VG Hamburg v. 24.04.2017: Zur Nutzung des WhatsApp-Daten durch Facebook
Das Verwaltungsgericht Hamburg (Beschluss vom 24.04.2017 - 13 E 5912/16) hat entschieden:
| Die Nutzung der WhatsApp-Daten durch Facebook ist nur bei datenschutzkonformer Einwilligung des Whatsapp-Users zulässig. |
Siehe auch Facebook und Stichwörter zum Thema Datenschutz
Gründe:
I.Die Antragstellerin begehrt die aufschiebende Wirkung ihres Widerspruchs gegen eine datenschutzrechtliche Anordnung der Antragsgegnerin.
Die Antragstellerin mit Sitz in Dublin, Irland, gehört dem Facebook-Konzern an.
Muttergesellschaft des Facebook-Konzerns ist die Facebook Inc. mit Sitz in den USA. Sie betreibt das Facebook Netzwerk für Nutzer in den USA und Kanada. Facebook ist ein globales soziales Netzwerk, das von ca. 1,71 Milliarden Nutzern weltweit für private und berufliche Zwecke genutzt wird. Es eröffnet Privatpersonen die Möglichkeit, auf elektronischem Wege mit Freunden, Bekannten, Familien, Gruppen und sonstigen Kontakten in Verbindung zu bleiben.
Die irische Antragstellerin ist der internationale Hauptsitz von Facebook. Sie ist die einzige Stelle, die das Facebook-Netzwerk für alle Nutzer außerhalb der USA und Kanada bereitstellt und betreibt. Die Antragstellerin beschäftigt mehr als 1.200 Mitarbeiter in Dublin. Die Antragstellerin bestimmt über das „Ob" und „Wie" der Datenverarbeitung von Fa- cebook-Nutzern in der Europäischen Union. Sie ist allein für die datenschutzrechtlichen Belange ihrer Nutzer innerhalb der Europäischen Union einschließlich der Entscheidungen über Art und Umfang der Verarbeitung von Daten dieser Nutzer im Sinne der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, Amtsblatt der Europäischen Gemeinschaften, L 281 vom 23.11.1995, S. 31-50 (Richtlinie 95/46/EG) verantwortlich.
Dem Facebook-Konzern gehört auch die im Jahr 2009 gegründete deutsche Facebook Germany GmbH an. Diese hat ca. 70 Mitarbeiter in zwei Geschäftsstellen in Hamburg und Berlin. Die Facebook Germany GmbH erbringt im Auftrag der Antragstellerin lokale Mark-tunterstützungsleistungen für Werbekunden der Antragstellerin in Deutschland. Sie verkauft selbst aber keine Werbeleistungen an deutsche Kunden. Die Facebook Germany GmbH unterhält ein Team für auf den deutschen Markt ausgerichtete Öffentlichkeits- und Public Relations-Arbeit. In die Erhebung oder Verarbeitung von Daten der Nutzer des Fa- cebook-Dienstes oder die beabsichtigte Erhebung und Verarbeitung von WhatsApp-Daten durch die Antragstellerin ist die Facebook Germany GmbH nicht involviert. Sowohl die Antragstellerin als auch die Facebook Germany GmbH sind rechtlich selbständige Töchter der Facebook Inc. und somit Schwestergesellschaften mit den beschriebenen unterschiedlichen Aufgabengebieten.
Im Jahr 2014 übernahm Facebook Inc. die in den USA ansässige WhatsApp Inc., die innerhalb der Europäischen Union nicht über eine physische Präsenz verfügt. Der Dienst WhatsApp basiert auf dem seit 2009 angebotenen mobilen Anwendungsprogramm (App) WhatsApp-Messenger, das für verschiedene Smartphone-Betriebssysteme verfügbar ist. Es handelt sich um einen kostenlosen Instant-Messaging-Dienst, über den Nutzer zwischen zwei Personen oder in Gruppen Nachrichten austauschen können. Mittlerweile ist auch der Austausch von Bild-, Video- und Ton-Dateien oder Dokumenten sowie das internetbasierte Telefonieren über WhatsApp möglich.
Die WhatsApp Inc. erhebt von seinen Nutzern verschiedene Daten wie deren Telefonnummer, bestimmte Geräteinformationen (z.B. Plattforminformation und App-Version), die „Zuletzt online"-Angaben, das WhatsApp-Account-Anmeldedatum sowie, wenn von den Nutzern angegeben, deren Profilnamen, Profilbild und Statusnachricht. Von Nutzern, die ausdrücklich zustimmen, werden auch Adressbuchdaten erhoben. Die über WhatsApp versendeten Nachrichten sind Ende-zu-Ende verschlüsselt, d.h. die zu übertragenden Daten werden auf Senderseite ver- und erst beim Empfänger wieder entschlüsselt. WhatsApp hat demzufolge keinen Zugriff auf die Nachrichteninhalte. Die Nachrichteninhalte werden lediglich vorübergehend gespeichert, um die Übermittlung an den Empfänger zu ermöglichen. Seit der Übernahme im Jahr 2014 ist WhatsApp Inc. Teil der Facebook- Unternehmensgruppe. Dabei greift WhatsApp Inc. zum Teil auf die Facebook Infrastruktur zu, um ihre Geschäftstätigkeit und Dienste zu verbessern. Sie operiert jedoch weiterhin als eigenständiger Dienst unabhängig vom Netzwerk Facebook.
Am 25. August 2016 gab WhatsApp Inc. eine Aktualisierung seiner Nutzungsbedingungen und Datenschutzrichtlinien bekannt. Die Antragstellerin beabsichtigt, aufgrund dieser Aktualisierung bestimmte WhatsApp-Daten für die Zwecke „Network/Security", „Business Intelligence Analytics" und „Facebook Ads/Products zu erheben. Derzeit erhebt und speichert sie keine personenbezogenen Daten deutscher WhatsApp-Nutzer zu eigenen Zwecken als für die Verarbeitung Verantwortliche. Die Aktualisierung der Nutzungsbedingungen setzte das für die Nutzung von WhatsApp bestehende Mindestalter von zuvor 16 Jahren auf 13 Jahre herab.
Seit dem 25. August 2016 werden alte WhatsApp-Nutzer, d.h. Bestandskunden, über die Aktualisierung beim Aufrufen ihrer WhatsApp-Messenger-App wie folgt informiert:
Der Hinweis eröffnet den Nutzern drei Möglichkeiten: So können sie erstens der Aktualisierung durch Betätigung der Schaltfläche „Zustimmen" direkt zuzustimmen. Zweitens ist es ihnen möglich, über die Schaltfläche „Nicht jetzt" die Entscheidung, ob sie zustimmen wollen, bis zu 30 Tage zurückstellen und in dieser Zeit WhatsApp zu den alten Bedingungen weiternutzen. Nach Ablauf der 30 Tage verschwindet die Schaltfläche „Nicht jetzt", sodass die Nutzer nun abschließend entscheiden müssen, ob sie den aktualisierten WhatsApp-Bedingungen zustimmen oder den Dienst nicht weiter nutzen möchten. Drittens können die Nutzer die Schaltfläche „Lesen" oder das abgesetzte Feld am unteren Rand des Hinweises „Lesen Sie mehr über die wesentlichen Updates unserer Nutzungsbedingungen und Datenschutzrichtlinie" betätigen. Wählen die Nutzer die dritte Option, gelangen sie auf eine zweite Seite mit weiterführenden Informationen zu der Aktualisierung. Diese Seite ist wie folgt aufgebaut:
Im oberen Teil des Bildschirms können die Nutzer die WhatsApp-Bedingungen lesen. Alternativ können sie diese durch einen Klick auf das Symbol in der oberen rechten Ecke des Bildschirms auch herunterladen oder sich per E-Mail zukommen lassen. Die WhatsApp-Bedingungen sind in fünf Abschnitte gegliedert. Diese Abschnitte sind fett markiert und können durch Herunterscrollen an die entsprechende Stelle im Text aufgrufen werden. Die einzelnen Abschnitte sind „Wesentliche Updates" (siehe obiger Screenshot), „Nutzungsbedingungen", „Datenschutzrichtlinie", „IP-Richtlinie" und „Cookies".
