WhatsApp und Datenschutz: Warum plötzlich alle über Nutzungsbedingungen reden
Am 4. Januar 2021 änderte WhatsApp seine Datenschutzrichtlinie und forderte seine Nutzer*innen auf, diese bis zum 8. Februar zu akzeptieren, um die App weiternutzen zu können. Was als vermeintlich harmloses Pop-Up-Fenster auf den Mobilgeräten begann, endete jedoch in einem öffentlichen Aufschrei, in Boykottaufrufen und Abwanderungsbewegungen zu anderen Messengerdiensten. So überstieg die US-amerikanische Messenger-App Signal die Marke von 50 Millionen Downloads, nachdem Tech-Unternehmer Elon Musk zwischenzeitlich auf Twitter zu dem Wechsel aufgerufen hatte. Telegram brachte es nach 25 Millionen Neuanmeldungen innerhalb von drei Tagen sogar auf über 500 Millionen Nutzer*innen. Doch sind diese Reaktionen berechtigt?
Hintergrund der Aufregung
Für gewöhnlich reagieren Verbraucher*innen auf die Änderungen von AGB und Datenschutzbestimmungen allenfalls mit einem müden Achselzucken, bevor sie die neuen Bedingungen ungelesen akzeptieren. Dass es ausgerechnet bei der Änderung der Datenschutzrichtlinie von WhatsApp anders sein soll, verwundert. Grund genug, den Hintergrund der neuerlichen Aufregung zu beleuchten.
WhatsApp ist mit mehr als 2 Milliarden Nutzer*innen (in Deutschland: 58 Millionen) der mit Abstand größte Messengerdienst der Welt. Seit 2014 gehört WhatsApp zu Facebook. Seinerzeit erklärte Facebook-CEO Mark Zuckerberg den 19-Milliarden-Dollar-Unternehmenskauf damit, dass WhatsApp dem Unternehmen dabei helfe, seine Mission zu erfüllen, nämlich die ganze Welt zu vernetzen. Bis zuletzt standen beide Dienste jedoch relativ unabhängig nebeneinander. Das könnte sich bald ändern, denn gerüchteweise plant Facebook, seine Dienste – neben Facebook und WhatsApp gehört auch Instagram dazu – wechselseitig zu integrieren und auf eine gemeinsame Plattform zu stellen. Die Änderung der Datenschutzrichtlinie könnte ein erster Schritt in Richtung dieser Integration sein, denn die Änderungen betreffen in erster Linie den Datenaustausch von WhatsApp mit anderen Facebook-Unternehmen.
WhatsApp und Facebook: Keine einfache Hochzeit
Geht es im Kern um den Datenaustausch mit Facebook, wird die Skepsis der WhatsApp-Nutzer*innen schon verständlicher. Die Verbindung von WhatsApp und Facebook war und ist nämlich keineswegs unumstritten. Hinter der Gründung von WhatsApp stand die Idee, einen Messengerdienst anzubieten, der sich weder aus Werbeeinahmen noch aus der Vermarktung der Nutzerdaten finanziert. Stattdessen verlangte WhatsApp ursprünglich eine Nutzungsgebühr. Dagegen basiert das Geschäftsmodell von Facebook darauf, die Daten seiner Nutzer*innen auszuwerten und auf dieser Grundlage personalisierte Werbung zu schalten. Damit erwirtschaftete Facebook 2019 einen Jahresumsatz von 70 Milliarden US-Dollar.
Bereits bei der Übernahme von WhatsApp war die Sorge groß, dass Facebook den Messengerdienst übernommen habe, um dessen Nutzerdaten verwenden zu können. Um dieser Sorge zu begegnen, hatte Facebook erklärt, dass es nicht möglich sei, einen automatischen Datenabgleich zwischen den Benutzerkonten beider Dienste einzurichten. Diese Behauptung stellte sich im Nachhinein als falsch dar. Die EU-Kommission verhängte 2017 ein Bußgeld in Höhe von 110 Millionen Euro wegen bewusster Irreführung. Spätere Datenskandale wie das Bekanntwerden des Datenleaks im Zusammenhang mit dem Analyseunternehmen Cambridge Analytica und die Verwendung von Nutzerdaten für dubiose Wahlkampfwerbung bei der US-Präsidentschaftswahl 2017 erschütterten zudem das Vertrauen vieler Nutzer*innen und veranlassten Facebook zu öffentlicher Reue.
