Europäischer Datenschutzausschuss: Kein Dringlichkeitsbeschluss hinsichtlich der Weiterverarbeitung von WhatsApp-Nutzerdaten

Wie der Europäische Datenschutzausschuss (EDSA) mitteilt, hat das Gremium keinen Dringlichkeitsbeschluss hinsichtlich der Weiterverarbeitung von WhatsApp-Nutzerdaten durch Facebook  erlassen.

Der EDSA  ist der europäische Zusammenschluss aller nationalen Datenschutzbehörde in Deutschland.

Inhaltlich geht es in dieser Angelegenheit um die neuen Nutzungsbedingungen, die Facebook  vor einiger Zeit eingeführt hat und zu denen der Nutzer seine Zustimmung erklären sollt. Der Hamburgische Datenschutzbehörde hatte im Mai 2021 eine vorübergehendes Verbot gegenüber Facebook erlassen, vgl. die Kanzlei-News v. 12.05.2021. Da es sich nur um eine vorübergehende Maßnahme handelt, riefen die Hanseaten den EDSA an, um eine Lösung auf europäischer Ebene herbeizuführen.

Dies lehnte der EDSA nun ab.

Zwar sei es sehr wahrscheinlich, dass Facebook  gegen die DSGVO verstoßen habe. Jedoch sei es vor Einleitung weiterer Maßnahmen zuerst notwendig, den Sachverhalt weiter zu ermitteln:

"Based on the evidence provided, the EDPB concluded that there is a high likelihood that Facebook IE already processes WhatsApp IE user data as a (joint) controller for the common purpose of safety, security and integrity of WhatsApp IE and the other Facebook Companies, and for the common purpose of improvement of the products of the Facebook Companies. However, in the face of the various contradictions, ambiguities and uncertainties noted in WhatsApp’s user-facing information, some written commitments adopted by Facebook IE and WhatsApp IE’s written submissions, the EDPB concluded that it is not in a position to determine with certainty which processing operations are actually being carried out and in which capacity.

In addition, there was not enough  information  to establish with certainty whether Facebook IE already started to process WhatsApp IE user data as a (joint) controller for its own purposes of marketing communications and direct marketing, and cooperation with the other Facebook Companies. Nor could it be established whether Facebook IE already started or will soon start processing WhatsApp IE user data as a (joint) controller for its own purpose in relation to WhatsApp Business API."

Daher sei es notwendig, dass die nationale Datenschutzbehörde in Irland, dem Sitz von Facebook Ireland, entsprechende Ermittlungen durchführe:

"Considering the high likelihood of infringements in particular for the purpose of safety, security and integrity of WhatsApp IE and the other Facebook Companies, as well as for the purpose of improvement of the products of the Facebook Companies, the EDPB considered that this matter requires swift further investigations. In particular to verify if, in practice, Facebook Companies are carrying out processing operations which imply the combination or comparison of WhatsApp IE’s user data with other data sets processed by other Facebook Companies in the context of other apps or services offered by the Facebook Companies, facilitated inter alia by the use of unique identifiers.

For this reason, the EDPB requests the IE SA to carry out, as a matter of priority, a statutory  investigation to determine whether such processing activities are taking place or not, and if it is the case, whether they have a proper legal basis under Article 5(1)(a) and Article 6(1) GDPR."

Gegenüber Heise Online erklärt  der Hamburgischen Datenschutzbeauftragten Prof. Caspar, dass er den Beschluss des Gremiums mit großer Sorge sehe. Er könne nicht erkennen, warum es an einer Dringlichkeit fehle, wenn eine hohe Wahrscheinlichkeit bestünde, dass mehrere 100 Millionen EU-Bürger DSGVO-Verletzungen ausgesetzt seien.