WhatsApp ist datenschutzrechtlich unbedenklich

Dies ist jedenfalls das (zusammengefasste) offizielle Ergebnis der Untersuchung von WhatsApp durch die niederländische Datenschutzaufsichtsbehörde CBP. In der Pressemitteilung heißt es:

WhatsApp now processes telephone numbers of non-users in another way and has also changed the way it stores these data. According to the Dutch DPA, by doing so the company now has a legal basis to process these data.

 

Dabei stellt die Aufsichtsbehörde auch klar, dass WhatsApp während des seit 2013 andauernden Verfahren durchaus Änderungen hinsichtlich Art und Umfang der Speicherung der Telefonnummern vorgenommen hat. Dies betrifft insbesondere, die Telefonnummern (deren Übermittlung für die Verwendung von WhatsApp erforderlich ist) von Dritten, die zum Übermittlungszeitpunkt noch keine Nutzer sind:

The company has taken security measures appropriate for its service that will have the effect that telephone numbers of non-users are processed technically in a way (‘hashed’) that the possibility for other uses are limited. Moreover, these ‘hashed’ telephone numbers of non-users will be stored separately. Only a limited number of engineers have access to this data.

 

Im Nachgang an die Safe-Harbor Entscheidung des EuGH eine zunächst überraschend klingende (aber beruhigende) Entscheidung der Aufsichtsbehörde. Es wäre jedoch schön, wenn in der Folge weitere Details der Entscheidung bekannt würden, statt nur die kurze Pressemitteilung.

Wer im Glashaus sitzt – Aufsichtsbehörden in stürmischen Gewässern

Es war abzusehen, dass nach dem gestrigen Urteil des EuGH über die Unwirksamkeit des Safe-Harbor Abkommens, von Seiten der Aufsichtsbehörden eine komplette Untersagung jeglicher Datentransfers in die USA gefordert oder jedenfalls angemacht wird. Den Anfang macht – wenig überraschend – der Landesbeauftragte für den Datenschutz in Hamburg.

Auch ansonsten ist der Jubel groß, dass der EuGH der Überwachung durch die USA eine klare Absage erteilt hat. Es ist richtig, dass der EuGH zu der flächendeckenden und völlig legalen Überwachung durch den amerikanischen Geheimdienst deutliche Worte gefunden hat und daran letztlich abgelehnt hat, dass die USA mittels Safe-Harbor ein angemessenes Datenschutzniveau gewährleisten.

Doch wer darüber jetzt laut jubelt, sollte kurz innehalten. Nicht nur die NSA haben personenbezogene Daten europäischer Bürger im großen Stil ausgespäht und damit wohl gegen das Recht auf Privatsphäre der Grundrechtscharta sowie der europäischen Datenschutz-Richtlinie verstoßen. Auch europäische Geheimdienste haben vor solchen Maßnahmen nicht zurückgeschreckt.

Was haben die Aufsichtsbehörden, die bereits in der Vergangenheit laut die Abschaffung des Safe Harbors gefordert haben, denn selbst unternommen? Der EuGH hat den Aufsichtsbehörden gestern ins Stammbuch geschrieben, dass es zu ihren Aufgaben gehört, solche Verstöße auch im Inland zu prüfen und ggf. den Rechtsweg einzuschlagen.

Aufsichtsbehörden, die sich jetzt fragen, ob aufgrund der Geheimdienstaktivitäten eine Übermittlung personenbezogener Daten in die USA grundsätzlich unzulässig ist, sollten sich vielleicht zunächst fragen, ob sie hier nicht mit zweierlei Maß messen. Mit dem europäischen Datenschutzniveau ist es jedenfalls nicht weit her, wenn es im Inland weder beachtet noch kontrolliert wird.

Farewell Safe Harbor!

Das Urteil ist spektakulär, die Schlagzeilen sind schmissig, die Aufregung groß. Aber die Welt dreht sich noch und Europa ist auch nicht mit einem Schlag vom Internet abgekoppelt. Es gibt auch keinen Grund.

Schaut man sich die ausführliche Entscheidung des EuGH vom heutigen 6. Oktober 2015 (C-362/14) an, beerdigt der EuGH zwar das – dank NSA bereits seit einigen Monaten klinisch-tote – Safe-Harbor-Abkommen, aber die Entscheidung des EuGH ist in seinen Einzelheiten viel mehr (und viel wichtiger) als nur ein Aufreger. Es ist in erster Linie eine Stärkung des Datenschutzes und der Aufsichtsbehörden. Hier einzelne Punkte, die über das Safe Harbor Abkommen hinaus eine Rolle spielen werden:

