht sah es aber im Gegensatz zur Vorinstanz als offen an, ob nationales Datenschutzrecht auf die Konstellation, dass ein Mutterkonzern im Unionsgebiet mehrere Niederlassungen habe, anwendbar sei. Dies hänge maßgeblich von der Auslegung der EU-Datenschutzrichtlinie ab.

Dazu Johannes Caspar, der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit: „Die Abwägungsentscheidung des OVG beruht auf dessen Zweifeln an der Anwendbarkeit der nationalen Datenschutzregelungen. Diese Frage liegt derzeit beim EuGH. Ein effizienter Schutz der Grundrechte Betroffener gegenüber Eingriffen in ihre Privatsphäre macht eine weite Auslegung der Bestimmung zur Anwendbarkeit nationalen Rechts erforderlich. Das hatte der EuGH bereits in zwei vorangegangenen Entscheidungen klargestellt. Ich gehe davon aus, dass das europäische Gericht die Auffassung aller europäischen Datenschutzbehörden bestätigt und seine bisherige Rechtsprechung weiter verfolgen wird. Das Verfahren zum Klarnamenzwang geht juristisch in die nächste Runde.“

Quelle: (hmbbfdi, 1.7.2016)

Anordnung gegen Massendatenabgleich zwischen WhatsApp und Facebook

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit hat eine Verwaltungsanordnung erlassen, die es Facebook ab sofort untersagt, Daten von deutschen WhatsApp-Nutzern zu erheben und zu speichern. Facebook wird ferner aufgegeben, bereits durch WhatsApp an das Unternehmen übermittelte Daten zu löschen.

Facebook und WhatsApp sind selbstständige Unternehmen, die die Daten ihrer jeweiligen Nutzer auf Grundlage ihrer eigenen Nutzungs- und Datenschutzbedingungen verarbeiten. Nach dem Erwerb von WhatsApp durch Facebook vor zwei Jahren haben sie öffentlich zugesichert, dass die Daten der Nutzer nicht miteinander ausgetauscht werden. Dass dies nun doch geschieht, ist nicht nur eine Irreführung der Nutzer und der Öffentlichkeit, sondern stellt auch einen Verstoß gegen das nationale Datenschutzrecht dar. Denn ein solcher Austausch ist nur dann zulässig, wenn sowohl auf Seiten des Unternehmens, das Daten liefert (WhatsApp) als auch bei dem empfangenden Unternehmen (Facebook) eine Rechtsgrundlage dafür vorliegt. Facebook hat allerdings weder eine wirksame Einwilligung von den Nutzern von WhatsApp eingeholt, noch ist eine gesetzliche Grundlage für den Datenempfang vorhanden. Dass Facebook die Regelungen des deutschen Datenschutzrechts respektieren muss, ist klar, nachdem im Juli der EuGH in einem Urteil bestätigt hat, dass nationales Datenschutzrecht anwendbar ist, wenn ein Unternehmen im Zusammenhang mit einer nationalen Niederlassung Daten verarbeitet. Dies tut Facebook in Deutschland durch seine Niederlassung in Hamburg, die das deutschsprachige Werbegeschäft betreibt.

Hierzu der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, Johannes Caspar:

„Die Anordnung schützt die Daten der ca. 35 Millionen WhatsApp-Nutzer in Deutschland. Es muss ihre jeweilige Entscheidung sein, ob sie eine Verbindung ihres Kontos mit Facebook wünschen. Dazu muss Facebook sie vorab um Erlaubnis fragen. Dies ist nicht geschehen.

Dazu kommen noch viele Millionen Personen, deren Kontaktdaten aus den Adressbüchern der Nutzer zu WhatsApp hochgeladen wurden, ohne dass diese etwas mit Facebook oder WhatsApp zu tun haben müssen. Diese gigantische Menge von Daten hat Facebook zwar nach eigenem Bekunden noch nicht erhoben. Die Antwort von Facebook, dass dies lediglich zur Zeit noch nicht erfolgt sei, gibt jedoch Anlass zur Sorge, dass das Ausmaß des Datenverstoßes noch massivere Auswirkungen nach sich ziehen wird.“

Quelle: hmbbfdi, 27.9.2016

Klarnamenpflicht bei Facebook bleibt vorerst

Die Anordnung des HmbBfDI zur Durchsetzung des Rechts auf pseudonyme Nutzung bei Facebook kann zunächst nicht vollzogen werden

 

Das Verwaltungsgericht Hamburg hat in seiner Eilentscheidung vom 3.3.2016 die Anwendbarkeit des nationalen Rechts zur pseudonymen Nutzung bei Facebook abgelehnt. Damit bestätigt es zunächst die aufschiebende Wirkung eines Widerspruchs des Konzerns gegen die Anordnung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit, die Kontensperrung einer betroffenen Nutzerin wegen der Verwendung eines Pseudonyms aufzuheben. Zur Begründung führt das Gericht aus, dass trotz der Existenz einer deutschen Niederlassung, die überwiegend im Bereich der Werbung aktiv ist, deutsches Recht keine Anwendung finden würde und Facebook somit allein irisches Datenschutzrecht zu beachten habe. Ein entsprechendes Recht auf pseudonyme oder anonyme Nutzung existiert im irischen Recht allerdings nicht.

 

Der EuGH hatte zuvor in zwei Entscheidungen zu Google Spain und Weltimmo in 2014 und 2015 eine weite Auslegung der Anwendbarkeit mitgliedstaatlicher Datenschutzbestimmungen vertreten. Eine Anknüpfung an die Niederlassung sei auch möglich, ohne dass es der Verarbeitung von Nutzerdaten durch diese bedürfe. Es reiche aus, dass die Niederlassung lediglich zur Rentabilität des Internetangebots beitrage oder durch Lobbytätigkeit die verantwortliche Stelle unterstütze. Diese wirtschaftliche Untrennbarkeit zwischen Werbeeinnahmen, Lobbytätigkeit und der Datenverarbeitung wurde ebenfalls vom Brüsseler Gericht erster Instanz bereits im November letzten Jahres und durch die Art. 29 EU-Datenschutzgruppe, dem Gremium der Datenschutzbeauftragten der EU-Mitgliedstaaten und des Europäischen Datenschutzbeauftragen, im Anschluss an die Rechtsprechung des EuGH bestätigt. Vor wenigen Tagen hat zudem das Bundesverwaltungsgericht zur Frage der Zulässigkeit von Facebook-Fanpages das Verfahren zunächst ausgesetzt und die Frage des anwendbaren Rechts auf die Datenverarbeitung bei Facebook dem EuGH zur Entscheidung vorgelegt.

 

Dazu stellt der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, Johannes Caspar, fest: „Die Auffassung, wonach das Recht desjenigen Mitgliedstaats der EU anzuwenden ist, in dem sich diejenige Niederlassung befindet, mit deren Tätigkeit die streitige Datenverarbeitung am engsten verbunden ist, vermag nicht zu überzeugen. Das Ziel der EU-Datenschutzrichtlinie, einen umfassenden und wirksamen Schutz der Grundrechte, insbesondere des Rechts auf Achtung der Privatsphäre und des Datenschutzes zu gewährleisten, wird durch diese enge Auslegung im Beschluss verfehlt. Wir werden uns daher weiterhin für das Recht auf pseudonyme Nutzung einsetzen und die erforderlichen Schritte prüfen.“

Quellen: (hmbbfdi, 4.3.2016)