Datenaustausch WhatsApp – Facebook: Was gilt bisher?
Auch die (noch) aktuelle Datenschutzrichtlinie vom 24. April 2018 erwähnt bereits einen Datenaustausch mit anderen Facebook-Unternehmen. Dieser soll zum beiderseitigen Nutzen sein, also auch dem Betrieb von Facebook zugutekommen. Dabei geht es vor allem um die Bereitstellung und den Betrieb der jeweiligen Dienste und die Bekämpfung von Spam, Bedrohungen und Missbrauch. Dass Nutzerdaten zur Vermarktung an andere Facebook-Unternehmen weiteregegeben werden, schließt WhatsApp dagegen schon bisher aus.
Die neuen Datenschutzbestimmungen: Was soll sich konkret ändern?
Auch die neue Datenschutzrichtlinie vom 4. Januar 2021 erklärt die Bekämpfung von Spam, Drohungen, Missbrauch und sonstigen Rechtsverletzungen zum Zweck des Datenaustauschs und hebt dies besonders hervor. Außerdem verdeutlicht die neue Richtlinie, dass die Weitergabe von Daten an Facebook nur der Bereitstellung und Verbesserung der eigenen Kommunikationsdienste dient, während eine Verwendung für „eigene Zwecke“ der Facebook-Unternehmen ausgeschlossen ist. Die Richtlinie erlaubt es Facebook nicht, die „Produkterlebnisse auf Facebook zu verbessern oder […] interessantere Facebook-Anzeigen zu zeigen“. Damit dürfte sich die Datenschutzrichtlinie vor allem im Wortlaut – dieser schließt die kommerzielle Datennutzung durch Facebook nun deutlicher aus –, nicht jedoch in der Sache geändert haben.
Anders kann es jedoch aussehen, wenn WhatsApp nicht für private Unterhaltungen, sondern für die Kommunikation mit Unternehmen genutzt wird. Auch das ist bisher schon möglich. WhatsApp und Facebook planen jedoch, ihre Dienste im Bereich der Unternehmenskommunikation auszubauen. Insbesondere plant Facebook, optionale Hosting- und Zahlungsdienste für Unternehmen anzubieten, die den Unternehmen die Kundenkommunikation auf WhatsApp erleichtern sollen. Wer auf WhatsApp Kontakt mit Unternehmen aufnimmt, die Facebook-Dienste nutzen, oder sogar Produkte über WhatsApp erwirbt, teilt seine Daten auch mit Facebook. WhatsApp verspricht allerdings, entsprechende Chats zu kennzeichnen und im Einzelfall mitzuteilen, welche Daten an Facebook weitergegeben werden.
Erhebliche rechtliche Beschränkung des Datenaustauschs
Dass sich WhatsApp beim Datenaustausch mit Facebook in Zurückhaltung übt, ist nicht zuletzt dem geltenden Datenschutz- und Kartellrecht geschuldet. Dabei zeigt sich, dass insbesondere innerhalb der Europäischen Union ein hohes Schutzniveau erreicht wird.
Die Weitergabe von Nutzerdaten innerhalb der EU sowie den EWR-Staaten unterfällt den seit Mai 2018 geltenden Regelungen der Datenschutz-Grundverordnung (DSGVO). Darin ist festgelegt, dass jede Datenverarbeitung – darunter fällt auch die Datenweitergabe von WhatsApp an Facebook – einer Rechtsgrundlage, wie z.B. einer Einwilligung der Nutzer*in, bedarf. Eine Einwilligung wiederum ist nur wirksam, wenn sie bestimmte, strenge Voraussetzungen erfüllt. An diesen Maßstäben wäre es auch zu messen, wenn WhatsApp Daten an Facebook übermitteln würde, die Facebook für „eigene Zwecke“ (wie etwa personalisierte Werbung etc.) verwendet.
