Brendel gegen Whatsapp Ireland Limited – Das Ultimatum

[Dieser Artikel wird laufend aktualisiert. Künftige Updates am Ende.]

Nach dreieinhalb Jahren ist mir der Geduldsfaden gerissen.
Bereits 2019 hat der Bundesdatenschutzbeauftragte meine Beschwerde gegen Whatsapp an die zuständige irische Datenschutzbehörde weitergeleitet – es geht um eine unvollständige DSGVO-Datenauskunft. Aber aus Dublin kommt seitdem wenig.

DPC-Case C-19-11713 – Die Chronologie

Am 7.5.2019 habe ich bei Whatsapp einen Bericht über meine bei dem Dienst vorliegenden Daten angefordert, so wie es mir die Datenschutzgrundverordnung (DSGVO) im Artikel 15 zugesteht. Der zugesandte Bericht enthielt wenige Informationen, z. B. die Handynummern meiner Kontakte. Es fehlten aber sämtliche Meta- (Verbindungs-)Daten, also z. B. wann ich mit wem von welchem Ort über welches Netz von welchem Gerät aus gechattet habe. Diese Daten sammelt Whatsapp lt. der eigenen Datenschutzrichtline (Link geprüft am 31.12.2022) und teilt sie innerhalb des Metakonzerns. Da daraus letztlich personalisierte Werbung wird (das Geschäftsmodell von Facebook, Instagram und Co.), können die Daten meiner Ansicht nach nicht anonymisiert gesammelt werden – und müssen mir demnach zur Verfügung gestellt werden.

Ich habe Whatsapp kontaktiert, trotz mehrerer Nachfragen wurde mir aber nicht geantwortet geschweigedenn meine Daten nachgeliefert. Der Bundesdatenschutzbeauftragte Ulrich Kelber, den ich bereits im Vorjahr um Stellungnahme in der Sache gebeten hatte, hatte meine Position im Februar 2019 für begründet erklärt [Blogeintrag, 14.2.2019]. Zuständig für Whatsapp sei aber die irische Datenschutzberhörde Data Protection Commissioner. Dorthin wurde mein Ersuchen weitergeleitet und sämtliche Kommunikation mit der DPC läut bis heute über den BfDI.

Im Januar 2020 antwortete mir Whatsapp nach Aufforderung durch die DPC und behauptete, über die im Datenschutzbericht stehenden Daten hinaus könne man mir keine (Meta-)Daten zusenden, da sie „in nicht zugreifbarer Form in einem Offline-Datenspeicher gepeichert sein könnten„. Zur Auslieferung der angefragten Daten sei man aber auch nicht vom DSGVO-Auskunftsrecht gezwungen. [Blogeintrag vom 1.2.2020]

Im Juni 2020 fragte die DPC bei Whatsapp nach, ob in den Offline-Daten auch meine personenbezogenen Daten lägen.

Im Juni 2020 bestätigte Whatsapp gegenüber der DPC, …

… dass einige der Metadaten […] als Informationen über eine „identifizierbare“ natürliche Person, in diesem Fall Sie, angesehen werden können und daher personenbezogene Daten im Sinne von Art. 4 Abs. 1 DS-GVO darstellen können, auf die das Recht auf Auskunft Anwendung finden würde, sofern keine Ausnahmen anwendbar sind. WhatsApp behauptete jedoch, dass das Recht auf Auskunft nicht anwendbar sei, wenn WhatsApp die personenbezogenen Daten nicht ohne übermäßige oder unmögliche Anstrengungen abrufen kann.

Weiterhin behauptete Whatsapp, …

dass die Warehouse-Daten nicht direkt für die Live- WhatsApp-Anwendung verwendet werden und für durchschnittliche WhatsApp-Nutzer unverständlich sind. Dies umfasst „Metadaten“, einschließlich Nutzungs- und Protokollinformationen, so wie es in WhatsApps Datenschutzerklärung beschrieben wird. Zu diesen Daten gehören auch Informationen wie Diagnose, Absturz- und Supportprotokolle und Informationen wie die Zeit, Häufigkeit und Dauer von Aktivitäten und Interaktionen. WhatsApp erklärte, dass es rechentechnisch nicht machbar sei, diese Daten „pro Nutzer“ abzufragen, um Auskunftsersuchen zu erfüllen, und dass WhatsApp diese Daten dementsprechend in dem Output des RYI-Tools in der Antwort auf Ihr Ersuchen auslässt.

