Brüssel, 15. Juli - Der EDSA hat seinen ersten verbindlichen Beschluss im Dringlichkeitsverfahren gemäß Artikel 66 Absatz 2 DSGVO auf Antrag der Hamburger Aufsichtsbehörde (DE-HH AB) erlassen, nachdem diese AB einstweilige Maßnahmen gegen Facebook Ireland Ltd (Facebook IE) auf der Grundlage von Artikel 66 Absatz 1 DSGVO erlassen hatte. Die DE-HH AB ordnete ein Verbot der Verarbeitung von WhatsApp-Nutzerdaten durch Facebook IE für eigene Zwecke an, nachdem eine Änderung der Nutzungsbedingungen und Datenschutzbestimmungen für europäische Nutzer von WhatsApp Ireland Ltd durchgeführt worden war.
Der EDSA entschied, dass die Voraussetzungen für den Nachweis des Vorliegens eines Verstoßes und einer Dringlichkeit nicht erfüllt sind. Daher beschloss der EDSA, dass in diesem Fall keine endgültigen Maßnahmen von der irischen AB gegen Facebook IE erlassen werden müssen.
Auf der Grundlage der vorgelegten Nachweise kam der EDSA zu dem Schluss, dass mit hoher Wahrscheinlichkeit Facebook IE Nutzerdaten von WhatsApp IE bereits verarbeitet als (gemeinsam) für die Verarbeitung Verantwortlicher für den gemeinsamen Zweck der Sicherheit und Integrität von WhatsApp IE und den anderen Facebook-Unternehmen sowie für den gemeinsamen Zweck der Verbesserung der Produkte der Facebook-Unternehmen. Angesichts der verschiedenen Widersprüche, Unklarheiten und Unsicherheiten, die in den Nutzerinformationen von WhatsApp, in einigen schriftlichen Verpflichtungserklärungen von Facebook IE und in den schriftlichen Angaben von WhatsApp IE festgestellt wurden, kam der EDSA jedoch zu dem Schluss, dass er nicht in der Lage ist, mit Sicherheit festzustellen, welche Verarbeitungen tatsächlich durchgeführt werden und auf welche Art und Weise.
Darüber hinaus gab es nicht genügend Informationen, um mit Sicherheit festzustellen, ob Facebook IE bereits damit begonnen hat, Nutzerdaten von WhatsApp IE als (gemeinsam) für die Verarbeitung Verantwortlicher für seine eigenen Zwecke der Marketingkommunikation und des Direktmarketings sowie der Zusammenarbeit mit den anderen Facebook-Unternehmen zu verarbeiten. Es konnte auch nicht festgestellt werden, ob Facebook IE bereits damit begonnen hat oder in Kürze damit beginnen wird, Nutzerdaten von WhatsApp IE als (gemeinsam) für die Verarbeitung Verantwortlicher für eigene Zwecke im Zusammenhang mit der WhatsApp Business API zu verarbeiten.
In Bezug auf das Vorliegen von Dringlichkeit war der EDSA der Ansicht, dass Artikel 61 Absatz 8 DSGVO nicht anwendbar war, da die DE-HH AB nicht nachweisen konnte, dass die irische AB es versäumt hat, Informationen im Rahmen eines förmlichen Amtshilfeersuchens gemäß Artikel 61 DSGVO zu übermitteln. Darüber hinaus entschied der EDSA, dass die Annahme der aktualisierten Nutzungsbedingungen, die ähnliche problematische Elemente wie die vorherige Version enthalten, allein nicht die Dringlichkeit für den EDSA rechtfertigen kann, die Federführende Aufsichtsbehörde (FAB) anzuweisen, endgültige Maßnahmen gemäß Artikel 66 Absatz 2 DSGVO zu erlassen. Der EDSA war daher der Ansicht, dass für die FAB keine Dringlichkeit besteht, in diesem Fall endgültige Maßnahmen zu erlassen.