Auch das Kartellrecht stellt strenge Anforderungen an eine Datenweitergabe. Im Rahmen ihrer Fusionskontrollentscheidung hielt die EU-Kommission den – damals noch: hypothetischen – Datenaustausch zwischen beiden Unternehmen angesichts des vitalen Wettbewerbs im Bereich der Onlinewerbung zwar noch für unbedenklich (EU-Kommission, Wettbewerbssache M.7217, Kapitel 5.3, Rn. 164 ff.). Seither zeigt sich in Verwaltung und Rechtsprechung jedoch die Tendenz, den Datenaustausch als Missbrauch einer marktbeherrschenden Stellung nach § 19 Abs. 1 GWB einzuordnen. So etwa die im Juni 2020 ergangenen BGH-Entscheidung (KVR 69/19). Dem Verfahren lag ein Beschluss des Bundeskartellamts (BKartA) vom 6.2.2019 zugrunde, der es Facebook untersagte, in seinen Nutzungsbedingungen die Nutzung des sozialen Netzwerkes davon abhängig zu machen, dass Facebook ohne eine einzelfallbezogene Einwilligung Zugriff auf nutzer- und gerätebezogene Daten erhält, die bei der Nutzung der Dienste von WhatsApp und Instagram oder dem Besuch von Internetseiten von Drittanbietern erhoben werden. In seiner vorläufigen Entscheidung bestätigte der BGH den Beschluss des BKartA. Das Gericht kam nach kursorischer Prüfung zu dem Schluss, dass die beanstandeten Nutzungsbedingungen gegen das Missbrauchsverbot in § 19 Abs. 1 GWB verstießen.
Verbleibende Kritik
Ende gut, alles gut? Obwohl WhatsApp in seinen Nutzungsbedingungen die Datenweitergabe an Facebook einschränkt und insbesondere eine Weitergabe für WhatsApp-fremde Zwecke ausschließt, bleiben viele Fragen offen. Denn die Datenschutzrichtlinie bleibt schwer verständlich und lässt nur oberflächlich erkennen, wofür die Datenweitergabe überhaupt notwendig sein soll. Der Hamburger Datenschutzbeauftragte Johannes Caspar beurteilt das Vorgehen des Messengerdienstes daher als „völlig intransparent“.
Kritik dürfte WhatsApp auch von außerhalb Europas ernten, denn die oben beschriebene Änderung gilt nur für EWR-Länder. Außerhalb des EWR werden dem Datenaustausch weniger strenge Grenzen gesetzt als durch die europäische DSGVO. Entsprechend erklärt WhatsApp in ihren aktuellen Datenschutzrichtlinien für außereuropäische Staaten, dass der Datenaustausch auch für die jeweiligen Zwecke der anderen zu Facebook gehörenden Dienste verwendet werden kann. Das ist allerdings keine Neuerung, sondern gilt bereits seit Jahren. So heißt es ausdrücklich in der Datenschutzrichtlinie vom 25. August 2016: „Facebook and the other companies in the Facebook family also may use information from [WhatsApp] to improve your experiences within their services such as making product suggestions (for example, of friends or connections, or of interesting content) and showing relevant offers and ads.“ Daran hat sich seither wenig geändert.
Trotz verlängerter Frist: Keine Widerspruchsmöglichkeit
Schließlich lässt WhatsApp den Nutzer*innen weiterhin keine praktikable Widerspruchsmöglichkeit, auch wenn die ursprüngliche Zustimmungsfrist zum 8. Februar zwischenzeitlich bis zum 15. Mai verlängert wurde. Wer WhatsApp weiterhin nutzen möchte, wird wohl oder übel den Änderungen zustimmen müssen. Andernfalls bleibt nur der Wechsel zur Konkurrenz. Dass die Abwanderung groß genug sein wird, um WhatsApp insoweit zum Einlenken zu bewegen, darf aber bezweifelt werden.