Datenschutzbeschwerde: Sind Whatsapp-Metadaten persönliche Daten?

Meine Beschwerde über Facebook wegen der mangelnden Auskunftspflicht über die in Whatsapp erhobenen Daten liegt seit einigen Monaten bei der irischen Datenschutzaufsicht DPC, weil Facebook dort seine Europazentrale hat. Ich hatte den Fall hier bereits geschildert, hier ebenfalls.
Kurz: Ich halte es für unzureichend, dass man beim Datenexport aus Whatsapp (Auskunftsrecht laut DSGVO) keine Metadaten über seine Kommunikation erhält, also z. B. mit wem man wann von welchem Standort aus kommuniziert.

Auf Anordnung der irischen Datenschützer hat Facebook/Whatsapp diesbezüglich nun erstmals direkt mit mir Kontakt aufgenommen (nachdem alle meinen bisherigen Mails an das Unternehmen unbeantwortet blieben). Die Argumentation:

WhatsApp hat RYI [Die Datenexport-Funkion, Anm. d. Autors] entwickelt, um WhatsApp-Benutzern den sicheren Zugriff auf ihre persönlichen Daten zu ermöglichen. Andere Metadaten können in nicht abrufbarer Form in unserem Offline-Data-Warehouse gespeichert werden.
WhatsApp bietet keinen Zugriff auf Informationen, die nicht in den Geltungsbereich der Zugriffsrechte nach GDPR [engl. Bezeichnung für DSGVO, Anm. d. Autors] fallen, keine personenbezogenen Daten darstellen oder anderweitig den geltenden gesetzlichen Ausnahmeregelungen unterliegen, und ist auch nicht dazu verpflichtet.

Aus der Mail von Facebook an mich, 31. Jan. 2020, Übersetzung durch mich.

Heißt: Wir als Facebook/Whatsapp geben im Datenexport alle Daten aus, die wir laut DSGVO ausgeben müssen.
Ich sehe das nach wie vor anders, was ich Facebook bereits mitgeteilt hatte – und worin mich auch der Bundesbeauftragte für Datenschutz unterstützt. Mein Argument: Weil die Metadaten im Facbeook-Netzwerk in personifizierter Weise weiterverwendet werden (z. B. in Form von Werbung oder als Kriterium für die Sortierung der Timeline in FB/Instagram), sind sie persönliche Daten und müssen deshalb auf Anfrage zur Verfügung gestellt werden.
Ich habe die DPC um eine Stellungnahme gebeten und werde hier darüber berichten.

[Update 25.5.2019] Whatsapp: Auf der grünen Insel nimmt man’s genau

In meiner Frage, ob Whatsapp in seiner „Datenauskunft“ für die Nutzer auch gesammelte Metadaten ausgeben muss, gehen die Ansichten des Bundes- und des irischen Datenschutzbeauftragten offenbar auseinander.

Der BfDI teilt meine Ansicht, dass die von Whatsapp gesammelten Daten darüber,

  • wann die Nutzer
  • mit welchen andern Nutzern
  • von welchem Standort aus
  • mit welchem Gerät

kommunizieren (so genannte Metadaten) personenbezogene Daten sind und damit nach DSGVO auszuweisen. Der Grund: Sie werden von Whatsapp und Facebook zu personalisierter Werbung mit Bezug zu meiner Person [Update 25.5.2019] verwendet, also nicht etwa anonym (Quelle).
Nun hat der irische Datenschutzbeauftragte, dem meine Anfrage zwecks Zuständigkeit weitergeleitet wurde, meine Anfrage abgelehnt. Warum, das hat mir ein Anwalt aus dem Hause des BfDI mitgeteilt:

Die DSGVO kam erst am 25. Mai 2018 zur Anwendung, d.h. sie war im Voraus zwar bereits in Kraft, Ihre Regelungen waren jedoch nicht anzuwenden. Bei einer strengen Auslegung hatten Sie folglich am 20. Mai 2018 noch kein Recht auf Auskunft nach der DSGVO. […] Wenngleich diese Argumentation nicht sonderlich bürgerfreundlich ist, so ist sie doch rechtlich nachvollziehbar.

Dumm gelaufen. Die Whatsapp-Funktion war am 20. Mai in Kraft, DSGVO-konform hat sie laut der irischen Behörde aber erst ab 25. Mai 2018 sein müssen.

Also habe ich erneut einen Bericht bei Whatsapp angefordert. Ob mehr drin steht, also alle personenbezogenen Daten? Ich werde hier darüber berichten.

[Update 25. Mai 2019]
Etwas später als geplant, dafür passend zum Jahrestag der DSGVO habe ich Whatsapp eine Mail geschrieben:

Sehr geehrte Damen und Herren,

der am 7. Mai 2019 angeforderte und am 10. Mai 2019 ausgelieferte Bericht über meine Whatsapp Account-Informationen („DSGVO-Bericht“) ist leider nicht vollständig.
Es fehlen sämtliche Metadaten aus den Whatsapp-Konversationen, bspw. die in dem Dokument „So arbeiten wir mit den Facebook-Unternehmen zusammen“ (https://faq.whatsapp.com/general/26000112/?eea=1) erwähnten „Nutzungsinformationen“.
Da diese Daten innerhalb der Facebook-Familie genutzt werden – und zwar nicht anonymisiert, sondern auf meine Person bezogen – müssen diese Daten laut meinem durch die DSGVO zugesicherten Informationsrecht auch in dem Bericht ausgewiesen werden.

Bereits am 20. Mai 2018 hatte ich mich mit diesem Anliegen an Sie gewendet, aber leider keine Antwort erhalten. Der Bundesbeauftragte für den Datenschutz, den ich über mein Anliegen informiert hatte, stützt meine Position.

Ich bitte Sie, mir die Metadaten aus meinen Whatsapp-Konversationen bis zum 7. Juni 2019 zukommen zu lassen.
Ich werde diese Email auf meinem Blog „Spähgypten“ (www.spaehgypten.de) veröffentlichen und Ihre Reaktion dort indirekt wiedergeben.

Es grüßt Sie
Michael Brendel
Whatsapp-Nr. +491XXXXXXXXX [in Orignalmail ist die Nummer sichtbar]

Mail an support @ whatsapp, 25. Mai 2019

Respektiert die Parlaments-Entscheidung!

Ich bin entsetzt, wie wenig Respekt viele Gegner der Urheberrechtsreform der gestrigen Parlamentsentscheidung (für das neue Urheberrecht) entgegenbringen. [Übersicht]

Es ist richtig, dass die Auseinandersetzung zwischen „den Politikern“ und „den Gegnern/Demonstranten / der Netzgemeinte“ nicht immer fair waren, dass die Chance in Ruhe miteinander zu reden viel zu schnell vorbei war und das Gegner und Befürworter offenbar völlig andere Sichtweisen auf „das Internet“ haben.

Aber: Es ist eine Entscheidung des von euch gewählten Parlaments, Leute! In dem auch die kritischen Argumente zu hören gewesen sind – und immerhin 274 Abgeordnete überzeugt haben. Also bitte: Respektiert die Entscheidung der Volksvertreter/innen und setzt euren – grundsätzlich richtigen – Kampf für ein freies Internet in eurem Land fort, wo die Richtlinie erst noch umgesetzt werden muss!

P. S.: Dass Snowden nun eine Wahlempfehlung gibt, hat mich enttäuscht. Aber vielleicht habe ich ihn ohnehin zu sehr auf einen Sockel gehievt.