WhatsApp illegal?

Von Franz J Heidinger / Laurin Maran – Georg ist frustriert. Er ist ein Mensch, der nie ohne Ticket U-Bahn fährt, an jeder roten Ampel stehen bleibt und die grünen Flaschen in den Container für die grünen Flaschen wirft. Kurzum, Georg ist ein Mensch, der sich an Gesetze hält. Und da Georg sich auch in Zukunft an die Gesetze halten will, muss er heute noch 189 Menschen um eine Unterschrift bitten. Darunter seinen Friseur, seine Exfreundin Tina und einen Richard123, von dem er gar nicht genau weiß, wer das eigentlich ist.

Das Amtsgericht Bad Hersfeld (Deutschland) hat Georg dieses Schlamassel eingebrockt. Dies hat nämlich mit Beschluss vom 15.05.2017 festgestellt, dass ein WhatsApp-Nutzer von jeder Person, die er in seinem Handy gespeichert hat, eine Erlaubnis einholen muss. Wer den Nachrichtendienst nutzen will, muss nämlich zuvor einwilligen, dass die App auf die gespeicherten Kontakte zugreifen kann. Die Daten im Adressbuch werden dann automatisch an den Mutterkonzern Facebook übermittelt und mit anderen Nutzer abgeglichen. Was jedoch technisch nötig ist, ist rechtlich verboten.

„Wer durch seine Nutzung von „WhatsApp“ diese andauernde Datenweitergabe zulässt, ohne zuvor von seinen Kontaktpersonen aus dem eigenen Telefon-Adressbuch hierfür jeweils eine Erlaubnis eingeholt zu haben, begeht gegenüber diesen Personen eine deliktische Handlung und begibt sich in die Gefahr, von den betroffenen Personen kostenpflichtig abgemahnt zu werden.“ (AG Bad Hersfeld, 15.05.2017 – F 120/17 EASO, Leitsatz 5)

„Kostenpflichtig abgemahnt zu werden“ klingt wie eine Einladung an die Gattung von Rechtsanwälten, die ihr Geld gewöhnlich damit verdienen, den kleinen Timmy abzumahnen, weil er sich das neuste Lied von Tokio Hotel heruntergeladen hat. Für alle anderen klingt es wie das, was es ist: Eine Drohung.

Laut Gericht ist somit von jeder Person, deren Nummer man gespeichert hat, eine schriftliche Einverständniserklärung einzuholen. Sollte dies nicht gelingen, werden drei Lösungen angeboten, wie WhatsApp-Nutzer trotzdem wieder auf den Pfad der Rechtschaffenheit gelangen können:

  1. Möglichkeit: Alle Kontakte vom Handy löschen.
  2. Möglichkeit: Die App daran hindern, auf das Adressbuch zuzugreifen.
  3. Möglichkeit: WhatsApp löschen.

Sollte man herausgefunden haben, wie die 2. Möglichkeit funktioniert, hat dies den nicht unerheblichen Nebeneffekt, dass anstelle der Namen nurmehr die Telefonnummern aufscheinen. Somit führen alle Tipps des Gerichts zum selben Ergebnis: WhatsApp wird völlig unbrauchbar.

Eine Lösung aus dieser Bredouille bietet die ab Mai 2018 geltende Datenschutzgrundverordnung. In Art 2 Abs 2 lit c EU-DSGVO findet das Datenschutzgesetz keine Anwendung auf die Verarbeitung personenbezogener Daten durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten. Georg hat somit Glück, wenn er sein Handy ausschließlich für private Zwecke nutzt.

Handlungsbedarf besteht allerdings bei solchen Personen, die ihr Handy sowohl privat als auch geschäftlich nutzen und WhatsApp installiert haben. In diesen Fällen liegt eine eindeutige Verletzung des Datenschutzgesetzes vor. Selbst wenn das Handy grundsätzlich nur privat genutzt wird, allerdings auch Kontaktdaten von Kollegen, Mitarbeitern oder Geschäftspartnern gespeichert werden, kann von keiner ausschließlichen persönlichen Nutzung mehr gesprochen werden. Die Behörde kann in solchen Fällen Geldbußen verhängen und die im Handy gespeicherten Personen haben unter Umständen einen Anspruch auf Schadenersatz.

Unternehmen, die ihre Mitarbeiter mit Firmenhandys ausstatten, sollten daher dringend darauf achten, die Nutzung von WhatsApp mit diesen Geräten strikt zu untersagen.

Eine Frage muss hingegen offen bleiben: Wer ist eigentlich dieser Richard123

EUR 20 Millionen Strafdrohung als Turbo für EU-US Privacy Shield

Von Franz J. Heidinger / Laurin Maran – Ab heute (01.08.2016) können sich US-Unternehmen beim amerikanischen Handelsministerium in die Privacy Shield Liste eintragen und sich so bescheinigen lassen, dass sie die von der EU-Kommission und Vertretern aus der USA festgelegten datenschutzrechtlichen Prinzipien einhalten.

