lekommunikationsgesetz (TKG) bzw. der DSGVO. Gemäß
§ 115 Absatz 4 TKG obliegt die datenschutzrechtliche
Aufsicht in Deutschland dabei meiner Behörde (vgl. Nr.
15.1.1), so dass ich mich auch schon in der Vergangen‑
heit immer wieder mit dem Thema Messenger-Dienste
auseinandersetzen musste.
Dabei stand in den letzten Jahren besonders der Dienst
WhatsApp im Fokus. Wegen der Übermittlung von Nut‑
zerdaten durch die WhatsApp Inc. an Facebook habe ich
im Mai 2017 gegenüber der Bundesnetzagentur (BNetzA)
eine Beanstandung ausgesprochen. Grund für die
Beanstandung war, dass ich keine datenschutzrechtlich
wirksame Einwilligung der Nutzer zur Übermittlung der
Mobilfunknummer von der WhatsApp Inc. an Facebook
erkennen konnte. Dies habe ich als Verstoß gegen §§ 95
Absatz 1 Satz 1 und 3, 94 TKG i. V. m. § 4a BDSG (alt)
bewertet. Die Beanstandung und das daraufhin von der
BNetzA durchgeführte Verwaltungsverfahren ist von
dort nicht abschließend bearbeitet worden. Schließlich
hat die BNetzA im August 2018 trotz eines noch nicht
vollständig erledigten Verwaltungsverfahrens den
Vorgang unter Verweis auf die DSGVO an mich zurückge‑
geben. Meines Erachtens hätte die BNetzA aber noch zu
einer abschließenden Stellungnahme bzgl. des laufen‑
den Beanstandungsverfahrens WhatsApp kommen und
mir das Ergebnis mitteilen sollen, denn insoweit ist
auf den Rechtszustand vor dem 25. Mai 2018 und den
Verstoß gegen §§ 95 Absatz 1 Satz 1 und 3, 94 TKG i. V. m.
§ 4a BDSG (alt) abzustellen.
Den am stärksten verbreiteten Messenger-Dienst Whats‑
App stufe ich derzeit nicht als datenschutzfreundlich
ein. Besonders kritisch muss u. a. der potentielle Daten‑
austausch zwischen WhatsApp und Facebook hinterfragt
werden. Dies gilt gleichermaßen im Hinblick auf die Er‑
hebung von Telefonnummern mittels Adressbuchupload
durch WhatsApp. Das Unternehmen kann auf diese Art
alle Kontaktdaten eines Nutzers verarbeiten, die auf des‑
sen Mobiltelefon hinterlegt sind und zwar unabhängig
davon, ob der jeweilige Kontakt selbst WhatsApp nutzt
oder nicht.
Zu WhatsApp liegen mir einige Beschwerden und Anfra‑
gen vor. Dabei geht es einerseits ganz allgemein um die
Datenschutzbestimmungen des Dienstes, andererseits
aber auch um nicht bzw. nicht ausreichend beantwortete
Auskunftsersuchen und um die Frage, wie Widerspruch
gegen eine Datenweitergabe eingelegt werden kann
u.a.m.
Messenger-Dienste seit der Anwendbarkeit der DSGVO
Da die populärsten Messenger-Dienste häufig weder
ihren Firmensitz noch eine Niederlassung in Deutschland
haben, arbeite ich seit dem 25. Mai 2018 immer dann,
wenn es um die Verarbeitung von Bestandsdaten geht, die
der DSGVO unterliegen, intensiv mit der jeweils feder‑
führenden Datenschutzaufsichtsbehörde zusammen. Um
dies an einem Beispiel zu verdeutlichen: Meldet sich ein
Bürger wegen eines Datenschutzproblems bei mir und
der Anbieter sitzt z. B. in den USA, hat aber eine Nieder‑
lassung in Irland, wie im Falle der WhatsApp Ireland Ltd.,
übernehme ich bei den sog. Verfahren der Zusammen‑
arbeit (Artikel 56, 60 DSGVO) die Korrespondenz mit der
federführenden Aufsichtsbehörde, und übermittele dieser
alle zweckdienlichen Informationen. Sodann analysiert,
untersucht und bewertet die federführende Aufsichtsbe‑
hörde den Vorgang. Dazu erhält sie nicht nur meine Stel‑
lungnahme als betroffene Aufsichtsbehörde, sondern for‑
dert in aller Regel auch das betroffene Unternehmen zur
Stellungnahme auf, um auf Basis dieser Erkenntnisse zu
entscheiden. Bevor sie eine abschließende Entscheidung
trifft, informiert sie mich und legt mir einen Entwurf zur
Stellungnahme vor. Soweit die Beschwerde erfolgreich
ist, unterrichte ich dann den Beschwerdeführer über den
getroffenen Beschluss. Wenn ich mit der beabsichtigten
Entscheidung nicht einverstanden bin, kann ich hierge‑
gen Einspruch einlegen. Die federführende Behörde muss
sich dann mit meinen Argumenten auseinandersetzen.
Bleibt sie bei ihrer Auffassung darf sie den Bescheid den‑
noch nicht erlassen, sondern muss den Fall dem Europä‑
ischen Datenschutzausschuss vorlegen. Dieser trifft dann
eine verbindliche Entscheidung.
Auf diese Art und Weise stimmen sich die Aufsichtsbe‑
hörden europaweit – in aller Regel über das europäische
Binnenmarktinformationssystem (IMI) ab, um so auf ein
datenschutzrechtlich einheitliches Niveau hinzuwirken.
Natürlich ist das hohe Maß an Abstimmung zunächst
einmal sehr aufwändig und auch zeitintensiv. Gerade
in den ersten Monaten unter der DSGVO musste ich so
manches Mal erfahren, wie sehr in den verwaltungs‑
rechtlichen und verwaltungstechnischen Abläufen der
Teufel im Detail steckt. Aber mit der Zeit stellt sich auch
hier eine gewisse Verwaltungspraxis ein, so dass die
Kooperationsverfahren der Beschwerden nun nach und
nach anlaufen. Der weit überwiegende Teil der Verfah‑
ren betrifft die Zusammenarbeit mit der irischen Auf‑
sichtsbehörde. Meine irische Kollegin ist aber wahrlich
nicht zu beneiden, denn zahlreiche große amerikani‑
sche Konzerne haben ihre europäische Niederlassung in
Irland und man kann sich leicht vorstellen, in wie vielen
Kooperationsanfragen aus ganz Europa die Mitarbeiter
dort gefragt sind.
Welchen Messenger-Dienst soll ich denn nun nutzen?
Diese Frage erreichte mich in den letzten Monaten un‑
zählige Male. Unterschiedliche Messenger-Dienste wer‑
den von diversen Dienstleistern angeboten. Für welchen
Dienst soll man sich nun entscheiden? Welchen Dienst
Tätigkeitsbericht zum Datenschutz für die Jahre 2017 und 2018
109