  • Der EuGH bekräftigt die Rolle der Aufsichtsbehörden als unabhängige Aufsicht zur Wahrung des Datenschutzrechts. Insofern sind alle Mitgliedsstaaten verpflichtet sicherzustellen, dass unabhängige Aufsichtsbehörden eingerichtet werden und die Einhaltung der Datenschutz-Richtlinie 95/46 überprüfen können (Abs. 40).
  • Aber auch die Aufsichtsbehörden können trotz Unabhängigkeit nicht frei nach eigenem Gutdünken handeln. Sie sind vielmehr an einen fairen Ausgleich („fair balance“) zwischen der Einhaltung des Grundrechts auf Privatsphäre auf der einen Seite und den Interessen auf freien Datenfluss gebunden (Abs. 42).  Ein Absatz der deutschen Aufsichtsbehörden kaum gefallen dürfte.
  • Nationale Behörden oder Gerichte sind grundsätzlich an die Entscheidungen der EU-Kommission über die Anerkennung des Datenschutzniveaus eines Drittlandes jedenfalls insoweit gebunden, dass sie den Datentransfer nicht unterbinden dürfen, solange die Anerkennung des Datenschutzniveaus nicht widerrufen oder für nichtig erklärt wurde (Abs. 52). Auch dies dürfte den Aufsichtsbehörden kaum gefallen.
  • Entscheidungen der EU-Kommission, dass ein Drittstaat ein anerkanntes Datenschutzniveau besitzt, können ausschließlich vom EuGH kassiert werden. Nationale Behörden oder Gerichte sind hierzu nicht befugt, auch wenn sie berechtigt sind die Einhaltung zu überprüfen (Abs. 61. ff).
  • Kommt eine Aufsichtsbehörde zu dem Schluss, dass die Besorgnisse eines Bürgers berechtigt sind und das Datenschutzniveau des Drittstaats entspricht entgegen der Entscheidung der EU-Kommission nicht den Anforderungen der Datenschutz-Richtlinie, so muss die Aufsichtsbehörde in der Lage sein, rechtliche Schritte zu ergreifen, diese Entscheidung anzugreifen (Abs. 65). Damit wird das Verfahren für künftige Streitigkeiten festgelegt: Die Aufsichtsbehörde prüft und muss im Zweifel auf dem Rechtsweg eine Annullierung der Entscheidung der EU-Kommission durch den EuGH erreichen.

Neben diesen Punkten zur Stärkung des Datenschutzrechts, stellt der EuGH auch die Anforderungen an ein angemessenes Datenschutzniveau fest. Mit wenig Überraschung erfüllt das Safe-Harbor Abkommen diese Anforderungen nicht. Im Einzelnen:

  • Das angemessene Datenschutzniveau des Drittstaates muss nicht dem Datenschutzniveau der EU entsprechen. Es muss jedoch sichergestellt sein, dass die fundamentalen Grundsätze des Datenschutzrechts eingehalten werden.(Abs. 74).
  • Wenn die nationalen Gesetze selbst kein angemessenes Datenschutzniveau gewährleisten, kann dies grundsätzlich über ein System der Selbstzertifizierung sichergestellt werden (Abs. 80 ff). Es muss jedoch auch hierbei sichergestellt werden, dass der Drittstaat die Einhaltung des angemessenen Datenschutzniveaus überwacht und einhält.
  • Insbesondere darf der Drittstaat nicht durch eigene Gesetze das Schutzniveau im Nachgang wieder aushebeln, indem etwa Sicherheitsbehörden ohne Probleme auf die geschützten Daten zugreifen können. Ein Drittstaat, der Daten aus der EU hiervon nicht ausschließt und gemäß des angemessenen Datenschutzniveaus schützt, trägt nicht die erforderliche Sorge um das Datenschutzniveau „sicherzustellen“.

Gemessen an diesen Grundsätzen blieb dem EuGH nichts anderes übrig, als die Entscheidung der EU-Kommission zur Anerkennung des Safe-Harbor Abkommens für unwirksam zu erklären.

Insoweit ist die Entscheidung des EuGH wenig überraschend und erfreulich klar. Was bedeutet dies nun für die Unternehmen, die personenbezogene Daten an Dritte in den USA übermitteln?

Sie brauchen eine andere Rechtsgrundlage. Hierfür haben die Unternehmen zahlreiche Möglichkeiten. Wie bei anderen Drittstaaten ohne anerkanntes Datenschutzniveau, kann dieses mittels individueller Vereinbarungen, der Einwilligung des Betroffen, der Verwendung der Standardvertragsklauseln der EU oder verbindlicher Unternehmensrichtlinien in Form von Binding Corporate Rules erfolgen. Waren Unternehmen bereits in der Vergangenheit gut beraten den Datenaustausch auf der Grundlage einer dieser Rechtsgrundlagen durchzuführen, so sind sie ab dem heutigen Tag darauf angewiesen.

Es bleibt also bei einem „Farewell Safe Harbor“ ohne Aufbruch in eine stürmische See.

 

Apple & Privacy

Nach der Aufregung um geleakte Selfies aus der iCloud und die Ankündigung der neuen datenschutzrelevanten Dienste „Health“ und „HomeKit“ in iOS8 und dem neuen Bezahldienst ApplePay geht Apple nun in die Offensive um seine Kunden über Privatsphäre und Datenschutz bei Apple zu informieren.