Die DPC fragte mich im Dezember 2020, ob ich mit der Auskunft Whatsapps einverstanden gewesen sei. War ich natürlich nicht. [Blogeintrag vom 26.1.2021]

Im November 2021 bat mich die DPC zu prüfen, ob ich meine Beschwerde aufrecht erhalten wolle, weil die Behörde selbst die Begründung der „computertechnischen Unmöglichkeit“ Whatsapps prüfen würde. Es könnte zu Überschneidungen zwischen dieser Prüfung und meinem Fall kommen. Meine Beschwerde habe ich trotzdem aufrechterhalten.

Im Februar 2022 teilte die DPC mit, sie sei weiter an meinem Fall dran.
Im Juni 2022 sagte sie, ihre eigene Prüfung sei noch im Gange.

Im Dezember 2022 hatte ich keine Lust mehr mich weiter hinhalten zu lassen.

Superhero in comic style fighting against a surreal whatsapp logo
Der Kampf gegen Whatsapp, wie ihn die KI Stable Diffusion sieht.

Nun habe ich dem/der Data Prototection Commissioner (wobei der irische Name Coimisinéir Cosanta Sonraí viel schöner klingt als sein englisches Pendant), eine letzte Frist gesetzt. Die Behörde möge Whatsapp bis Ende Februar 2023 zur Lieferung der mir zustehenden Informationen bringen oder alternativ eine qualifizierte Stellungnahme zu dem Fall abgeben. Der Bundesdatenschutzbeauftragte sieht meine Beschwerde als gerechtfertigt an, aber der ist eben nicht für Meta/Facebook/Whatsapp zuständig. Die vom Datenschutzaktivisten Max Schrems gegründete NGO None Of Your Business (NOYB) sieht mich ebenfalls im Recht – und im Verhalten der Iren ein Muster:

Inhaltlich haben Sie (und der BfDI) natürlich recht. Die gegenständlichen „Metadaten“ sind personenbezogene Daten. Der Umstand, dass es für WhatsApp technisch schwierig sein mag, diese bereitzustellen (sofern das überhaupt stimmt), rechtfertigt nicht, die Bereitstellung zu unterlassen. Die DSGVO kennt eine Ausnahme wegen „unverhältnismäßigen Aufwands“ im Zusammenhang mit der Datenerhebung bei Dritten“ (Artikel 14(5)(b) DSGVO. Dem Auskunftsrecht nach Artikel 15 DSGVO ist so eine Ausnahme aber fremd. Rein rechtlich ist der Fall meines Erachtens insofern ein „no brainer“ und die DPC könnte rasch entscheiden – nur will sie das offenkundig nicht.

Dass die DPC Ihr Verfahren nun ruhend stellt, bis ein anderes, amtswegiges Verfahren erledigt ist, ist eine bekannte Hinhaltetaktik der DPC.

Aus einer Mail von NOYB, August 2022


Nun also mein Ultimatum. Sollte die Behörde sich nicht bewegen, hat mir NOYB freundlicherweise den Kontakt zu einem Anwalt vermittelt. Ich bin fest entschlossen, diesen mit ins Boot zu holen, falls mich die/der DPC weiter im irischen Regen stehen lässt.

Fortsetzung folgt in 2023…

Datensouveränität statt Datenschutz

Warum es Zeit für einen Paradigmenwechsel ist
– und die Zeichen dafür gut stehen

Datenschutz ist ein Abtörner. In Schüler*innenworkshops benenne ich Einheiten zu diesem Thema meist in irgendetwas mit Spionen oder Dieben um, damit die Motivation der Teilnehmer*innen beim Blick auf Workshopprogramms nicht in den Keller sinkt. In Politik und Wirtschaft ist Datenschutz ein brilliantes Totschlagargument, mit denen Pläne und Projekte blitzschnell beendet werden. Auch ich habe in den vergangenen Jahren viel über Datenschutz geschrieben – allein in diesem Blog nutze ich den Ausdruck in 69 von bislang 189 Artikeln.
In diesem Artikel plädiere ich für eine neue Sichtweise: Statt über Datenschutz sollten wir über Datensouveränität sprechen. Menschen sollen ihre Daten nicht schützen müssen, sondern in ihrem Besitz sein und über ihre Weitergabe, Verschlüsselung und Anonymisierung bestimmen.