In Anbetracht der hohen Wahrscheinlichkeit von Verstößen, insbesondere im Hinblick auf die Sicherheit und Integrität von WhatsApp IE und der anderen Facebook-Unternehmen sowie im Hinblick auf die Verbesserung der Produkte der Facebook-Unternehmen, war der EDSA der Ansicht, dass diese Angelegenheit rasch weitere Untersuchungen erfordert. Insbesondere sollte überprüft werden, ob die Facebook-Unternehmen in der Praxis Verarbeitungen durchführen, die die Kombination oder den Abgleich der Nutzerdaten von WhatsApp IE mit Datensätzen beinhalten, die von anderen Facebook-Unternehmen im Zusammenhang mit anderen von den Facebook-Unternehmen angebotenen Apps oder Diensten verarbeitet werden, was unter anderem durch die Verwendung von eindeutigen Kennungen erleichtert wird. Aus diesem Grund fordert der EDSA die irische AB auf, vorrangig eine Untersuchung durchzuführen, um festzustellen, ob solche Verarbeitungstätigkeiten stattfinden oder nicht, und wenn dies der Fall ist, ob sie eine ordnungsgemäße Rechtsgrundlage gemäß Artikel 5 Absatz 1 Buchstabe a und Artikel 6 Absatz 1 DSGVO haben.
In Anbetracht der fehlenden Informationen darüber, wie Daten für Marketingzwecke, die Zusammenarbeit mit den anderen Facebook-Unternehmen und in Bezug auf die WhatsApp Business API verarbeitet werden, fordert der EDSA die irische AB auf, die Rolle von Facebook IE weiter zu untersuchen, d. h. ob Facebook IE in Bezug auf diese Verarbeitungen als Auftragsverarbeiter oder als (gemeinsam) für die Verarbeitung Verantwortlicher handelt. .
Nächste Schritte:
Dieser verbindliche Beschluss im Dringlichkeitsverfahren wurde an die IE AB, die DE-HH AB und die anderen betroffenen AB gerichtet. Facebook IE und WhatsApp IE wurden über diesen verbindlichen Beschluss im Dringlichkeitsverfahren informiert.
Der verbindliche Beschluss im Dringlichkeitsverfahren wird auf der Website des EDSA veröffentlicht, nachdem geprüft wurde, ob einige Teile des Beschlusses geschwärzt werden müssen, um die Offenlegung von Informationen zu vermeiden, die Geschäftsgeheimnisse berühren.
Dieser aktuelle Beschluss greift etwaigen Beurteilungen nicht vor, die der EDSA in anderen Fällen, auch mit denselben Parteien, vornehmen muss.
Hinweise für die Redaktionen:
Was sagt Artikel 66 DSGVO aus?
Unter außergewöhnlichen Umständen, wenn eine Aufsichtsbehörde zu der Auffassung gelangt, dass dringender Handlungsbedarf besteht, um die Rechte und Freiheiten der betroffenen Personen in ihrem Hoheitsgebiet zu schützen, kann sie für maximal drei Monate einstweilige Maßnahmen mit Rechtswirkung für ihr eigenes Hoheitsgebiet erlassen.
Diese Maßnahmen werden in Abweichung vom Kohärenzverfahren der DSGVO (Artikel 63 DSGVO) oder vom Verfahren der Zusammenarbeit und Kohärenz (One-Stop-Shop-Verfahren) (Artikel 60 DSGVO) getroffen. In diesem Fall ermöglicht Artikel 66 DSGVO den Aufsichtsbehörden, unverzüglich einstweilige Maßnahmen zu erlassen.
Die Aufsichtsbehörde, die solche einstweiligen Maßnahmen erlässt, muss diese Maßnahmen und die Gründe für ihren Erlass unverzüglich den anderen betroffenen Aufsichtsbehörden, dem Europäischen Datenschutzausschuss und der Europäischen Kommission mitteilen.
Ist die Aufsichtsbehörde, die solche einstweiligen Maßnahmen erlassen hat, der Ansicht, dass dringend endgültige Maßnahmen erlassen werden müssen, kann sie den EDSA um eine Stellungnahme oder einen verbindlichen Beschluss im Dringlichkeitsverfahren ersuchen und dabei die Gründe für die dringende Notwendigkeit des Erlasses endgültiger Maßnahmen in Abweichung von den Standardverfahren für Zusammenarbeit und Kohärenz angeben.