Meine Beschwerde über Facebook wegen der mangelnden Auskunftspflicht über die in Whatsapp erhobenen Daten liegt seit einigen Monaten bei der irischen Datenschutzaufsicht DPC, weil Facebook dort seine Europazentrale hat. Ich hatte den Fall hier bereits geschildert, hier ebenfalls.
Kurz: Ich halte es für unzureichend, dass man beim Datenexport aus Whatsapp (Auskunftsrecht laut DSGVO) keine Metadaten über seine Kommunikation erhält, also z. B. mit wem man wann von welchem Standort aus kommuniziert.
Auf Anordnung der irischen Datenschützer hat Facebook/Whatsapp diesbezüglich nun erstmals direkt mit mir Kontakt aufgenommen (nachdem alle meinen bisherigen Mails an das Unternehmen unbeantwortet blieben). Die Argumentation:
WhatsApp hat RYI [Die Datenexport-Funkion, Anm. d. Autors] entwickelt, um WhatsApp-Benutzern den sicheren Zugriff auf ihre persönlichen Daten zu ermöglichen. Andere Metadaten können in nicht abrufbarer Form in unserem Offline-Data-Warehouse gespeichert werden.
Aus der Mail von Facebook an mich, 31. Jan. 2020, Übersetzung durch mich
WhatsApp bietet keinen Zugriff auf Informationen, die nicht in den Geltungsbereich der Zugriffsrechte nach GDPR [engl. Bezeichnung für DSGVO, Anm. d. Autors] fallen, keine personenbezogenen Daten darstellen oder anderweitig den geltenden gesetzlichen Ausnahmeregelungen unterliegen, und ist auch nicht dazu verpflichtet.
Heißt: Wir als Facebook/Whatsapp geben im Datenexport alle Daten aus, die wir laut DSGVO ausgeben müssen.
Ich sehe das nach wie vor anders, was ich Facebook bereits mitgeteilt hatte – und worin mich auch der Bundesbeauftragte für Datenschutz unterstützt. Mein Argument: Weil die Metadaten im Facbeook-Netzwerk in personifizierter Weise weiterverwendet werden (z. B. in Form von Werbung oder als Kriterium für die Sortierung der Timeline in FB/Instagram), sind sie persönliche Daten und müssen deshalb auf Anfrage zur Verfügung gestellt werden.
Ich habe die DPC um eine Stellungnahme gebeten und werde hier darüber berichten.