Unter dem Punkt „Wesentliche Updates" finden sich dem im obigen Screenshot zu sehenden hervorgehobenen Unterpunkt „Informationen, die einfacher zu verstehen sind" unmittelbar nachfolgend, d.h. sich an die Worte „wie WhatsApp Call und WhatsApp für Web und Desktop" anschließend, die folgenden Ausführungen:
| „Wir sind 2014 Facebook beigetreten. WhatsApp ist jetzt ein Teil der Face- book-Unternehmensgruppe. Unsere Datenschutzrichtlinie erklärt, wie wir zu-sammenarbeiten, um Dienste und Angebote für dich zu verbessern, z. B., indem Spam über die Apps hinweg bekämpft wird, Produktvorschläge gemacht werden und relevante Angebote und Werbung auf Facebook gezeigt wird. Nichts, was du auf WhatsApp teilst, inklusive deiner Nachrichten, Fotos und Account-Informationen, wird für andere sichtbar auf Facebook oder einer anderen App unserer Familie von Apps geteilt. Nichts, was du in diesen Apps postest, wird für andere sichtbar auf WhatsApp geteilt." |
Unter dem Punkt „Datenschutzrichtlinie", zu dem die Nutzer auch durch Betätigung des entsprechenden Links gelangen können, findet sich nach den Unterpunkten „Informationen, die wir sammeln", „Verwendung deiner Informationen durch uns", „Informationen, die du teilst bzw. die wir teilen" der Unterpunkt „Verbundene Unternehmen". Dort heißt es:
| „Wir gehören seit 2014 zur Facebook-Unternehmensgruppe [Hyperlink]. Als Teil der Facebook-Unternehmensgruppe erhält WhatsApp Informationen von den Unternehmen dieser Unternehmensgruppe und teilt Informationen mit ihnen. Wir können mithilfe der von ihnen erhaltenen Informationen und sie können mithilfe der Informationen, die wir mit ihnen teilen, unsere Dienste sowie ihre Angebote betreiben, bereitstellen, verbessern, verstehen, individualisieren, unterstützen und vermarkten. Dazu gehört auch die Unterstützung bei der Verbesserung von Infrastruktur und Zustellsystemen, des Verstehens der Art der Nutzung unserer bzw. ihrer Dienste, der Absicherung der Systeme und der Bekämpfung von Spam, Missbrauch bzw. Verletzungshandlungen. Face- book und die anderen Unternehmen in der Facebook-Unternehmensgruppe können Informationen von uns auch verwenden, um deine Erlebnisse in ihren Diensten, wie Vorschläge zu unterbreiten (beispielsweise Freunde oder Verbindungen oder interessante Inhalte) und um relevante Angebote und Werbeanzeigen zu zeigen. Deine WhatsApp-Nachrichten werden nicht für andere sichtbar auf Facebook geteilt. Tatsächlich wird Facebook deine WhatsApp- Nachrichten nicht für irgendeinen anderen Zweck nutzen, als uns beim Betreiben und bei der Bereitstellung unserer Dienste zu unterstützen.
Erfahre mehr [Hyperlink] über die Facebook-Unternehmensgruppe und ihre Datenschutzpraktiken, indem du ihre Datenschutzrichtlinien liest." |
Die unterstrichenen Hyperlinks führen auf eine Unterseite der Homepage facebook.com, auf der neben der Facebook Inc. und der Antragstellerin weitere unterschiedliche Unternehmen der Facebook-Unternehmensgruppe aufgelistet werden.
Für neue Nutzer, die WhatsApp erst seit dem 25. August 2016 gebrauchen, gilt das obige Zustimmungsverfahren nicht. Vielmehr erscheint bei ihnen nach dem Herunterladen des WhatsApp-Messenger und vor der Registrierung der folgende Willkommensbildschirm:
Hier haben die Nutzer zwei Möglichkeiten: Sie können das Feld „Zustimmen und Fortfahren" betätigen und den WhatsApp-Messenger unmittelbar nutzen. Ein Klick auf den Link „WhatsApp Nutzungsbedingungen und Datenschutzrichtlinie" zeigt dem neuen Nutzer hingegen die Bedingungen in der oben dargestellten Art und Weise (siehe Screenshot „Wesentliche Updates") an.
Die Antragstellerin beabsichtigt, aufgrund dieser Aktualisierung bestimmte WhatsApp- Daten für die Zwecke „Network/Security", „Business Intelligence Analytics" und „Facebook Ads/Products" zu erheben. WhatsApp Inc. plant, die Daten zunächst an die Facebook Inc. weiterzugeben, die als Aufttragsdatenverarbeiterin die Daten für Datenverarbeitungen für die Antragstellerin zu deren Zwecken verwenden und zur Verfügung stellen soll.
WhatsApp Inc. plant im Einzelnen die Weitergabe der folgenden Daten an Facebook Inc.:
| - | die Telefonnummer des Nutzers |
| - | bestimmte Geräteinformationen (z.B. die Plattforminformation und die App- Version) |
| - | „Zuletzt online"-Angaben, d.h. der Zeitstempel, der nachvollzieht, wann die App zuletzt durch den Nutzer geöffnet wurde |
| - | das WhatsApp-Account-Anmeldedatum |
Am 1. September 2016 wandte sich die Antragsgegnerin anlässlich der Aktualisierung der Nutzungsbedingungen per E-Mail an die Antragstellerin. Dabei bat die Antragsgegnerin um die Beantwortung verschiedener Fragen, u.a., welche Daten Facebook von WhatsApp pro Nutzer auf welcher Rechtsgrundlage erhalte.
Am 20. September 2016 antwortete die Antragstellerin der Antragsgegnerin per E-Mail mit dem Dokument „WhatsApp Terms of Service and Privacy Policy Update: Briefing Document for the Office of the Irish Data Protection Commissioner". Dabei handelt es sich um ein Informationsdokument für die irische Datenschutzbehörde, in dem Einzelheiten über das Update dargestellt werden.
Mit Bescheid vom 23. September 2016 untersagte die Antragsgegnerin der Antragstellerin die personenbezogenen Daten deutscher WhatsApp-Nutzer zu erheben und zu speichern, soweit und solange eine der Antragstellerin durch den jeweiligen Betroffenen erteilte und den Anforderungen des § 4a BDSG entsprechende Einwilligung nicht vorliege (Ziffer 1). Unter Ziffer 2 ordnete die Antragsgegnerin für den Fall, dass in Ziffer 1 genannte Daten durch die Antragstellerin ohne Einwilligung erhoben und gespeichert worden sein sollten, die Löschung dieser Daten in einer den Anforderungen des § 3 Abs. 4 Nr. 5 BDSG entsprechenden Weise an. Weiter verpflichtete die Antragsgegnerin die Antragstellerin, die zu der Umsetzung der unter Ziffer 1 und Ziffer 2 genannten Verpflichtungen erforderlichen technischen und organisatorischen Maßnahmen sowie die hierfür zu erteilenden Weisungen gegenüber ihren Auftragsdatenverarbeitern, insbesondere der Facebook Inc., zu dokumentieren und die Dokumentation der Antragsgegnerin nach Ablauf spätestens einer Woche nach Bestandskraft des Bescheids vorzulegen (Ziffer 3). Unter Ziffer 4 ordnete die Antragsgegnerin die sofortige Vollziehung der Anordnung an.
Zur Begründung führte die Antragsgegnerin aus, auf die Antragstellerin sei nach § 1 Abs. 5 BDSG i.V.m. Art. 4 Abs. 1 lit. a) Richtlinie 95/46/EG deutsches Datenschutzrecht anwendbar. Denn es handele sich bei der Facebook Germany GmbH um eine Niederlassung der für die Datenverarbeitung verantwortlichen Antragstellerin, die sie bei der Erhebung, Verarbeitung und Nutzung personenbezogener Daten unterstütze. Dies sei nach der Rechtsprechung des Europäischen Gerichtshofes ausreichend, um das Vorliegen des Tatbestandsmerkmals „im Rahmen der Tätigkeiten" i.S.d. Art. 4 Abs. 1 lit. a) Richtlinie 95/46/EG anzunehmen.
Die formellen Voraussetzungen zum Erlass der Anordnung würden vorliegen. Die sachliche Zuständigkeit der Antragsgegnerin ergebe sich aus § 38 Abs. 5 Satz 1 BDSG, ihre örtliche aus § 3 Abs. 1 Nr. 2 HmbVwVfG. Die erforderliche Anhörung nach § 28 Abs. 2 Nr. 1 HmbVwVfG sei durch die E-Mail vom 1. September 2016 erfolgt. Überdies könne von einer weiteren Anhörung nach § 28 Abs. 2 Nr. 1 HmbVwVfG wegen des überwiegenden öffentlichen Interesses abgesehen werden.
Die Erhebung und Speicherung personenbezogener Daten deutscher WhatsApp-Nutzer verstoße gegen § 4 Abs. 1 BDSG. Es existiere keine Rechtsgrundlage, auf der die Antragstellerin die Erhebung und Speicherung der Daten stützen könne. So fehle es bereits an einer Einwilligung der WhatsApp-Nutzer gegenüber der Antragstellerin. Nach dem hier anwendbaren „Doppeltürmodell" müsse eine Einwilligung nämlich nicht nur gegenüber der übermittelnden Stelle, d.h. WhatsApp, sondern auch gegenüber der empfangenden Stelle, d.h. der Antragstellerin, vorliegen. Überdies seien die gegenüber WhatsApp getätigten Einwilligungen aufgrund von Verstößen gegen § 4a Abs. 1 BDSG unwirksam. So hätten die betroffenen WhatsApp-Nutzer keine freie Wahl bezüglich der Entscheidung über die Erhebung und Speicherung der Daten durch die Antragstellerin, weil sie dem nur durch die Löschung ihres Kontos bei WhatsApp entgehen könnten. Zudem würden die Nutzer von WhatsApp nicht hinreichend informiert, weil mit der „opt-out"-Möglichkeit der Eindruck erweckt werde, sie könnten die Datenübertragung stoppen. Überdies fehle es an einer zweifelsfreien, den Zweck und Umfang der Übermittlung hinreichend bestimmten Erklärung der Betroffenen, weil die verwendete Erklärung zu unbestimmt sei und Umfang, Empfänger und Zweck der vorgesehenen Übermittlung und damit der Erhebung durch die Antragstellerin nicht erkennen lasse. Da die Erklärung in die Änderung der Nutzungsbedingungen integriert sei, fehle es zudem an der erforderlichen besonderen Hervorhebung. Die vorgesehene Warn- und Hinweisfunktion sei nicht erfüllt.