Als der Gerichtshof der Europäischen Union (GHEU) am 06.10.2015 feststellte, dass das Safe-Harbor-Abkommen keinen angemessenen Datenschutz in den USA gewährleistet, entzog er unzähligen Unternehmen die rechtliche Grundlage für den transatlantischen Datenverkehr. Grundsätzlich bedarf nämlich jeglicher Datentransfer in ein Land außerhalb des europäischen Wirtschaftsraumes der Genehmigung der Datenschutzbehörde. Safe-Harbor war bis zur Entscheidung des GHEU sozusagen die pauschale Genehmigung der EU-Kommission, personenbezogene Daten an zertifizierte US-Unternehmen zu übermitteln.

Nach Monaten der rechtlichen Ungewissheit gibt es nun Ersatz für Safe-Harbor, womit vorerst Rechtsicherheit und eine Grundlage für die genehmigungsfreie Übertragung von personenbezogenen Daten aus der EU in die USA für wirtschaftliche Zwecke geschaffen wurde.

In den USA versteht man die Aufregung in Europa um den Datenschutz eher weniger, hat man dort ja ein völlig anderes Verständnis vom Umgang mit Daten. Natürlich gibt es dort auch Datenschutzgesetze, allerdings werden hauptsächlich sensible Daten, wie zum Beispiel Gesundheitsdaten, geschützt. Da viele US-Unternehmen jedoch ihr Geld mit europäischen Daten verdienen, müssen Sie die europäischen Standards wohl zähneknirschend hinnehmen. Und die Sanktionsdrohung von EUR 20 Millionen oder von bis zu 4% des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs als Geldbuße für Verstöße ist durchaus abschreckend.

US-Unternehmen, die in den Genuss des Privacy Shields kommen möchten, müssen sich lediglich beim US-Handelsministerium registrieren und eine Datenschutzerklärung veröffentlichen, die auf den sieben Prinzipien des Privacy Shields beruht. Um nicht wieder von der Liste gelöscht zu werden, müssen sie sich natürlich auch an die Regeln halten, was deutlich komplizierter ist.

So müssen Unternehmen beispielsweise geeignete technische und organisatorische Sicherheitsmaßnahmen zum Schutz von Daten implementieren. Daten dürfen nur richtig und vollständig verarbeitet werden und der jeweilige Zweck der Verarbeitung muss gewahrt bleiben. Für die Weiterleitung der Daten an ein anderes Unternehmen muss sichergestellt werden, dass auch der Empfänger die datenschutzrechtlichen Bestimmungen einhält. Bürger haben ein Auskunftsrecht bezüglich der über sie gespeicherten Daten und können sich bei der Datenschutzbehörde ihres Heimatstaates beschweren, die dann in Zusammenarbeit mit der US Federal Trade Commission der Beschwerde nachgehen muss.

Das Hauptproblem von Safe-Harbor war das massenhafte und unbegrenzte Sammeln von Daten der EU-Bürger durch US-Behörden. Die Regierung der Vereinigten Staaten hat zwar versprochen, diese „bulk collection“ in Zukunft nur auf bestimmte Fälle zu begrenzen, zum Beispiel wenn die Überwachung eines Einzelnen nicht möglich ist, und die Daten nur zu verwenden, wenn es um die nationale Sicherheit der USA geht, aber Kritiker gehen davon aus, dass sich trotz dessen nichts an der Überwachungspraxis ändern und das Privacy Shield vom Gerichtshof der EU ebenso für ungültig erklärt werden wird.

Für europäische Unternehmen, die sich bei der Datenübertragung in die USA nur auf das Privacy Shield verlassen, birgt das natürlich die Gefahr, bald wieder in die Rechtswidrigkeit zu rutschen. Daher ist es empfehlenswert, sich zusätzlich oder alternativ mit den Standardvertragsklauseln der EU-Kommission oder Binding Corporate Rules abzusichern.

Standardvertragsklauseln bieten die Garantien für die Übermittlung personenbezogener Daten von der EU in Drittländer, deren Datenschutzniveau nicht als angemessen anerkannt ist, wie eben die USA. Dafür müssen das Unternehmen in der EU und das Unternehmen, das die Daten empfangen soll, einen Vertrag mit den passenden Standardvertragsklauseln abschließen und die darin enthaltenen Bestimmungen befolgen.

Binding Corporate Rules sind verbindliche und durchsetzbare interne Datenschutzvorschriften, die es multinationalen Konzernen oder Firmengruppen erlauben, innerhalb des Konzerns personenbezogene Daten in Drittstaaten zu transferieren. Binding Corporate Rules müssen jedoch von mehreren europäischen Datenschutzbehörden geprüft und anerkannt werden, was längere Zeit in Anspruch nehmen kann.

Die wohl am einfachsten zu bekommende rechtliche Grundlage für die Übermittlung von Daten ins Ausland ist das Einverständnis der Person, deren Daten übermittelt werden soll. Der Datenverkehr ins Ausland ist nämlich genehmigungsfrei, wenn der Betroffene ohne jeden Zweifel seine Zustimmung dazu gegeben hat.