Die ersten ernsthaft besorgten Gesichter löste der Messenger-Dienst WhatsApp unter seinen Nutzern wohl Anfang 2014 aus, als bekannt wurde, dass Facebook-Gründer Mark Zuckerberg die App für den sagenhaften 19 Milliarden US-Dollar erstanden hatte. Würde WhatsApp nun als Tochter des Internetgiganten Facebook seine Nutzer und deren Daten ebenfalls zu Werbezwecken nutzen und sein bis dahin werbefreies Angebot monetisieren wollen?
Hamburger Datenschutzbeauftragter untersagt Austausch von Daten zwischen Facebook und WhatsApp
Nun verursacht die Verzahnung von Facebook und WhatsApp Konflikte: Facebook möchte über die WhatsApp-Konten die Telefonnummern der Nutzer auch auf deren Facebook-Profilen hinterlegen. Dies erregt den Unmut europäischer Datenschützer und gipfelte Ende September 2016 in einer Anordnung des Hamburger Datenschutzbeauftragten. Die unmittelbar gültige Anordnung untersagt Facebook, Daten von deutschen WhatsApp-Nutzern zu erheben und zu speichern. Bereits übermittelte Daten müssten wieder gelöscht werden.
In einer Erklärung des Beauftragten für Datenschutz heißt es, Facebook und WhatsApp seien selbstständige Unternehmen, die die Daten ihrer jeweiligen Nutzer auf Grundlage ihrer eigenen Nutzungs- und Datenschutzbedingungen verarbeiten. Facebook habe nach dem Kauf von WhatsApp öffentlich versichert, dass die kein Datenaustausch zwischen den Plattformen stattfinden würde. Dass genau das nun doch gesehe, sei nicht nur eine Irreführung der Nutzer, sondern auch ein Verstoß gegen deutsches Datenschutzrecht. Facebook habe weder eine wirksame Einwilligung von den Nutzern von WhatsApp eingeholt, noch sei eine gesetzliche Grundlage für den Datenempfang vorhanden.
Juristen und Verbraucherschützer kritisieren Intransparenz der US-Internetfirmen
WhatsApp behält sich in Abschnitt 5B seiner Allgemeinen Geschäftsbedingungen (AGB) vor, die Bilder seiner Nutzer weltweit und kostenfrei nutzen zu dürfen. Und nicht nur das: Auch in veränderter Form und zu Werbezwecken holt sich WhatsApp die Nutzung der Daten ein, auch die Weitergabe an Dritte wie etwa eine Werbeagentur müssten die Kunden der App dulden, wenn sie sich mit den AGB einverstanden erklärten.
Dass WhatsApp wie seine Konzernmutter einen derartigen Passus in seinen Nutzungsbedingungen untergebracht hat, wird von Juristen und Verbraucherschützern kritisiert. Einig sind sich die Debattierenden dabei in der Frage, dass die Silicon-Valley-Anbieter diese Bedingungen gegenüber ihrer Klientel transparent machen müssten und es doch nicht tun.
„Das Problem bei Facebook und den meisten Anbietern ist, dass sie alle Einstellungen so voreingestellt haben, dass man als Nutzer erst einmal alles freigibt und allen Bedingungen zustimmt“, sagt Dr. Astrid Auer-Reinsdorff. Die Rechtsanwältin ist Vizepräsidentin des Deutschen Anwaltvereins (DAV) und Vorsitzende der Arbeitsgemeinschaft IT-Recht im DAV.
Der deutsche Datenschutz sehe aber eigentlich das Gegenteil vor: So müssten Anbieter einen Account restriktiv anlegen. Dem Nutzer müsse freigestellt sein, sich aktiv dafür zu entscheiden, seine Daten mit anderen teilen zu wollen. Das müsse so gestaltet werden, dass er nachträglich individuell bestimmen könne, indem er in den Einstellungen seines Accounts einen Haken im entsprechenden Feld setze. Generell sollten sich Nutzer mit den Einstellungen befassen, und selbst Datenschutz betreiben.
WhatsApp muss seine AGB vorerst nicht auf Deutsch veröffentlichen
Verbraucherschützer hatten unterdessen vergangenes Jahr die AGB von WhatsApp angegriffen, weil die Facebook-Tochter diese auf ihrer ansonsten auf Deutsch formulierten Homepage nur auf Englisch anbietet. Das Landgericht Berlin hatte der einstweiligen Verfügung zunächst auch stattgegeben, sie dann aber wieder aufgehoben.