Es gebe für die Datenerhebung und Datenspeicherung auch keine gesetzliche Rechtfertigung. So stehe der Übermittlung zu Werbezwecken § 28 Abs. 3 BDSG entgegen. Da die betroffenen Daten nicht zu den Listendaten i.S.d. § 28 Abs. 3a BDSG gehören würden, käme nur eine Einwilligung als Rechtfertigung in Betracht. Das Einwilligungsverfahren sei aber aus den genannten Gründen unrechtmäßig. Eine Erhebung zu den weiteren Zwecken sei ebenfalls nicht von § 28 Abs. 1 Nr. 2 BDSG gedeckt. Es stünden dem berechtigten Interesse der Antragstellerin insoweit hinreichend konkrete Anhaltspunkte für die Annahme entgegenstehender Interessen der betroffenen deutschen WhatsApp-Nutzer gegenüber. So würden die Nutzer WhatsApp auch nach dem Erwerb durch Facebook im Jahr 2014 in der Erwartung nutzen, dass die Daten nicht an Dritte weitergegeben oder zu Werbezwecken genutzt werden, zumal Vertreter von Facebook dies entsprechend bestätigt hätten. Überdies werde solchen Nutzern, die nicht zugleich Facebook-Nutzer seien, durch die Antragstellerin ein Rechtsverhältnis zu dem Unternehmen aufgezwungen, obwohl sie dadurch keinen Vorteil erhielten.
Ziffer 2 der Anordnung beruhe auf § 35 Abs. 2 Nr. 1 BDSG und konkretisiere die gesetzliche Verpflichtung zur Löschung von unzulässig erhobenen personenbezogenen Daten. Ziffer 3 der Anordnung habe seine Rechtsgrundlage in §§ 38 Abs. 3, 11 Abs. 4 Nr. 2 BDSG.
Der Erlass der Anordnung sei auch ermessensfehlerfrei. Die Anordnung untersage nicht die Erhebung und Speicherung der Daten an sich. Vielmehr werde der Antragstellerin aufgegeben, durch die Schaffung eines Einwilligungsverfahrens die Rechtmäßigkeitsanforderungen des europäischen und deutschen Datenschutzrechts zu erfüllen. Somit bleibe das zwischen § 38 Abs. 5 Satz 1 und Satz 2 BDSG bestehende Stufenverhältnis gewahrt. Die Anordnung sei zweckmäßig, weil sie zur Wahrung der Betroffenenrechte die notwendige Rechtssicherheit und durch die Dokumentationsverpflichtung die erforderliche Transparenz über die Beachtung der datenschutzrechtlichen Vorschriften gewährleiste. Die Anordnung sei auch verhältnismäßig. Insbesondere sei sie erforderlich, weil ein milderes gleichwirksames Mittel zur Wahrung und Durchsetzung der datenschutzrechtlichen Vorgaben nicht ersichtlich sei. Außerdem sei die Anordnung angemessen. Sowohl das Geschäftsmodell der Antragstellerin als auch der Geschäftszweck des Dienstes blieben weiterhin bestehen. Zudem zeige die Anordnung einen Weg auf, wie eine datenschutzkonforme Zweckerreichung möglich sei.
Im Interesse der Betroffenen sei die Anordnung der sofortigen Vollziehung nach § 80 Abs. 2 Nr. 4 VwGO angezeigt. Sobald die Erhebung der Daten durch die Antragstellerin erfolgt sei, sei die Beeinträchtigung der Betroffenen final. Aufgrund der Ankündigung von WhatsApp, bis spätestens zum 6. Oktober 2016 von allen Nutzern die Erlaubnis zur Übermittlung der Daten eingeholt zu haben, sei zeitgleich mit der Erhebung der streitgegenständlichen Daten zu rechnen. Ein Zuwarten mit der Vollziehung der Anordnung bis zur Unanfechtbarkeit des Bescheides würde erhebliche Beeinträchtigungen der Persönlichkeitsrechte der Betroffenen verursachen. Es könne nämlich nicht ausgeschlossen werden, dass nach der Erhebung und Speicherung der Daten unverzüglich mit der Auswertung und Analyse der erhobenen personenbezogenen Daten begonnen und damit eine Vertiefung des Eingriffs in Persönlichkeitsrechte der Betroffenen verursacht werde. Die Anordnung beeinträchtige die Interessen der Antragstellerin hingegen nur im geringen Maße. Sie sei technisch, tatsächlich und rechtlich in der Lage, auch kurzfristig die Einwilligung der Betroffenen einzuholen und damit die Vorgaben der Anordnung zu vollziehen. Im Ergebnis sei ein besonderes und überwiegendes Vollziehbarkeitsinteresse gegeben, sodass ausnahmsweise die Anordnung der sofortigen Vollziehung der Anordnung geboten sei.
Am 27. September 2016 legte die Antragstellerin Widerspruch ein.
Am 19. Oktober 2016 hat die Antragstellerin einen Antrag auf Wiederherstellung der auf-schiebenden Wirkung ihres Widerspruchs gestellt. Die Antragsgegnerin könne ihre Anordnung nicht auf deutsches Datenschutzrecht stützen und sei international nicht zuständig. Vielmehr sei irisches Datenschutzrecht anwendbar und die irische Datenschutzbehörde zuständig. Denn die irische Antragstellerin habe als für die Verarbeitung Verantwortliche und Hauptsitz von Facebook innerhalb der Europäischen Union die engste Verbindung mit der streitgegenständlichen Erhebung und Speicherung. Allein hierauf komme es an. Dies ergebe die richtlinienkonforme Auslegung des § 1 Abs. 5 Satz 1 BDSG, der der Umsetzung der zugrundeliegenden europäischen Richtlinienvorschrift, Art. 4 Richtlinie 95/46/EG, diene. So unterliege nach Art. 4 Abs. 1 lit. a) Richtlinie 95/46/EG ein bestimmter grenzüberschreitender Datenverarbeitungsvorgang nicht dem Recht mehrerer unterschiedlicher Mitgliedstaaten, sondern nur dem Recht eines Mitgliedstaates. Wenn der für die Verarbeitung Verantwortliche Niederlassungen in unterschiedlichen Mitgliedstaaten habe, sei dies das Recht desjenigen Mitgliedstaates, in dem die Hauptniederlassung des für die Verarbeitung Verantwortlichen ansässig sei, die mit der jeweiligen Datenverarbeitung die engste Verbindung habe. Der Europäische Gerichtshof habe in der Rechtssache Google Spain und Google (EuGH, Urt. v. 13.5.2014, C-131/12, juris) zwar die Verarbeitung „im Rahmen der Tätigkeiten" einer Niederlassung weit ausgelegt und dies in den Rechtssachen Weltimmo (EuGH, Urt. v. 1.10.2015, C-230/14, juris) und Amazon (EuGH, Urt. v. 28.7.2016, C-191/15, juris) auch bestätigt. Danach sei nicht erforderlich, dass die Verarbeitung „von" der betroffenen Niederlassung selbst ausgeführt werde, vielmehr reiche es aus, wenn die Niederlassung die Aufgabe habe, für die Förderung des Verkaufs der angebotenen Werbeflächen der Suchmaschine und diesen Verkauf selbst zu sorgen. Diese Auslegung sei auf den hiesigen Fall aber nicht übertragbar. Denn es handele sich hier um einen Binnenmarktfall. Hier finde EU- Datenschutzrecht unstreitig Anwendung und der Schutz der Grundrechte sei garantiert. Wäre ein bestimmter Datenverarbeitungsvorgang dem Recht mehrerer Mitgliedstaaten unterstellt, würden die Rechte und Freiheiten der Antragstellerin unverhältnismäßig eingeschränkt, weil sie eine Vielzahl von nationalen Datenschutzgesetzen mit unterschiedlichen Ausprägungen beachten müsste. Auch das Kammergericht Berlin gehe davon aus, dass die Datenverarbeitung der Antragstellerin nicht deutschem Recht unterliege. Dies zeige eine Verfügung des Kammergerichts Berlin vom 7. März 2017 in einem Verfahren des Bundesverbandes der Verbraucherzentralen und Verbraucherverbände gegen die Antragstellerin (Az. 5 U 155/14).
