WhatsApp jedoch sieht seinen Dienst nicht als Telekommunikation an und beruft sich - im Widerspruch zu
europäischen Gesetzen - auf US-amerikanisches Recht, solange keine europäische Niederlassung existiere.
Aufgrund des Einschreitens mehrerer europäischer Datenschutzbehörden hat WhatsApp inzwischen die Übermittlung der Daten von EU-Nutzern an Facebook bis zur Klärung der rechtlichen Fragen gestoppt. Auch die
Artikel-29-Gruppe hat sich eingeschaltet und wird in einem koordinierten Vorgehen weitere Schritte einleiten.
Sonstiges
Bereits mehrfach hatte ich über die lange Speicherdauer der Verkehrsdaten bei der Interconnection, der Zusammenschaltung öffentlicher Telefonnetze, berichtet (vgl. 23. TB Nr. 6.3 und 25. TB Nr. 8.8.3). Hier wurde mir
nun von der BNetzA mitgeteilt, die Zusammenschaltung der Netze werde noch länger mit der leitungsvermittel1ten Technik aufrechterhalten, die komplexere Abrechnungsmodalitäten erfordere. Erst wenn ausschließlich eine
Bericht lag der Hausleitung noch nicht vor
Zusammenschaltung mit der IP-Technik erfolge, also vermutlich 2019, werde eine Neubewertung vorgenommen. Ob eine Reduzierung der Speicherdauer von sechs auf drei Monate möglich sein wird, kann ich wohl erst
im übernächsten Tätigkeitsbericht mitteilen.
17.3.2 „Da werden Sie geholfen ...“ - Datenschutzkonforme Einwilligung zur Gesprächsaufzeichnung in Callcentern
„Zur Qualitätssicherung und zu Schulungszwecken werden vereinzelt Gespräche aufgezeichnet. Wenn Sie damit
nicht einverstanden sind ...“ Jeder kennt diese Ansagetexte der Callcenter. Aber ist dieses Verfahren auch datenschutzkonform?
Die Einwilligung zur Gesprächsaufzeichnung in Callcentern ist in vielen Fällen nicht datenschutzgerecht ausgestaltet. Die Speicherung von Mitschnitten stellt eine automatisierte Erhebung und Verarbeitung personenbezogener Daten gemäß §§ 4, 4a BDSG dar, die eine explizite Einwilligung des Betroffenen erfordert. Das Schweigen nach dem Hinweis auf eine mögliche Widerspruchsmöglichkeit (Widerspruchslösung) erfüllt diese Anforderungen nicht.
Ich habe bereits seit Jahren zu verschiedenen Anlässen - unter anderem in meinem 25. Tätigkeitsbericht
(Nr. 8.8.3) sowie mehrfach im Rahmen des Jour fixe Telekommunikation - darauf hingewiesen, dass es aus
datenschutzrechtlicher Sicht für Gesprächsaufzeichnungen zwingend einer Einwilligung im Wege der
Opt-in-Lösung bedarf. Im Juli 2015 habe ich erstmals eine breit angelegte telefonische Kontrolle der Verfahren
von Servicerufnummern der Telekommunikations- und Postdienstleister durchgeführt und diese seitdem in regelmäßigen Abständen wiederholt, zuletzt im Januar 2016.
Im Postbereich gab es nur bei einer Rufnummer Hinweise auf eine mögliche Gesprächsaufzeichnung, die kurzfristig durch eine datenschutzgerechte Einwilligungslösung ersetzt wurde. Bei den Telekommunikationsdienstleistern wurden insgesamt 30 Servicerufnummern überprüft. Bei neun Servicerufnummern musste ich feststellen, dass lediglich eine Widerspruchsmöglichkeit angeboten wurde (Stand: 25.01.2016). Aufgrund dieser Datenschutzverstöße habe ich die Verfahren der jeweiligen Anbieter gegenüber der BNetzA formal beanstandet.
Infolge der ausgesprochenen Beanstandungen wurde bisher bereits in fünf Fällen das Verfahren auf ein
Opt-in-Verfahren umgestellt, ein Anbieter verzichtet nun vollständig auf Gesprächsaufzeichnungen. Bei den
übrigen drei Anbietern ist das Verfahren noch nicht abgeschlossen.
17.3.3 Internetangebote der Bundesbehörden
Im Rahmen meiner Zuständigkeit kontrolliere ich die Einhaltung der datenschutzrechtlichen Vorgaben auch bei
den Internetangeboten der Bundesbehörden.
Der Anbieter von Websites hat die Nutzer nach § 13 Absatz 1 Telemediengesetz (TMG) über die Art, den Umfang und den Zweck der Datenerhebung und -verarbeitung in allgemein verständlicher Form zu unterrichten.
Dieser Unterrichtung kommt er mit der Datenschutzerklärung nach. Diese muss für die Nutzer jederzeit und von
jeder Stelle des Internetangebotes aus abrufbar sein. Wird sie lediglich als Unterpunkt in das Impressum integriert, ist die Auffindbarkeit nicht hinreichend gegeben und § 13 Absatz 1 TMG nicht erfüllt.
Wie ich bei der Bearbeitung von Petenteneingaben und auch bei routinemäßigen Prüfungen von Internetangeboten der Bundesbehörden bei einigen Websites bemerkt habe, war die Datenschutzerklärung nicht als eigenständiger Menüpunkt, sondern als Teil des Impressums aufgeführt, in einigen Fällen fehlte sie sogar vollständig.
Ich habe die behördlichen Datenschutzbeauftragten aufgefordert, umgehend die entsprechenden Anpassungen
vornehmen zu lassen.
BfDI 26. Tätigkeitsbericht 2015-2016
– 179 –