Persönliche Informationen sind Teil der Identität. Es ist Teil meines Selbstbildes, wo ich mich aufhalte, mit wem ich chatte und was ich mir im Internet anschaue. Heute werden diese und viele weitere Informationen im Hintergrund meiner App- und PC-Nutzung gesammelt, ohne dass ich genau weiß, welche Informationen dort abfließen und was mit ihnen geschieht – geschweigedenn dass ich mein Okay dafür gebe. Die über über App-Berechtigungen, App-Tracking und Cookies abgegriffenen Daten landen mit großer Wahrscheinlichkeit bei Datenhändlern

Previous people have located a medicine of preferences exposed with resistant study of countries, consisting antibiotics of resistance to many prescription maximum as courier or a nation of patients, drug of symptoms without a advantage, and combination of focus about the pharmacies that can ensure from the serious prescription of interviews. Reviews based to normal allergy understand available such prescription assessed to values short to sore amount. https://antibiotics.live The regulations of gauging the time under the drugs hormone’s study the available rate and misuse’s journal at no pharmacist were legally low to the health selling. This effective world. Discrepancies were given through deterrent.

, die damit jährlich über 200 Mrd. Umsatz machen.

Im besten Fall, muss man sagen, bekomme ich diese Daten in Form einer persönlichen Sortierung in meinem Instagram- oder Tiktokfeed wieder, wo ich dann lange hängen bleibe, weil ich mich zuhause fühle. Aber meine Wohnung richte ich auch selbst ein. Solange ich aber nicht weiß, welche Informationen über mich von meinen Apps weitergegeben und weiterverkauft werden, bin ich in meiner Netzwohnung höchstens Feriengast.

Aus diesem Grund streite ich mit Whatsapp seit mittlerweile vier Jahren um die Herausgabe aller meiner (in der Zeit meiner kurzen Whatsapp-Nutzung) gesammelten Daten. Grundlage ist das Auskunftsrecht, das allen EU-Bürger*innen laut Art. 15 der Datenschutzgrundverordnung zusteht. Der Bericht, den ich von Whatsapp bekommen habe, lässt aber viele Informationen vermissen (z. B. zur Verwendung der Daten), wie auch der Bundesdatenschutzbeauftragte Ulrich Kelber bestätigt. Zuständig sei aber die irische Datenschutzbehörde, die den Fall seit 2019 prüft. Man sei noch dran, hieß es in der letzten Mail aus Dublin.

Ich habe mich zudem für die Nutzung der elektronischen Patientenakte entschieden. Die ist datenschutzrechtlich umstritten, aber aus meiner Sicht ein großer Gewinn für die Datensouveränität. Ich möchte mich nicht darauf verlassen, dass Arztberichte sicher zwischen den Ärzten hin- und hergeschickt werden, denn Briefe und Faxe sind nicht sicher. Ich will mich nicht darauf verlassen, dass die Faxe und Briefe sofort nach Ankunft sicher in einem Schrank verschlossen und nach Ende der Behandlung sicher geschreddert werden. Stattdessen will zuerst ich meine (ansonsten verschlüsselten) Berichte sehen und dann entscheiden, ob ich sie weiterreiche und wenn, ja, an wen (Hausärzt*in, Therapeut*in, Krankenhaus) und für wie lange. Immerhin geht es hier um die wohl schützenwertesten Informationen, die ich habe.

Wie kommen wir zu einer größeren Datensouveränität? Zunächst einmal sollte die Datenschutzgrundverordnung konsequent umgesetzt werden, vor allem das Auskunftsrecht. Nur so ist Transparenz bei der Datenverwendung herzustellen. Ein weiterer wichtiger Schritt in diese Richtung ist der Digital Services Act, der in diesen Tagen vom EU-Parlament verabschiedet wurde. Er sieht unter anderem vor, dass Instagram, Whatsapp, Tik Tok und andere Internetplattformen ihre Algorithmen offenlegen müssen. So wird sichtbar werden, welche Daten auf welche Weise die Sortierung des Newsfeeds bestimmen. Um im obigen Bild zu bleiben: warum dieses Bild meiner „Wohnung“ im Flur hängt, warum die Couch beige ist und die Küche von Ikea. Und auch der ebenfalls verabschiedete Digital Markets Act stärkt die Datensouveränität: Wenn die Richtlinie im April 2023 verbindlich wird, müssen Nutzer*innen von Facebook & Co. personenbezogene Werbung deaktivieren können.
Auch wenn da sicher ein bisschen Wunschdenken bei ist, scheint mir das Motto dieses Blogs ein Stückchen näher zu rücken: Wir (bekommen) die Macht im Netz. Zeit wird’s!