Weiter meint die Antragsgegnerin, selbst wenn deutsches Datenschutzrecht anwendbar und die Antragsgegnerin zuständig sein sollte, sei die Anordnung nicht rechtmäßig. Sie sei formell rechtswidrig. Die Antragsgegnerin sei örtlich nicht zuständig, weil es sich bei der Facebook Germany GmbH nicht um eine Betriebsstätte der Antragstellerin handele. Ferner fehle es an der nach § 28 Abs. 1 HmbVwVfG erforderlichen Anhörung. Eine Anhörung sei nicht durch das Auskunftsersuchen vom 1. September 2016 erfolgt. Auch sei die Anhörung nicht wegen besonderer Dringlichkeit verzichtbar. Eine Nachholung der Anhörung nach § 45 Abs. 1 Nr. 3 HmbVwVfG sei nicht möglich, weil eine selbstkritische Reflektion der Entscheidung durch die Antragsgegnerin ausgeschlossen sei. Auch materiell sei die Anordnung rechtswidrig. Die Antragsgegnerin habe das zweistufige Verfahren nach § 38 Abs. 5 BDSG nicht eingehalten. Es handele sich um eine Untersagungsanordnung nach § 38 Abs. 5 Satz 2 BDSG und nicht, wie von der Antragsgegnerin angenommen, nach § 38 Abs. 5 Satz 1 BDSG. Diese werde bereits durch den Wortlaut der Anordnung „Der Facebook Ireland Ltd. wird untersagt ..." deutlich. Dem stehe auch nicht die Einschränkung entgegen, dass die Untersagung nur gelte, „soweit und solange eine [...] den Anforderungen des § 4a BDSG entsprechende Einwilligung nicht vorliegt". Die Antragsgegnerin habe nämlich keinen Versuch unternommen, die von ihr kritisierte Datenerhe-bung zu korrigieren oder Mängel zu beseitigen, was zunächst erforderlich sei.
Weiter meint die Antragstellerin, die geplante Datenerhebung und -speicherung sei jedenfalls rechtmäßig. Sie beruhe auf einer sowohl nach irischem als auch nach deutschem Recht wirksamen datenschutzrechtlichen Einwilligung der WhatsApp- und Facebook- Nutzer. Die WhatsApp-Nutzer würden im Rahmen des Aktualisierungsverfahrens transparent und vollständig über den Datenaustausch mit der Antragstellerin, die damit verbundenen Zwecke und die Nutzung der Daten durch die Antragstellerin informiert. Das „Doppeltürmodell" sei nicht anwendbar. Die von den WhatsApp-Nutzern gegenüber WhatsApp erklärte Einwilligung legitimiere daher nicht nur die Übertragung von WhatsApp-Daten durch WhatsApp, sondern spiegelbildlich die Entgegennahme dieser Daten, also die mit der Anordnung angegriffene Erhebung und Speicherung durch die Antragstellerin. Denn die Einwilligung in die Weitergabe durch Übermittlung umfasse notwendigerweise auch immer die Einwilligung in die Erhebung und Speicherung durch den Empfänger. Überdies sei die Datenerhebung und -speicherung durch die Antragstellerin auf Grundlage einer Abwägung der betroffenen Interessen nach Art. 7 lit. f) Richtlinie 95/46/EG bzw. § 28 Abs. 1 BDSG gerechtfertigt. Die Antragsgegnerin habe es versäumt, zwischen den einzelnen Zwecken der geplanten Datenerhebung zu differenzieren. Bei diesen Zwecken „Net- work/Security", „Business Intelligence Analytics" und „Facebook Ads/Products" würden jeweils die Interessen der Antragstellerin überwiegen. Die von der Antragsgegnerin vorgetragene Begründung eines überwiegenden Nutzerinteresses sei widersprüchlich bzw. basiere auf einem falschen Sachverhaltsverständnis. Die Antragstellerin beabsichtige die Erhebung nur in dem Umfang, in dem dies jeweils konkret notwendig sei.
Zu dem Zweck „Network/Security" trägt die Antragstellerin vor, die Antragstellerin und WhatsApp würden hochentwickelte Systeme betreiben, um die Sicherheit ihrer jeweiligen Plattformen und Nutzer zu gewährleisten und diese gegen zahlreiche Bedrohungen wie Spam, Viren, Hassbotschaften, Veröffentlichung von Kindesmissbrauch oder die Vorbereitung von terroristischen Aktivitäten zu schützen. Die Antragstellerin deaktiviere jährlich Millionen von Accounts innerhalb der Europäischen Union, die im Zusammenhang mit schädlichen Verhaltensweisen stünden. Im Falle von WhatsApp seien die für die Identifizierung der Täter zur Verfügung stehenden Mittel limitiert, weil WhatsApp nur begrenzte Kategorien von Daten über seine Nutzer speichere und aufgrund der Ende-zu-Ende- Verschlüsselung der Nachrichten keinen Zugang zu Nachrichteninhalte habe. Die Datenerhebungen seien insbesondere erforderlich, um die Daten- und Nutzersicherheit von beiden Diensten, d.h. WhatsApp sowie Facebook, durch effektiveren Schutz gegen Spam, Belästigungen, Übergriffe auf Minderjährige, Terrorismus zu verbessern. So sollen z.B. Täter und mit schädlichen Verhaltensweisen in Verbindung stehende Accounts, die in einer der Apps der Facebook- Familie entdeckt werden, über alle Apps hinweg überprüft und ggf. deaktiviert werden. Grundsätzlich solle zur Identifizierung böswilliger Nutzer, die Verstöße gegen Regeln bei WhatsApp oder Facebook begangen haben, zwar die Family Device ID, d.h. die für mobiles Endgerät erstellte Nummer, herangezogen werden. Es gebe aber Konstellationen, in denen die Family Device ID zur Identifizierung nicht ausreichend sei, z.B., wenn das gleiche Gerät innerhalb des Facebook-Dienstes durch mehrere Accounts zusätzlich zur WhatsApp Nutzung gebraucht werde. Die von WhatsApp zu erhebenden Daten, d.h. die Telefonnummern der WhatsApp-Nutzer, bestimmte Geräteinformationen (z.B. Plattforminformationen und die App- Version), die „Zuletzt online"- Angaben sowie des WhatsApp-Account-Anmeldedatum, könnten bei der Zuordnung helfen. Als weiteres Beispiel der geplanten Datennutzung nennt die Antragstellerin die Vereinfachung der Verifizierung potentiell gefährdeter oder kompromittierter Accounts. So könnten die Sicherungssysteme von Facebook bei einem Login Versuch auf Facebook Anomalien entdecken. In diesem Fall könnte die Antragstellerin nun Daten wie den Netzwerkanbieter eines zugeordneten WhatsApp-Accounts vergleichen und so eine Prüfung ermöglichen, ob eine unautorisierte Person involviert sei. Damit verbunden verlange die Antragstellerin in Fällen, in denen ein Login-Versuch zu dem Facebook Dienst erfolge und ein Account durch die Antragstellerin als potentiell beeinträchtigt markiert werde, zusätzliche Bestätigungen der Identität, bevor der Zugang zum Account gewährt werde. Wenn solch ein Account einem WhatsApp-Account zugeordnet sei, beabsichtige die Antragstellerin, die Be-stätigungsnachricht via SMS an diesen WhatsApp-Account zu senden, um zu verifizieren, ob der Nutzer echt sei. Ohne die streitgegenständliche Anordnung hätte die Antragstellerin die beabsichtigten Verwendungen der Daten der WhatsApp-Nutzer vorangetrieben, sodass die entsprechenden Sicherheitsmaßnahmen im ersten Quartal 2017 in Deutschland eingeführt worden wären. Die gegenwärtig geplanten Anwendungsfälle seien zudem nicht abschließend. Vielmehr könnten die Antragstellerin und WhatsApp weitere Sicherheitsfunktionen entwickeln, die einen Austausch von Daten in bestimmten Umfang erforderlich machen würden.
Zu dem Zweck „Business Intelligence Analytics" trägt die Antragstellerin vor, sie verfolge mit der Datenerhebung verschiedene Geschäftsinformations- und Analysefunktionen, z.B. die Deduplizierung von Nutzer-Accounts. Zudem sei die genaue Ermittlung der Anzahl der „Unique User" für die interne Produktentwicklung und Produktpriorisierung relevant und ein wichtiger Aspekt für die Berichterstattung der Antragstellerin gegenüber Investoren und der Aufsichtsbehörde. Um diesen Zweck zu erreichen, könnte WhatsApp Telefonnummern und andere Nutzungsinformationen, z.B. die „Zuletzt online"- Angaben, an Facebook Inc. übermitteln. Durch die Auswertung der Daten könnte u.a. ermittelt werden, welcher Prozentsatz der Nutzer gleichzeitig bei WhatsApp und der Antragstellerin registriert sei, welche gemeinsamen Nutzer im Tagesdurchschnitt bei dem einen oder andern Dienst aktiver seien und welche relativen Wachstumsraten der Dienste sich über die Zeit ergäben.