Gescheitert ist das Ansinnen der Verbraucherschutzverbände nicht an einem Meinungswandel der Richter. Hatten die doch ursprünglich in dem ersten Versäumnisurteil darauf abgestellt, WhatsApp müsse seine AGB hierzulande auf Deutsch anbieten. Es sei ansonsten nicht gewährleistet, dass der Verbraucher diese in „zumutbarer Weise“ zur Kenntnis nehmen könne. Es mangelte vielmehr an der Form beziehungsweise an der Klagebefugnis des Verbands: Die existiert für diese Fragestellung noch gar nicht.
Eine solche Klagebefugnis müsse noch geschaffen werden, sagt Rechtsanwältin Auer-Reinsdorff: Das Justiz- und Verbraucherschutzministerium plane ein Gesetz, das die Klagebefugnisse für die Verbraucherschutzverbände erweitern würde: „Die Klagebefugnis soll vor allem um solche Fälle ergänzt werden, die sich uneingeschränkt auf Datenschutzverstöße beziehen“, so die Rechtsanwältin.
Wann AGB von Internetfirmen unwirksam sind
Im deutschen Recht sind Standards für die Wirksamkeit von AGB geregelt: Der Kunde muss vor Vertragsschluss erstens auf die AGB hingewiesen werden, zweitens dürfen die AGB keine überraschenden Klauseln enthalten und drittens dürfen sie den Verbraucher nicht unangemessen benachteiligen. "An sich sind alle überraschenden und intransparenten Klauseln deshalb unwirksam", sagt Rechtsanwältin Auer-Reinsdorff.
Silicon Valley operiert an den rechtlichen Rahmenbedingungen vorbei
Dass die europäischen Bedingungen nachgebessert werden müssen, bestätigt sich unterdessen auch in dem Vorhaben der Europäischen Kommission, eine EU-Datenschutzgrundverordnung auf den Weg zu bringen. Die Kommission hatte kürzlich einen Fahrplan für den Digitalen Binnenmarkt veröffentlicht, mit der sie unter anderem ein einheitliches Datenschutzniveau für die EU anstrebt. Nach den Plänen der Kommission soll mit der Datenschutzgrundverordnung eine Grundlage geschaffen werden, der sich auch die US-Firmen nicht mehr entziehen können.
Bislang operiert die eine oder andere Internetfirma aus den Silicon-Valley-Think Tanks auf dem deutschen Markt nach dem Prinzip „ask forgiveness, not permission“. Diese Unternehmen probieren sich mit ihrem Produkt also auf neuen Märkten wie dem deutschen aus, ohne es vorher an die rechtlichen Rahmenbedingungen anzupassen. Mitunter rüsten die Internetfirmen sich sogar vor dem Markteintritt für etwaige Rechtsstreitigkeiten mit Finanzspritzen ihrer Investoren, so wie es z.B. für den taxiähnlichen Mitfahrservice von „Uber“ der Fall war.
WhatsApp hinkt bei IT-Sicherheit hinterher
WhatsApp scheint diese Strategie unterdessen nicht fremd. Zumindest spricht die Reaktionszeit des Unternehmens auf Kritik hierzulande dafür. So hatten zum Beispiel im Frühjahr 2013 niederländische und kanadische Datenschützer auf Sicherheitslücken beim Anmeldeprozess der App hingewiesen. Deren Entwickler reagierten darauf erst einmal nicht.
Nach deutschem und europäischem Datenschutzverständnis obliegt es auf dem hiesigen Markt operierenden Unternehmen aber, Sicherheitslücken zu schließen. „Fehlende IT-Sicherheit ist auch ein Verstoß gegen den Datenschutz“, sagt Rechtsanwältin Auer-Reinsdorff. Allerdings gäbe es auch hier noch Regelungsbedarf, der erst mit der geplanten Datenschutzgrundverordnung der EU-Kommission geschlossen würde: „Im Moment können sich die Firmen noch herausziehen, indem sie sich darauf berufen, dass nach jetziger Lage das europäische Datenschutzrecht nicht anwendbar ist“, so Auer-Reinsdorff.
Welche Handhabe Nutzer gegen Datenschutzverstöße von WhatsApp haben
Sollte ein Verbraucherschutzverband vor einem Gericht irgendwann aber einmal Erfolg mit einer Klage haben, hätten Nutzer darauf die Möglichkeit, Verstöße gegen das Urteil bei dem Verband zu melden. Der könnte dann wiederum ein Ordnungsgeld gegen das Unternehmen beim Gericht beantragen.
- Datum
- Aktualisiert am
- 27.09.2016
- Autor
- kgl/red