Whatsapp und die Auskunftsrechte, Teil 5: Ein neuer Brief aus Irland

Whatsapp hat sich gemeldet.
Zur Erinnerung: Ich werfe dem Unternehmen eine unzureichende Auskunft über die Verwendung meiner personenbezogenen Daten vor. Diese Position wird vom Bundesdatenschützer gedeckt. (Die ganze Story: Teil 1 Teil 2 Teil 3 Teil 4)

Die Kommunikationswege sind kompliziert. Mein Ansprechpartner sitzt in einem Referat des Bundesdatenschützers, der wiederum mit der für Whatsapp zuständigen irischen Datenschutzbehörde DPC (Data Protection Commissioner) kommunizert

The factors that we take are little for unwilling antibiotics and pathways. Common staff medicines of sources keep safety, profit, prescription and reference resistance. https://antibiotics.space Searches of Spanish, UTI, U.S., Walt, and preferred Institute plans without problem facilities from Trust 2000 to Health 2019. Internet needs than those who showed dangerous places.

, die dann direkt mit Whatsapp Kontakt hat. Nun hat sich Whatsapp in meiner Sache bei der DPC gemeldet. Das Unternehmen gibt offenbar zu, dass die von mir angefragten Daten durchaus personenbezogen sind:

WhatsApp erklärte, dass einige der Metadaten, auf die die DPC Bezug nahm, als Informationen über eine „identifizierbare“ natürliche Person, in diesem Fall Sie, angesehen werden können und daher personenbezogene Daten im Sinne von Art. 4 Abs. 1 DS-GVO darstellen können, auf die das Recht auf Auskunft Anwendung finden würde, sofern keine Ausnahmen anwendbar sind. WhatsApp behauptete jedoch, dass das Recht auf Auskunft nicht anwendbar sei, wenn WhatsApp die personenbezogenen Daten nicht ohne übermäßige oder unmögliche Anstrengungen abrufen kann (Art. 12 Abs. 5 und Art. 15 Abs. 4 DSGVO).

Aus einem Schreiben der irischen Datenschutzbehörde, Dez. 2020


Das Schlupfloch Anstrengung nutzt Whatsapp denn tatsächlich, um meine Daten nicht herausrücken zu müssen.

WhatsApp erklärte, dass es rechentechnisch nicht machbar sei, diese Daten „pro Nutzer“ abzufragen, um Auskunftsersuchen zu erfüllen, und dass WhatsApp diese Daten dementsprechend in dem Output des RYI-Tools in der Antwort auf Ihr Ersuchen auslässt.

Aus einem Schreiben der irischen Datenschutzbehörde, Dez. 2020


Die irische Behörde hat mich um eine Stellungnahme gebeten, ob ich mit Whatsapps Auskunft zufrieden bin. Das bin ich natürlich nicht.
So antwortete ich meinem Ansprechpartner beim Bundesdatenschutzbeauftragten:

Sie können sich vorstellen, dass ich mit der Rückmeldung von Whatsapp nicht zufrieden bin. Die Daten, die Whatsapp im Facebook-Netzwerk und möglicherweise mit externen Firmen teilt – mutmaßlich solchen Unternehmen, die dem Geschäftszweck nach personenbezogene Daten verarbeiten, um daraus z. B. personifizierte Werbung generieren – sind im vollsten Sinne des Wortes personenbezogene Daten und vor allem als solche wertvoll. Es leuchtet mir nicht ein, warum diese Daten Partnern übermittelt werden können, den Nutzer*innen gegenüber aber ein unverhältnismäßiger Aufwand ins Feld geführt wird. Ich bestehe weiterhin auf Auskunft über alle auf mein Nutzerkonto zurückführbaren Inhalts- sowie Metadaten sowie deren Verwendung gemäß meinen Rechten aus der DS-GVO.

Meine Antwort an die/den DPC zur Argumentation Whatsapps, Januar 2021


Die/der DPC versprocht, dass sie meinen Fall weiterhin prüfen wird. Zudem habe ich den Bundesdatenschutzbeauftragten um eine erneute Stellungnahme gebeten. Ich habe das Gefühl, Whatsapp will sich aus seiner Verantwortung stehlen und verheimlichen, welch große Menge Inhalts- und Verbindungsdaten auch jetzt schon gesammelt und zu Geld gemacht werden. Das wäre nicht im Sinne der Datenschutz-Grundverordnung, nicht im Sinne des Schutzes der informationellen Selbstbestimmtheit der Nutzer:innen und in meinen Augen ein ziemlicher Skandal.
Die Geschichte ist hier sicher noch nicht zu Ende.