Schließlich rügt die Antragstellerin, die Antragsgegnerin habe ihr Ermessen fehlerhaft ausgeübt. Denn die Anordnung untersage auch Maßnahmen, die ohne Einwilligung rechtmäßig seien, z.B. nach Art. 7 lit. f) Richtlinie 95/46/EG bzw. Art. 28 Abs. 1 BDSG. Sie verbiete allgemein jegliche Erhebung von WhatsApp-Daten zu jeglichen Zwecken, soweit sie nicht auf einer wirksamen Einwilligung beruhen. Sie schließe umfassend aus, dass die Antragstellerin zukünftig irgendeine Datenverarbeitung vornehmen könne, die auf eine andere rechtliche Grundlage als eine Einwilligung gestützt werden könnte. Die Antragsgegnerin hätte vermeintliche Datenschutzrechtsverstöße ebenso effektiv unterbinden können, indem sie angeordnet hätte, WhatsApp-Daten dürften nicht ohne irgendeine tragende rechtliche Rechtfertigung erhoben oder gespeichert werden. Aufgrund der begrenzten WhatsApp-Daten, deren Erhebung beabsichtigt sei, der Tatsache, dass WhatsApp- Nutzer ausreichend Zeit für eine bewusste und wohlabgewogene Entscheidung gehabt hätten und dem Umstand, dass die Antragstellerin in ihrer erfolgreicher wirtschaftlicher und technischer Entwicklung beeinträchtigt sei, hält sie den angeordneten Sofortvollzug nicht für gerechtfertigt.
Die Antragstellerin beantragt,
| die aufschiebende Wirkung des Widerspruchs vom 27. September 2016 und einer eventuell nachfolgenden Anfechtungsklage gegen die Anordnung vom 23. September 2016 wiederherzustellen. |
Die Antragsgegnerin beantragt,
| den Antrag abzulehnen. |
Die Antragsgegnerin hält weiterhin deutsches Datenschutzrecht für anwendbar. Aus der Entscheidung in der Rechtssache Amazon ergebe sich in einer Zusammenschau mit den Entscheidungen des Europäischen Gerichtshofes in den Rechtssachen Weltimmo und Google Spain und Google (jeweils EuGH, a.a.O.), dass auch in der vorliegenden Fall-konstellation, also wenn eine außerhalb des Unionsrechts ansässige Muttergesellschaft zwei Niederlassungen in der Europäischen Union habe, für den Begriff „im Rahmen der Tätigkeiten" im Sinne des Art. 4 Abs. 1 lit. a) Richtlinie 95/46/EG eine weite Auslegung geboten und mithin deutsches Recht anzuwenden sei. Die Antragsgegnerin beruft sich hierzu auf Ausführungen des Europäischen Gerichtshofes, wonach die Verarbeitung personenbezogener Daten „im Rahmen der Tätigkeiten" einer Niederlassung im Sinne des Art. 4 Abs. 1 lit. a) Richtlinie 95/46/EG nicht verlange, dass die in Rede stehende Verarbeitung personenbezogener Daten „von" der betreffenden Niederlassung selbst ausgeführt werden müsse. Für ihre Meinung spreche auch die veröffentlichte aktualisierte Stellungnahme der Artikel-29-Datenschutzgruppe der Europäischen Kommission zum anwendbaren Recht vom 16. Dezember 2015 („Update of Opinion 8/2010 on applicable law in light of the CJEU judgement in Google Spain", vgl. S. 7 Ziff. 4 Abs. 2: "...the national laws of each such establishments will apply"). Überdies würde die Meinung der Antragstellerin, dass das nationale Recht nach dem Kriterium der engsten Verbundenheit mit der streitgegenständlichen Datenverarbeitung zu bestimmen sei, dazu führen, dass immer diejenige Niederlassung maßgeblich wäre, die die Daten tatsächlich verarbeite. Der Anwendungsbereich von Art. 4 Abs. 1 lit. a) Satz 2 Richtlinie 95/46/EG wäre künftig dann nicht mehr eröffnet, wenn die verantwortliche Stelle innerhalb der Europäischen Union niedergelassen sei, auch wenn die Hauptdienstleistung mit der Tätigkeit der Niederlassung untertrennbar verbunden sei. Auch betreffe die streitgegenständliche Verfügung nicht ein- und denselben Datenverarbeitungsvorgang, weil nur Daten von Nutzern mit der Telefonnummernvorwahl +49 erfasst seien.
Der angegriffene Bescheid sei formell und materiell rechtmäßig. Die örtliche Zuständigkeit ergebe sich aus § 3 Abs. 2 Nr. 2 HmbVwVfG, weil der europarechtliche Begriff der Niederlassung zugrunde zu legen sei. Die Anordnung sei auf der Grundlage von § 38 Abs. 5 Satz 1 BDSG erfolgt. Das von der Antragstellerin durchgeführte Einwilligungsverfahren sei wegen mangelnden Informationen und mangelnder Bestimmtheit unwirksam. Es fehle somit an einer bewussten Zustimmung der Betroffenen. Zudem seien die Zustimmungen nicht freiwillig. Denn die Situation zwinge die Nutzer faktisch dazu, sich mit dem Zugriff auf ihre jeweils verlangten Daten einverstanden zu erklären.
Eine fehlerhafte Ermessensausübung liege nicht vor. Die Antragstellerin sei durch die Anordnung nicht gehindert, Daten von WhatsApp-Nutzern zu erheben, solange sie die verfassungsmäßigen Rechte der Betroffenen und die sich aus diesem ergebenen gesetzlichen Beschränkungen des europäischen und deutschen Datenschutzrechts beachte.
Die Anordnung der sofortigen Vollziehung sei rechtmäßig. Die Erhebung und Speicherung der Daten ohne rechtliche Grundlage würden einen in Umfang und Schwere gravierenden Verstoß darstellen. Bei offenen Erfolgsaussichten falle die vorzunehmende Interessenabwägung zugunsten der Antragsgegnerin aus. Bis zur Entscheidung in Hauptsache sei ein unwiederbringlicher wirtschaftlicher Schaden der Antragstellerin nicht zu befürchten, während durch die Datenerhebung die 35millionenfache Verletzung des Rechts auf informationelle Selbstbestimmung drohe.
Der Antrag auf die Wiederherstellung der aufschiebenden Wirkung des Widerspruchs vom 27. September 2016 und einer eventuell nachfolgenden Anfechtungsklage hat nur in dem aus dem Tenor ersichtlichen Umfang Erfolg. Er ist zulässig, insbesondere nach § 80 Abs. 5 Satz 1, 2. Alternative i. V. m. § 80 Abs. 2 Satz 1 Nr. 4 VwGO statthaft, aber nur zum geringen Teil begründet. Der Antrag ist teilweise begründet, soweit er die Anordnung der sofortigen Vollziehung hinsichtlich der Ziffern 2 und 3 betrifft (1.). Im Übrigen, d.h. hinsichtlich der Ziffer 1, ist der Antrag unbegründet (2.).
1. Die Anordnung der sofortigen Vollziehung ist hinsichtlich der Ziffern 2 und 3 der Anordnung formell rechtswidrig, weshalb sie aufzuheben ist. Insoweit fehlt es an der gemäß § 80 Abs. 3 Satz 1 VwGO erforderlichen Begründung.
Die Auslegung des angefochtenen Bescheides ergibt, dass sämtliche unter Ziffer 1 bis 3 getroffenen Anordnungen für sofort vollziehbar erklärt worden sind. Dies folgt aus dem Wortlaut und der systematischen Stellung der Ziffer 4, der keine Einschränkung des angeordneten Sofortvollzugs in Bezug auf die vorstehenden Ziffern 1 bis 3 enthält. Vielmehr wurde die sofortige Vollziehung „dieser Anordnung" angeordnet. Nichts anderes ergibt sich aus dem Sinn und Zweck der einzelnen Anordnungen. Durch die unter der Ziffer 1 getroffene Anordnung soll die Begehung eines vermeintlichen Datenschutzrechtsverstoßes verhindert, durch die unter Ziffer 2 getroffene Anordnung die Perpetuierung eines vermeintlichen Datenschutzrechtsverstoßes rückgängig gemacht werden, was jeweils für die sofortige Vollziehung dieser Ziffern spricht. Lediglich der Sinn und Zweck der Ziffer 3 deutet darauf hin, dass eine sofortige Vollziehbarkeit dieser Ziffer 3 nicht beabsichtigt war. Denn die Dokumentationspflicht soll die Antragstellerin erst nach Ablauf von einer Woche nach Bestandskraft des Bescheids treffen. Aufgrund des eindeutigen Wortlauts und der Systematik des unter der Ziffer 4 angeordneten Sofortvollzugs ist allerdings auch insoweit von einer Anordnung der sofortigen Vollziehung auszugehen.
