Das Verwaltungsgericht Hamburg hat dem Datenaustausch zwischen WhatsApp und Facebook einen Riegel vorgeschoben. Der Mutterkonzern darf ohne ausdrückliche Einwilligung keine Telefonnummern oder andere personenbezogene Daten von WhatsApp-Nutzern erheben, speichern und erst recht nicht an die Facebook-App übermitteln – bereits erhobene Daten müssen allerdings nicht gelöscht werden.
Der Teufel steckt wie üblich im Detail: Facebook hat seinen internationalen Sitz in Irland, sodass der Konzern in Europa nach irischem Recht agiert. Das betrifft auch das Datenschutzrecht. Dieses verlangt anscheinend keine Zustimmung des Nutzers, bevor dessen Daten gesammelt, gespeichert und anderweitig genutzt werden. Nach deutschem Recht ist das anders. Ob dieses aber für Facebook und folglich auch WhatsApp überhaupt Anwendung findet, muss zwar noch abschließend geklärt werden, das Hamburger Verwaltungsgericht hat dem Datenaustausch von Facebook aber jetzt schon einen Riegel vorgeschoben.
Facebook hatte im vergangenen Jahr seine Nutzungsbedingungen und Datenschutzrichtlinien geändert, sodass User-Daten an Facebook weitergegeben werden konnten. Den Inhalt der Textnachrichten betraf das zwar nicht, da diese dank der Verschlüsselung geschützt sind, wohl aber alle Telefonnummern und weitere personenbezogene Daten. Das hatte zunächst der Hamburger Datenschutzbeauftragte untersagt. Facebook durfte nicht ohne Einwilligung Daten sammeln. Dagegen hatte der Konzern geklagt und nun verloren. Allerdings: Das ursprüngliche Verbot hatte einen formellen Fehler, sodass es nicht befolgt werden musste. Facebook darf deshalb zwar keine weiteren Daten sammeln und bisher erhobene Daten nicht verwenden – Daten, die bereits gesammelt worden, müssen aber nicht gelöscht werden.
Auch auf EU-Ebene wird der Datenaustausch eingeschränkt
Die Entscheidung des Hamburger Gerichts wird sich auch auf die Gesetzgebung der EU auswirken. Die geltende EU-Datenschutzrichtlinie legt bereits ein hohes Datenschutzniveau vor. Ab Mai 2018 wird es auch eine Datenschutzgrundverordnung geben. Im Gegensatz zu der Richtlinie gilt die Verordnung dann direkt und muss nicht mehr von den einzelnen Mitgliedsstaaten in nationales Recht umgesetzt werden. Es ist also sehr wahrscheinlich, dass es einen Datenaustausch, wie von Facebook gewünscht, innerhalb der EU bald nicht mehr geben wird.