Facebooks Zugriff auf WhatsApp-Daten: Rettung aus dem Land der Datensammler

Am 6. März erhielten die Proteste gegen den Kauf von WhatsApp durch Facebook eine neue Qualität. Das Electronic Privacy Information Center (EPIC) reichte gemeinsam mit dem Center for Digital Democracy eine Beschwerde bei der amerikanischen Federal Trade Commission ein, die als oberste Wettbewerbs- und Verbraucherschutzbehörde zumindest mittelbar auch für Datenschutzfragen zuständig ist

Diese Konstellation kennt das Zuckerberg'sche Imperium nur zu gut. Das EPIC und die FTC hatten Facebook schon in der Vergangenheit das Leben schwer gemacht: Im August 2012 musste sich Facebook gegenüber der FTC verpflichten, sicherzustellen, dass die versprochenen Privatsphäre-Kontrollen leicht auffindbar sind und Nutzerdaten erst nach einer ausdrücklichen Einwilligung zu Werbezwecken verwendet werden. Hintergrund war eine Beschwerde des EPIC.

Was aus deutscher Sicht wie eine Selbstverständlichkeit anmutet, ist in den USA mangels eines entsprechend strengen Datenschutzrechts bereits ein Erfolg.

US-Behörde ist "letzte Rettung"

Warum nun gerade eine Behörde aus dem Land der Weltmeister im Datensammeln zum Retter – auch deutscher Nutzerdaten – werden könnte, ist schnell erklärt. Das Bundesdatenschutzgesetz (BDSG) ist nämlich nicht anwendbar, sofern "eine in einem anderen Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum belegene verantwortliche Stelle personenbezogene Daten im Inland erhebt" (§ 1 Abs. BDSG).

Die für die deutsche Seite laut Impressum zuständige Facebook Ltd. ist in Irland registriert und unterliegt damit grundsätzlich dem irischen Datenschutzrecht – was vom Landgericht (LG) Berlin allerdings mit einem Griff in die Trickkiste des internationalen Rechts schon anders beurteilt wurde (Urt. v. 06.03.2012, Az. 16 O 551/10). Und das irische Datenschutzrecht wurde zuletzt 2003 überarbeitet, zu einem Zeitpunkt also, zu dem Facebook noch Facemash hieß und nicht mehr als die Idee eines jungen Harvard-Studenten war.

Die Facebook Inc. hat ihren Sitz in den USA und ist seit dem 5. Oktober 2007 auf der offiziellen Safe-Harbor-Liste der USA wiederzufinden. Das heißt, der Transfer von Daten an die Facebook Inc. kann nach den europäischen Datenschutzbestimmungen grundsätzlich zulässig sein.

Die 2009 gegründete WhatsApp Inc. mit Sitz in Santa Klara (Kalifornien) hat hingegen bislang keine europäische Tochter, so dass auf die Erhebung von personenbezogenen Daten in Deutschland – auch ohne Trickkiste – das BDSG anwendbar ist. Dies kann nach dem Verkauf aber über die Facebook Gesellschaften umgangen werden. Die "letzte Rettung" für deutsche WhatsApp-Nutzer ist somit die FTC, die auch die Macht hat, Facebook empfindlicher zu treffen, als es deutschen Behörden nach den hiesigen datenschutzrechtlichen Bestimmungen möglich wäre.

Bei WhatsApp stand der Service bisher im Vordergrund

Die Beschwerde der beiden Organisationen stützt sich vor allem darauf, dass die mehr als 450 Millionen Nutzer von WhatsApp nun die Gefahr laufen, dass ihre Daten von Facebook zu Werbezwecken verwendet werden, was vorab nicht ganz so geplant war.

WhatsApp hatte stets vollmundig versprochen, dass es kein Interesse an den Daten seiner Nutzer habe, sondern der Service als solcher im Vordergrund stehe. Dass dies bei Facebook nicht der Fall ist, durften Nutzer in der Vergangenheit erfahren, wenn sie sich wie im Jahre 2011 nebst Foto plötzlich als Werbefigur für das Portal im Netz wiederfanden.

Die Datenschutzbestimmungen von WhatsApp sahen bislang vor, dass außer der Telefonnummer keine Namen, E-Mails, Adressen oder andere Kontaktdaten aus den mobilen Adressbüchern oder Kontaktlisten der Nutzer erhoben würden. Auch die Zuordnung von Name und Telefonnummer erfolgte lokal auf dem Telefon, ohne dass eine entsprechende Übertragung an WhatsApp vorgenommen wurde. Das Unternehmen versicherte zudem, die Inhalte der Nachrichten nicht zu speichern, es sei denn eine Nachricht konnte nicht zugestellt werden und selbst dann würden die Daten nach 30 Tagen automatisch gelöscht.

Facebooks bisheriger Messenger hingegen speichert Nachrichten selbst dann noch, wenn Nutzer diese längst gelöscht haben. Selbst nicht versandte Entwürfe werden von Facebook aufbewahrt.

Vollzug des Verkaufs sollte vorerst gestoppt werden

Nutzer von Instagram können ein Lied davon singen, dass Facebook bei neuerworbenen Unternehmen gerne nach den eigenen Prinzipien handelt und bestehende Datenschutzbestimmungen notfalls nachträglich der Realität annähert. EPIC weist in seiner Beschwerde darauf hin, dass Facebook nach dem Erwerb von Instagram im Jahr 2012 – entgegen der ursprünglichen Datenschutzbestimmungen von Instagram – fleißig Nutzerdaten sammelte. Die Datenschutzbestimmungen wurden daran erst im Januar 2013 angepasst.

WhatsApp hat im Februar 2014 bereits mehr als 50 Milliarden Nachrichten täglich verschickt. Auch wenn das eine Menge Speicherplatz belegen wird – einen großen Server dürfte Facebook bereits haben. Einer "vorsorglichen" Speicherung vor einer genaueren Prüfung datenschutzrechtlicher Fragen stünde damit nichts im Wege. EPIC forderte die US-amerikanischen Behörden daher gleich dazu auf, den Vollzug des Verkaufes zu verhindern, bis eine adäquate Lösung gefunden ist.

Falls das nicht passiert, dürften Nutzern nur wenige Möglichkeiten verbleiben, ihre Daten zu schützen. WhatsApp hat mittlerweile zwar zumindest technisch reagiert. Seit neuestem erlaubt die Software für Android-Systeme (Version 2.11.186) erweiterte Datenschutzeinstellungen. Der Inhalt der Nachrichten bleibt dem Betreiber aber weiter zugänglich, da sonst der unverschlüsselte Service von WhatsApp schlicht nicht funktionieren würde.

Damit am Ende nicht wie bei Brecht gilt "Der Vorhang zu, alle Fragen offen", hat das EU-Parlament die Kommission aufgefordert, die Entscheidung zur Angemessenheit der Safe-Harbor-Principles zu überdenken.

Der Autor Dr. Thomas Weimann ist Fachanwalt für Informationstechnologierecht und Partner bei BRP Renaud und Partner am Standort Stuttgart.

Der Autor Daniel Nagel ist Rechtsanwalt bei BRP Renaud und Partner am Standort Stuttgart.

Beide beschäftigen sich schwerpunktmäßig mit IT-Recht, Datenschutzrecht, AGB-Gestaltung und internationalem Recht und sind Verfasser diverser Veröffentlichungen auf diesen Gebieten.