Der streitgegenständlichen Bescheid enthält keine den Anforderungen des § 80 Abs. 3 Satz 1 VwGO genügende Begründung für die Anordnung des Sofortvollzugs hinsichtlich der Ziffern 2 und 3. Die in dem Bescheid unter IV. B. Ziffer 6. enthaltenden Ausführungen begründen nur, warum hinsichtlich der unter Ziffer 1 getroffenen Untersagungsverfügung die sofortige Vollziehung angeordnet worden ist (siehe im Einzelnen unter II. 1.). Warum auch hinsichtlich der in der Ziffer 2 angeordneten Löschungsanordnung und der in der Ziffer 3 angeordneten Dokumentationsverpflichtung die Anordnung der sofortigen Vollziehung notwendig erscheint, wird nicht einmal ansatzweise erläutert.
Von einer Begründung kann auch nicht ausnahmsweise gänzlich abgesehen werden, weil das besondere Vollzugsinteresse hinsichtlich der Anordnung zu Ziffer 1 ausführlich dargelegt wird. Denn die Ziffern 1 bis 3 der Anordnung treffen jeweils unterschiedliche Regelungen. Die Antragsgegnerin muss sich daher in Bezug auf jede einzelne Ziffer gesondert den Ausnahmecharakter der Vollziehungsanordnung bewusst machen, um sich in einer sorgfältigen Prüfung zu vergegenwärtigen, ob die Anordnung der sofortigen Vollziehung auch bezüglich der Löschung bereits erhobener und gespeicherter Daten und der auferlegten Dokumentationspflicht geboten ist.
Aus der formellen Rechtswidrigkeit der Anordnung der sofortigen Vollziehung hinsichtlich der Ziffern 2 und 3 folgt nicht, wie von der Antragstellerin beantragt, die Wiederherstellung der aufschiebenden Wirkung des Widerspruchs vom 27. September 2016 und einer eventuell nachfolgenden Anfechtungsklage. Vielmehr ist mangels hinreichender Begründung vorläufiger Rechtsschutz insoweit in Form der Aufhebung der Anordnung der sofortigen Vollziehung zu gewähren mit der Folge, dass dem Widerspruch wieder aufschiebende Wirkung zukommt (vgl. OVG Hamburg, Beschl. v. 1.3.1995, Bs V 327/94, juris Rn. 1; OVG Hamburg, Beschl. v. 17.12.1992, Bs V 176/92, juris Rn. 2).
2. Hinsichtlich der Ziffer 1 des Bescheids hat der Antrag indes keinen Erfolg. Die Anordnung der sofortigen Vollziehung ist zwar formell rechtmäßig (a). Die Erfolgsaussichten des zulässigen Widerspruches der Antragstellerin gegen die von der Antragsgegnerin ausgesprochene Anordnung sind allerdings als offen anzusehen (b). In der daher unabhängig von den Erfolgsaussichten des Rechtsbehelfs nach § 80 Abs. 5 VwGO vorzunehmenden Interessenabwägung überwiegt das öffentliche Interesse am Sofortvollzug und den ent-sprechenden Beteiligteninteressen der WhatsApp-Nutzer gegenüber dem Aussetzungsin-teresse der Antragstellerin mit der Folge, dass der Antrag als unbegründet abzulehnen ist (c).
a) Die sofortige Vollziehung der Ziffer 1 ihres Bescheids hat die Antragsgegnerin in einer den Anforderungen des § 80 Abs. 3 Satz 1 VwGO genügenden einzelfallbezogenen Weise begründet. Sie hat ausgeführt, es sei zeitnah mit der Übermittlung der Daten zu rechnen, sodass ein Zuwarten mit der Vollziehung der Anordnung bis zur Unanfechtbarkeit des Bescheides erhebliche Beeinträchtigungen der Persönlichkeitsrechte von Millionen von Personen zur Folge hätte. Diese Interessen der Betroffenen hat sie mit dem Interesse der Antragstellerin an einer aufschiebenden Wirkung eines Widerspruchs abgewogen und ist dabei zu einem Überwiegen der Interessen der betroffenen Nutzer gekommen. Damit ist dem Begründungserfordernis Genüge getan.
b) Nach dem gegenwärtigen Stand der Rechtsprechung ist zum jetzigen Zeitpunkt noch nicht hinreichend geklärt, ob die Antragsgegnerin ihre Anordnung auf deutsches Datenschutzrecht stützen konnte (aa) und gegen die irische Antragstellerin vorgehen durfte (bb). Für den Fall, dass deutsches Datenschutzrecht anwendbar wäre, ist nicht offensichtlich, dass die Anordnung gegen dieses verstößt (cc).
aa) Ob deutsches Datenschutzrecht anwendbar ist, richtet sich nach § 1 Abs. 5 BDSG i. V. m. Art. 4 Richtlinie 95/46/EG (sog. Datenschutzrichtlinie). Gemäß Art. 4 Abs. 1 lit. a) Richtlinie 95/46/EG wendet jeder Mitgliedstaat die Vorschriften, die er zur Umsetzung dieser Richtlinie erlässt, auf alle Verarbeitungen personenbezogener Daten an, die im Rahmen der Tätigkeiten einer Niederlassung ausgeführt werden, die der für die Verarbeitung Verantwortliche im Hoheitsgebiet dieses Mitgliedstaats besitzt. Wenn der Verantwortliche eine Niederlassung im Hoheitsgebiet mehrerer Mitgliedstaaten besitzt, ergreift er die notwendigen Maßnahmen, damit jede dieser Niederlassungen die im jeweils anwendbaren einzelstaatlichen Recht festgelegten Verpflichtungen einhält. Nach § 1 Abs. 5 Satz 1 BDSG findet das Bundesdatenschutzgesetz keine Anwendung, sofern eine in einem anderen Mitgliedstaat der Europäischen Union belegene verantwortliche Stelle personenbezogene Daten im Inland erhebt, verarbeitet oder nutzt, es sei denn, dies erfolgt durch eine Niederlassung im Inland. Nach § 1 Abs. 5 Satz 2 BDSG findet das Bundesdatenschutzgesetz hingegen Anwendung, sofern eine verantwortliche Stelle, die nicht in einem Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum belegen ist, personenbezogene Daten im Inland erhebt, verarbeitet oder nutzt.
Nach diesen Vorschriften ist deutsches Recht nur anwendbar, wenn die Facebook Germany GmbH eine Niederlassung ist, die der Antragstellerin zuzuordnen werden kann und im Rahmen ihrer Tätigkeiten die streitgegenständliche Datenerhebung bzw. -speicherung ausführt. Ob diese Voraussetzungen vorliegen, kann im Zeitpunkt der Eilentscheidung nicht hinreichend sicher beurteilt werden.
Zwar ist die Facebook Germany GmbH eine Niederlassung. Eine Niederlassung ist nach dem Erwägungsgrund 19 der Richtlinie 95/46/EG die effektive und tatsächliche Ausübung einer Tätigkeit mittels einer festen Einrichtung. Diese Anforderungen erfüllt die in Hamburg und Berlin ansässige Facebook Germany GmbH. Sie unterstützt im Auftrag der Antragstellerin deren Werbekunden in Deutschland und unterhält ein auf Deutschland konzentriertes PR-Team.
Auch ist die Facebook Germany als Niederlassung der Antragstellerin anzusehen. So steht es im Hinblick auf die Beziehungen zwischen der Facebook Germany GmbH und der Antragstellerin nicht entgegen, dass die Facebook Germany GmbH konzernrechtlich lediglich als Schwester der Antragstellerin zu qualifizieren sein dürfte, weil sie die Antragstellerin bei der geschäftsmäßigen Erbringung des Dienstes unterstützt (vgl. VG Hamburg, Beschl. v. 3.3.2016, 15 E 4482/15, juris Rn. 59).
Offen ist aber, ob die Facebook Germany GmbH im Rahmen ihrer Tätigkeiten die streitgegenständliche Datenerhebung bzw. -speicherung ausführt. Für die Verarbeitung perso-nenbezogener Daten „im Rahmen der Tätigkeiten" ist, wie der Europäische Gerichtshof u.a. in der Rechtssache Weltimmo (EuGH, Urt. v. 1.10.2015, C-230/14, juris Rn. 35) erläutert hat, zwar nicht erforderlich, dass die in Rede stehende Verarbeitung personenbezogener Daten „von" der betreffenden Niederlassung selbst ausgeführt wird. Eine Verarbeitung personenbezogener Daten wird vielmehr auch im Rahmen der Tätigkeiten einer Niederlassung ausgeführt, die der für die Verarbeitung Verantwortliche im Hoheitsgebiet eines Mitgliedstaates besitzt, wenn der die Verarbeitung Durchführende in einem Mitgliedstaat für die Förderung des Verkaufs der Werbeflächen für sein Datenverarbeitungsangebot und diesen Verkauf selbst eine Zweigniederlassung oder Tochtergesellschaft gegründet hat, deren Tätigkeit auf die Einwohner dieses Staates ausgerichtet ist (EuGH, Google Spain und Google, Urt. v. 13.5.2014, C-131/12, juris Rn. 60). Anders als in der Rechtssache Google Spain und Google unterhält hier ein außerhalb der Europäischen Union liegender Mutterkonzern, die Facebook Inc., im Unionsgebiet mehrere Niederlassungen, die aber unterschiedliche Aufgaben haben. Ob eine Anknüpfung in diesem Fall an eine (allein) für Marketing und Vertrieb zuständige Niederlassung in einem Mitgliedstaat (hier: Deutschland) für die Anwendbarkeit der Datenschutzrichtlinie und die Zuständigkeit der Kontrollbehörde auch auf eine Konstellation übertragbar ist, bei der eine in einem anderen Mitgliedstaat (hier: Irland) niedergelassenen Tochtergesellschaft nach der konzerninternen Aufgaben- und Verantwortungsteilung auch im Außenverhältnis als im gesamten Unionsgebiet "für die Verarbeitung Verantwortlicher" auftritt, ist aber weiterhin klärungsbedürftig (siehe bereits: BVerwG, Vorabentscheidungsersuchen v. 25.2.2016, 1 C 28/14, juris Rn. 40; OVG Hamburg, Beschl. v. 29.6.2016, 5 Bs 40/16, juris Rn. 17 f.).
