Seit dem 15. Mai verpflichtet WhatsApp seine Nutzer, die ursprünglich bereits für Februar angekündigten aktualisierten Nutzungsbedingungen zu akzeptieren, wollen diese die App weiterhin nutzen. Stand WhatsApp bereits vorher in der Kritik von Datenschützern, wird nun eine noch engere Verzahnung (und Datentransfers) von WhatsApp und Facebook befürchtet.

Während WhatsApp selbst angibt, dass die Änderungen lediglich dazu dienen, Unternehmen eine direkte Kommunikation mit Nutzerinnen und Nutzern zu ermöglichen sowie die Datenerfassung und -verwendung transparenter zu gestalten, wird insbesondere der letzte Aspekt in Frage gestellt. Nicht eindeutig interpretierbare Formulierungen und Begrifflichkeiten würden die tatsächlichen Änderungen verschleiern. Insbesondere wird die Datenübermittlung zu Werbezwecken an Facebook – seit 2014 gehört WhatsApp zum Facebook-Konzern – befürchtet. Zwar betont WhatsApp, dass es „deine personenbezogenen Daten nicht mit Facebook teilt“, schränkt den Satz aber mit dem Wort „derzeit“ gleich wieder ein.

Und auch im Bereich Kinder- und Jugendschutz nimmt WhatsApp es mit den gesetzlichen Vorgaben nicht so genau. So müssen Nutzerinnen und Nutzer innerhalb der EU zwar mindestens 16 Jahre alt sein, eine Kontrolle der Alterseingabe erfolgt aber nicht.

Die zunehmend engere Verbindung von Facebook und WhatsApp sowie der mangelnde Schutz Minderjähriger haben u. a. den Hamburgischen Beauftragen für Datenschutz und Informationsfreiheit (HmbBfDI) auf den Plan gerufen, der Facebook per Anordnung eine Weiterverarbeitung von WhatsApp-Nutzerdaten verboten hat. So heißt es in einer Pressemitteilung:

„Mit den neuen Bedingungen werden die Befugnisse zur Datenverarbeitung formal erneuert und künftig inhaltlich erweitert. Das betrifft u. a. die Auswertung von Standortinformationen, die Weitergabe von Kommunikationsdaten der Nutzer von Unternehmen auf WhatsApp an Drittunternehmen ausdrücklich mit Hinweis auf Facebook […]. Ferner wird die Nutzung der Daten zur Verbindung mit Produkten von Facebook-Unternehmen eröffnet. Ein berechtigtes Interesse für die Datenverarbeitung bzw. für den Austausch der Daten wird künftig pauschal auch gegenüber minderjährigen Nutzern vorgebracht.“ – HmbBfDI (11.05.2021)

Nutzerinnen und Nutzer sollen mittels dieser Dringlichkeitsentscheidung vor Nachteilen und Schäden aus dem „Black-Box-Verfahren“ von WhatsApp und Facebook geschützt werden, insbesondere vor Gefahren einer Profilbildung, die nicht nur in die Privatsphäre hineingreifen, sondern auch die Meinungsbildung im Zusammenhang mit Wahlen massiv beeinflussen kann.

Zwar hat WhatsApp aufgrund der Ende-zu-Ende-Verschlüsselung keinen Zugriff auf die Inhalte der Chats, gespeichert werden aber dennoch aussagekräftige Metadaten (z. B. wann, mit wem und mit welchem Gerät ein Austausch erfolgt). Und auch wenn die Nutzung dieser Daten zu Werbezwecken innerhalb der EU (im Gegensatz zu Ländern außerhalb der EU) untersagt ist, werden WhatsApp umfangreiche Rechte an den eigenen Daten eingeräumt: „Damit wir unsere Dienste betreiben und bereitstellen können, gewährst du WhatsApp eine weltweite, nicht-exklusive, gebührenfreie, unterlizenzierbare und übertragbare Lizenz zur Nutzung, Reproduktion, Verbreitung, Erstellung abgeleiteter Werke, Darstellung und Aufführung der Informationen (einschließlich der Inhalte), die du auf bzw. über unsere/n Dienste/n hochlädst, übermittelst, speicherst, sendest oder empfängst.“ 

Mit diesem Satz übertragen Nutzerinnen und Nutzer nicht nur die Rechte aller gesendeten Inhalte an WhatsApp, sondern erlauben dem Unternehmen darüber hinaus, mit diesen Inhalten machen zu können, was immer es will. Und da eine Weiterleitung an andere Unternehmen auch eingeräumt wird, ist nicht ausgeschlossen, dass private Inhalte z. B. bei Facebook erscheinen.

Bereits vor den neuen Nutzungsbedingungen wurde – insbesondere aus datenschutzrechtlichen Aspekten – von der Nutzung von WhatsApp abgeraten. Die Empfehlung kann aktuell – nicht nur für private Zwecke, sondern insbesondere für die dienstliche Nutzung in DRK-Organisationen – nur noch dringlicher lauten, auf alternative Messengerdienste mit höherem Datenschutzniveau zurückzugreifen. Welche Variante zu empfehlen ist, ist abhängig von den individuellen Faktoren und Ansprüchen Ihrer DRK-Organisation.

Gerne beraten und unterstützen wir Sie bei der Umsetzung der Vorgaben der DSGVO, auch in weiteren datenschutzrechtlichen Fragestellungen. Wenden Sie sich gerne direkt an ihre*n Datenschutzbeauftrage*n in der BBS oder schreiben Sie uns an datenschutzdrk-bbs.de.