In einem für Apple typischen Statement wendet sich Tim Cook persönlich an die Kunden um mögliche Bedenken zu beruhigen. Wer es mit Datenschutz und Privatsphäre ernst meint, sollte nicht nur wohl formulierte Sätze platzieren sondern seine User aufklären. Auch in soweit hat Apple seine (Marketing-) Lektion gelernt und gibt lesenswerte Auskunft über die Verwendung von Daten durch Apple, die Auskunftsersuchen staatlicher Behörden.

Zusätzlich gibt es eine Reihe (selbstverständlicher) Tipps für besseren Datenschutz unter Mac OS X und iOS8.

Ist Facebooks Graph Search wirklich ein datenschutzrechtliches Problem?

Die Ankündigung des sozialen Netzwerks Facebook, eine umfassende Inhaltssuche einzuführen, ließ schon erahnen, dass sie bei Datenschützern sofort zu Schnappreflexen führen würde.

Die Reaktion folgte dementsprechend prompt. Der in Sachen Facebook federführende Landesbeauftragte für den Datenschutz aus Schleswig-Holstein, Thilo Weichert, äußerte nach der Ankündigung umgehend seine Bedenken. Sein erstes Fazit, er fände die angekündigte Suche nicht toll, sei als persönliche Meinung respektiert, aber ist es auch tatsächlich datenschutzrechtlich begründet?

So zitiert die FAZ den Datenschützer mit den Worten:

„Die Suchfunktion, die wir vom Internet kennen, wird jetzt in den Freundeskreis hineingezogen, mit der Folge, dass hochsensible Informationen auch Dritten zur Kenntnis gelangen. […] Hier wird definitiv ein weiterer Eingriff ins Datenschutzrecht vorgenommen, der meines Erachtens nicht akzeptabel ist.“


Gemeint sind damit künftig mögliche Suchen, die auf persönlichen Daten beruhen, etwa die Suche „Bars in Stuttgart, die meinen Freunden und deren Bekannten aus Stuttgart gefallen“. Dem Zitat von Weichert folgend wird man als Nutzer künftig Informationen Dritter erhalten, die einem bislang nicht zugänglich waren. Das wäre natürlich ein dicker Hund, wenn künftig Hinz und Kunz wüssten, welche Bars mir gefallen und was ich damit in Verbindung bringe.

Aber ist das wirklich so? Der Facebook Public Policy Manager Nicky Jackson Colaco wurde genau dazu interviewt und seine Antwort:

„No one can see anything that they wouldn’t have otherwise been able to see. […] We don’t want people to be surprised. It’s really bad for them … and it’s bad for us.“


Facebook ist sich also bereits durchaus bewusst, dass die neue Suche bei Bedenkenträgern nicht auf Gegenliebe stoßen wird. Festzuhalten bleibt, dass sich die neue Graph Search an den Privatsphäre Einstellungen der einzelnen Nutzer hält und somit Suchergebnisse durch diese beeinflusst werden. Wenn ich engen Freunden mitteile, welche Bars mir in Stuttgart gefallen, dann erhalten nur diese meine Empfehlung in ihrer Suche angezeigt. Entfernte Bekannte oder gar Dritte, die mit mir auf Facebook nicht befreundet sind, sondern lediglich „Freunde von Freunden“ sind, erhalten diese Empfehlung hingegen nicht. Anders als das Zitat von Thilo Weichert es vermuten lässt, ermöglicht Graph Search keinen unkontrollierten Zugriff auf (weitere) personenbezogene Daten durch Dritte. Insoweit findet keine weitergehende Weitergabe personenbezogener Daten statt als bisher. Es wird höchsten leichter die Informationen zu finden.

Dies bedeutet nicht, dass die neue Suche nicht überraschende oder gar unangenehme Folgen für Nutzer haben kann. So zeigen erste Versuche, das gerade Facebook Nutzer, die unbedarft und unüberlegt ihre Likes im Netz verteilen, durch die Suche in misslichem Kontext dargestellt werden können, wie etwa Gizmodo aufgezeigt hat. Die neue Graph Search verdeutlicht damit eindrucksvoll, was auch bisher schon als Maxime auf Facebook zu beachten war: Think before you post or like!

Facebook bietet dank der vielen Proteste zum Datenschutz mittlerweile umfangreiche Möglichkeiten an, um Informationen nur ganz gezielt einzelnen Personen zugänglich zu machen oder diese wieder zu entfernen. Es sollte daher jeder vor der Einführung der Graph Search sein eigenes Profil genau unter die Lupe nehmen und ggf. missliche Posts, Bilder oder Likes entfernen.

Der oben zitierte Vorwurf ist jedoch nach den bisherigen Aussagen Facebooks nicht begründet. Facebook Nutzer werden allerdings künftig stärker denn je darauf achten müssen, welche Inhalte sie mit wem auf Facebook teilen, denn die Graph Search wird ein altes Sprichwort in seiner ganzen Härte verdeutlichen: Das Internet vergisst nicht.