Eine Klärung hat insoweit auch nicht das Urteil des Europäischen Gerichtshofes in der Rechtssache Amazon (EuGH, Urt. v. 28.7.2016, C-191/15, juris) bewirkt. Der Entscheidung lagen mit dem hier zu beurteilenden Sachverhalt nicht vergleichbare tatsächliche Umstände zugrunde. In der Rechtssache Amazon musste das anwendbare nationale Recht hinsichtlich datenschutzrechtlich relevanter AGB-Klauseln bestimmt werden, die Amazon EU (Luxemburg) in Kaufverträgen über eine Website der Top-Level-Domain „.de" mit Verbraucher mit Wohnsitz in Österreich verwendete. Die Klauseln sahen vor, dass Amazon.de in bestimmten Konstellationen die Datenangaben sowie das Ausfallrisiko der Besteller prüfen und bewerten dürfe und hierzu einen Datenaustausch mit anderen Unternehmen innerhalb des Amazon-Konzerns, Wirtschaftsauskunfteien sowie ggf. mit in Deutschland ansässigen Bonititätsprüfungsgesellschaften pflege. Hier findet der fragliche Datenvorgang, nämlich die Erhebung und Speicherung personenbezogener Daten deutscher WhatsApp-Nutzer, hingegen durch die irische Antragstellerin als für die Verarbeitung Verantwortliche statt und nicht unmittelbar „durch" die deutsche Niederlassung, die Facebook Germany GmbH, sondern nur gegebenenfalls im Rahmen deren Tätigkeiten.
Nichts anderes ergibt die vorläufige Einschätzung des Kammergerichts Berlin in einer Hinweisverfügung vom 7. März 2017 in dem dort anhängigen Verfahren des Bundesverbandes der Verbraucherzentralen und Verbraucherverbände gegen die Antragstellerin (Az. 5 U 155/14), wonach deutsches Datenschutzrecht auf die Antragstellerin nicht anwendbar sei. Denn in dem genannten Zivilverfahren, das dem Beibringungsgrundsatz unterliegt, hat der Kläger die Existenz der Facebook Germany GmbH offensichtlich nicht vorgetragen, sodass die dortige Einschätzung des Kammergerichts nicht auf den hiesigen Fäll übertragbar ist.
bb) Sollte deutsches Datenschutzrecht anwendbar sein, ist zweifelhaft, ob eine Eingriffsbefugnis gegenüber der Antragstellerin besteht. Auch diese Frage ist durch die bisherige Rechtsprechung noch nicht abschließend entschieden.
Das Bundesverwaltungsgericht dürfte in seinem Vorabentscheidungsersuchen vom 25. Februar 2016 (a.a.O. Rn. 42) eine datenschutzrechtliche Anordnungsbefugnis nur gegenüber der Facebook Germany GmbH in Betracht gezogen haben. Auch der 21. Erwägungsgrund der Richtlinie 95/46/EG, wonach die Richtlinie nicht die im Strafrecht geltenden Territorialitätsregeln betreffe, spricht gegen eine Eingriffsbefugnis der deutschen Antragsgegnerin gegenüber der irischen Antragstellerin. Der die genannten Richtlinienvorschriften umsetzende § 38 BDSG verhält sich zu dieser Frage indes nicht. Die Ausführungen des Europäischen Gerichtshofes in der Rechtssache Weltimmo (EuGH, a.a.O., Rn. 56 ff.) sind ebenfalls nicht eindeutig. Dort wird eine über die Hoheitsgrenzen hinausgehende Eingriffsbefugnis nur dann explizit ausgeschlossen, wenn deutsches Recht keine Anwendung finden würde. Dies wiederum ist offen (siehe oben).
Vor diesem Hintergrund schließt sich die Kammer der Bewertung des OVG Hamburg an, wonach eine Eingriffsbefugnis der Antragsgegnerin gegenüber der Antragstellerin zweifelhaft ist (vgl. OVG Hamburg, Beschl. v. 29.6.2016, a.a.O, Rn. 19). Das hat sich durch die Entscheidung des Europäischen Gerichtshofes in der Rechtssache Amazon nicht geändert. Dort stellte sich die Frage nach einer Eingriffsbefugnis nicht. Es ging lediglich um die vorgelagerte Frage des anwendbaren Rechts und nicht um das Einschreiten einer europäischen Datenschutzkontrollbehörde.
cc) Der Antrag hätte aber auch bei Anwendung deutschen Datenschutzrechts keinen Erfolg, denn die unter Ziffer 1 getroffene Anordnung wäre in diesem Fall rechtlich nicht zu beanstanden. Der Anwendungsbereich von § 38 Abs. 5 Satz 1 BDSG ist eröffnet; die Anordnung ist sowohl formell als auch materiell rechtmäßig. Die für die Anwendung von § 38 Abs. 5 Satz 1 BDSG erforderlichen Voraussetzungen nach § 27 BDSG liegen vor, weil die Antragstellerin als nicht-öffentliche Stelle die automatisierte Erhebung personenbezogener Daten nicht ausschließlich für persönliche oder familiäre Tätigkeiten, sondern zu wirtschaftlichen Zwecken und auf technischem Wege plant.
Die Anordnung ist formell rechtmäßig. Die Antragsgegnerin ist nach § 24 Satz 1 HmbDSG als Aufsichtsbehörde für den Erlass von Anordnungen nach § 38 Abs. 5 BDSG sachlich zuständig. Die örtliche Zuständigkeit folgt bei der Anwendbarkeit deutschen Rechts aus § 3 Abs. 1 Nr. 2 HmbVwVfG. Danach ist in Angelegenheiten, die sich auf den Betrieb eines Unternehmens oder einer seiner Betriebsstätten beziehen, die Behörde, in deren Bezirk die Betriebsstätte betrieben wird, örtlich zuständig. Dabei muss § 3 Abs. 1 Nr. 2 HmbVwVfG im Lichte der dem Bundesdatenschutzgesetz zugrundeliegenden Richtlinie 95/46/EG ausgelegt werden. Denn § 3 HmbVwVfG bestimmt die örtliche Zuständigkeit der Datenschutzkontrollbehörden, deren Zuständigkeitsbereiche Art. 28 Richtlinie 95/46/EG festlegt, und dient somit mittelbar der Richtlinienumsetzung. Es ist daher die mit dem Unionsrecht im Einklang stehende Auslegung zu wählen, weil andernfalls die Anwendbarkeit des europäischen Rechts unterlaufen würde (siehe u.a. EuGH, Urt. v. 4.7.2006, C-212/04, Rn. 115 f.). Als Niederlassung ist demzufolge jedenfalls auch die effektive und tatsächliche Ausübung einer Tätigkeit mittels einer festen Einrichtung anzusehen, wobei die geschäftsmäßige Unterstützung eines Dienstes für die Zuordnung zu einem Unternehmen ausreicht (siehe oben). Nach diesen Grundsätzen ist die Facebook Germany GmbH trotz konzernrechtlicher Selbständigkeit und räumlicher Trennung als Betriebsstätte der Antragstellerin anzusehen. Sie dient durch ihre Werbetätigkeiten der Tätigkeit der übergeordneten Antragstellerin, was insoweit für den europarechtlichen Niederlassungsbegriff ausreichend ist.
Der Rechtmäßigkeit der Anordnung steht das Anhörungserfordernis nach § 28 Abs. 1 HmbVwVfG nicht entgegen. Es kann sowohl dahinstehen, ob eine Anhörung durch das Auskunftsersuchen der Antragsgegnerin vom 1. September 2016 erfolgte, als auch, ob eine Anhörung wegen Gefahr im Verzug nach § 28 Abs. 2 Nr. 1 HmbVfG entbehrlich war. Denn dieser vermeintliche Verfahrensfehler wurde spätestens nach § 45 Abs. 2 HmbVwVfG im Rahmen dieses gerichtlichen Eilverfahrens geheilt. Die Antragstellerin legte mit Schreiben vom 27. September 2016 Widerspruch ein und bezog sich mit ihrer Widerspruchsbegründung vom 31. Oktober 2016 auf die Begründung des hiesigen Eilantrages. Die Antragsgegnerin wiederum hat sich im vorliegenden Eilverfahren detailliert und kritisch mit den zahlreichen Argumenten der Antragstellerin auseinandergesetzt und sich nicht auf eine bloße Verteidigung der Anordnung beschränkt.
