OVG Hamburg: Einwilligung für Datenübermittlung zwischen Whatsapp und Facebook unwirksam

Facebook darf weiterhin keine personenbezogenen Daten von Nutzern des in den USA ansässigen Messenger-Dienstes Whatsapp mit deutscher Mobilfunknummer erheben und speichern. Das Hamburgische Oberverwaltungsgericht (OVG) bestätigt die sofortige Vollziehung der Untersagungsanordnung der Aufsichtsbehörde zulasten der europäischen Tochter der Facebook Inc. (OVG Hamburg, Beschluss vom 26.02.2018 – 5 Bs 93/17).

Im August 2014 übernahm Facebook Inc. Whatsapp. Im Zuge dieser Übernahme gab Whatsapp eine Änderung ihrer Nutzungsbedingungen und Datenschutzrichtlinie bekannt und machte die (weitere) Nutzung ihres Dienstes von einer Zustimmung zu diesen neuen Bestimmungen abhängig; vorgesehen war nunmehr insbesondere ein Datenaustausch mit Facebook. Neben dem europäischen Hauptsitz in Irland hat Facebook in Hamburg eine Niederlassung, die Leistungen für Werbekunden in Deutschland erbringt. Der Hamburgische Beauftragte für Datenschutz und Informationssicherheit forderte in seiner Rolle als Aufsichtsbehörde für diese deutsche Niederlassung Facebook auf, zu Art und Umfang des geplanten Datenaustauschs Stellung zu nehmen. Facebook erklärte, „eine klare, ausdrückliche und informierte Zustimmung der Nutzer“ eingeholt zu haben. Die Aufsichtsbehörde erachtete die Einwilligung jedoch für unwirksam und untersagte Facebook im September 2016 die Erhebung und Speicherung personenbezogener Daten von Whatsapp-Nutzern mit deutscher Mobilfunknummer, soweit und solange keine den Anforderungen des Bundesdatenschutzgesetzes (BDSG) entsprechende Einwilligung vorliege.

Facebook legte hiergegen Widerspruch ein und stellte einen Antrag auf Wiederherstellung der aufschiebenden Wirkung dieses Widerspruchs. Die diesen Antrag ablehnende Entscheidung des VG Hamburg wurde nun vom OVG bestätigt. Zwar seien die Erfolgsaussichten des Widerspruchs als offen anzusehen. Bei der gebotenen Abwägung der beteiligten Interessen überwiege aber das öffentliche Interesse an der sofortigen Vollziehung der Anordnung gegenüber den Interessen von Facebook.

Das Gericht führt aus, dass zwar ungeklärt sei, ob das deutsche BDSG auf eine Gesellschaft mit Hauptsitz in Irland anwendbar ist und ob eine Eingriffsbefugnis der handelnden Aufsichtsbehörde besteht. Facebook habe zwar eine deutsche Zweigniederlassung gegründet, diese diene aber lediglich Marketingzwecken. Die Rechtsfrage, wie die Zuständigkeit der Datenschutzkontrollbehörden bei mehreren europäischen Niederlassungen mit unterschiedlicher konzerninterner Aufgabenverteilung zu beurteilen sei, sei auf europäischer Ebene bisher nicht entschieden.

Allerdings sei die Verfügung nicht offensichtlich rechtswidrig, denn es fehle an einer wirksamen Einwilligung der Betroffenen in den Datenaustausch zwischen Facebook und Whatsapp. Die von den Nutzern eingeholte Zustimmung zu der aktualisierten Datenschutzrichtlinie stelle keine bewusste Einwilligung dar, weil für den durchschnittlichen Nutzer nicht erkennbar gewesen sei, dass er mit dieser Zustimmung in eine Datenverarbeitung einwillige. Entgegen § 4a Abs. 1 S. 2 BDSG seien die Nutzer nicht auf den vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten hingewiesen worden. Andere Erlaubnistatbestände kämen für die Datenverarbeitung nicht in Betracht.

Angesichts der offenen Erfolgsaussichten kommt das Gericht zu dem Ergebnis, dass das öffentliche Interesse an der Vollziehung der Anordnung überwiegt. Denn eine rechtswidrige Erhebung und Speicherung personenbezogener Daten könnte eine irreversible Verletzung des Grundrechtes auf informationelle Selbstbestimmung bedeuten.

Es liegt in der Natur des vorläufigen Rechtsschutzes, dass komplexere Rechtsfragen bisweilen im Verfahren offen bleiben. Daher bleibt abzuwarten, wie das Gericht in der Hauptsache entscheiden wird.

Mit Inkrafttreten der Datenschutzgrundverordnung am 25. Mai 2018 werden sich zumindest für neue Verfahren diese Fragen nicht mehr stellen, da mit der Harmonisierung der Regelungen der Anwendungsbereich ausgeweitet wird und nicht nur Verarbeitungsvorgänge erfasst werden, die ausschließlich in der Europäischen Union stattfinden.