Die Anordnung ist auch materiell rechtmäßig. Die Tatbestandsvoraussetzungen des § 38 Abs. 5 Satz 1 BDSG liegen vor. Nach dieser Vorschrift kann die Aufsichtsbehörde zur Gewährleistung der Einhaltung des Bundesdatenschutzgesetzes Maßnahmen zur Beseitigung festgestellter Verstöße bei der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten oder technischer oder organisatorischer Mängel anordnen.
Die beabsichtigte Erhebung und Speicherung der personenbezogenen Daten deutscher WhatsApp-Nutzer ist als Verstoß gegen § 4 Abs. 1 BDSG anzusehen. Danach ist eine Erhebung, Verarbeitung und Nutzung personenbezogener Daten nur zulässig, wenn der Betroffene eingewilligt hat oder sich die Zulässigkeit des Datenverarbeitungsvorgangs aus dem Gesetz ergibt.
Die Anforderungen einer wirksamen Einwilligung ergeben sich aus § 4a Abs. 1 BDSG. Danach ist eine Einwilligung nur wirksam, wenn sie auf der freien Entscheidung des Betroffenen beruht (Satz 1). Zudem muss der Betroffene auf den vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung sowie, soweit nach den Umständen des Einzelfalles erforderlich oder auf Verlangen, auf die Folgen der Verweigerung der Einwilligung hingewiesen werden (Satz 2). Die Einwilligung bedarf grundsätzlich der Schriftform (Satz 3). Soll die Einwilligung zusammen mit anderen Erklärungen schriftlich erteilt werden, ist sie besonders hervorzuheben (Satz 4).
Durch diese gesetzlichen Vorgaben soll verhindert werden, dass die Einwilligung im so genannten Kleingedruckten versteckt wird und der Betroffene sie durch seine Unterschrift erteilt, ohne sich ihrer und ihres Bezugsgegenstands bewusst zu sein, weil er sie übersieht (BGH, Urt. v. 16.7.2008, VIII ZR 348/06, juris Rn. 23). Dabei kann die Einwilligung die ihr zugewiesene Aufgabe, das Entscheidungsvorrecht der Betroffenen ebenso zu gewährleisten wie zu konkretisieren nur dann erfüllen, wenn sie hinreichend bestimmt ist, also klar zu erkennen gibt, unter welchen Bedingungen sich die Betroffenen mit der Verarbeitung welcher Daten einverstanden erklären (Simitis: in Simitis, BDSG, 8. Auflage, § 4a Rn. 76). Demzufolge sind pauschal gehaltene Erklärungen, die die Betroffenen die Möglichkeiten nehmen, die Tragweite ihres Einverständnisses zu überblicken, nicht mit § 4a Abs. 1 BDSG vereinbar (Simitis in: Simitis, a.a.O., § 4a Rn. 77). Zudem muss dem Betroffenen die Entscheidung tatsächlich überlassen bleiben, zwischen Einverständnis und Verweigerung wirklich wählen zu können, d.h. die Verweigerung der Einwilligung darf nicht zu einer Benachteiligung der Betroffenen führen (Simitis in: Simitis, a.a.O., § 4a Rn. 91).
Gemessen an diesen Maßstäben sind die Einwilligungen, die die Antragstellerin von den betroffenen Nutzern eingeholt hat, nicht wirksam. Dies gilt für alle WhatsApp-Nutzer, d.h. Alt- und Neukunden als auch für sämtliche Zwecke, für die die Antragstellerin die Erhebung von Daten plant, d.h. für die Zwecke „Network/Security", „Business Intelligence Analytics" und „Facebook Ads/Products".
Die Altkunden bekommen beim Aufrufen der App folgenden Willkommensbildschirm angezeigt:
Dieses Einwilligungsverfahren ist wegen Verstoß gegen § 4a Abs. 1 Satz 1 BDSG unwirksam. Es fehlt an einer bewussten Einwilligung der betroffenen Nutzer. Denn für einen durchschnittlichen Nutzer ist nicht erkennbar, dass die Betätigung des obigen Buttons „Zustimmen" eine Einwilligung in Datenvorgänge nach § 4 Abs. 1 BDSG darstellen soll. Es fehlt nämlich jeglicher Hinweis darauf, dass es in der Sache um die Einholung einer Einwilligung in Datenverarbeitungen geht. Dies kann dem Nutzer auch gar nicht bewusst sein. Der dem Hyperlink „Zustimmen" vor- bzw. nachfolgende Text erwähnt dies mit keinem Wort. Die Wortwahl, die Datenschutzrichtlinie werde aktualisiert, suggeriert vielmehr, die Daten des Nutzers würden geschützt. Auch wird angedeutet, die Aktualisierung erfolge nur, um neue Funktionen aktivieren zu können. Dies stellt eine Irreführung des Nutzers dar.
Auf den vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung wird der Nutzer entgegen § 4a Abs. 1 Satz 2 BDSG nicht hingewiesen. Dabei gelten für das vorliegende Einwilligungsverfahren noch strengere Anforderungen, weil eine Einwilligung zusammen mit anderen Erklärungen, nämlich der Zustimmung zu den neuen Nutzungsbedingungen, eingeholt werden soll, sodass es nach § 4a Abs. 1 Satz 4 BDSG sogar einer besonderen Hervorhebung bedurft hätte. Zwar wird dem Nutzer deutlich gemacht, dass er durch das Betätigen des Hyperlinks „Lesen" mehr Informationen erhalten kann, insbesondere Auswahlmöglichkeiten erhält. Worauf sich diese Auswahlmöglichkeiten indes beziehen, wird nicht erklärt.
Überdies dürften selbst die nach Betätigung des Hyperlinks „Lesen" zur Verfügung gestellten Informationen (siehe folgender Screenshot) eine wirksame Einwilligung der WhatsApp-Nutzer nicht begründen können.
Zunächst ist nicht deutlich, was mit den neben dem „Opt-Out-Balken" genannten „WhatsApp-Account-Informationen" gemeint ist. Der Begriff bleibt offen und dementsprechend erläuterungsbedürftig. Es ist für den Nutzer nicht ersichtlich, welche Datenarten dieser Datenkategorie überhaupt zuzuordnen sein sollen (vgl. LG Frankfurt, Urt. v. 10.6.2016, 2-3 O 364/15, juris Rn. 251). Eine entsprechende Klarstellung ergibt sich auch nicht aus den weiteren zur Verfügung gestellten Informationen, insbesondere der Datenschutzrichtlinie. Dort werden zudem die weiteren Zwecke lediglich unbestimmt, unklar und nicht in der von der Antragstellerin behaupteten Deutlichkeit herausgestellt. So ist die vermeintliche Einwilligung in Textpassagen neben andere Erklärungen und Hinweisen gestellt, ohne sich von diesen abzuheben.
Überdies ist der „Opt-Out-Balken" für den Zweck „Facebook Ads/Products" (Verbesserung von Produkterlebnissen auf Facebook) im Hinblick auf den Hinweis „Unabhängig von dieser Einstellung werden ihre Chats und Telefonnummern nicht auf Facebook geteilt" irreführend. Wenn die Erhebung zu drei unterschiedlichen Zwecke erfolgen soll, d.h. neben dem „opt-out"- Zweck „Facebook Ads/Products" auch für die weiteren Zwecke „Network/Security" und „Business Intelligence Analytics", erschließt sich nicht, warum der Hinweis gerade an dieser Stelle erfolgt. Denn hierdurch wird impliziert, dass die WhatsApp-Account Informationen nur zu dem Zweck der Verbesserung der Erlebnisse auf Facebook mit Werbung und Produkten („Facebook Ads/Products") übertragen werden sollen, was dem Vortrag der Antragstellerin widerspricht.
Vergleichbares gilt für Neukunden. Diese bekommen beim Aufrufen der App folgenden Willkommensbildschirm angezeigt:
Auch insoweit ist das Einwilligungsverfahren wegen Verstoßes gegen § 4a Abs. 1 Satz 1 BDSG unwirksam. Es fehlt an einer bewussten Einwilligung der betroffenen Nutzer. So findet sich auf dem Willkommensbildschirm keine Klarstellung dazu, dass das Betätigen des Buttons „Zustimmen und Fortfahren" eine Einwilligung in Datenverarbeitungen nach § 4 Abs. 1 BDSG darstellen soll. Die obigen Ausführungen gelten entsprechend.
Aufgrund der Unwirksamkeit der Einwilligungsverfahren kann offen bleiben, ob minderjährige Nutzer ab dem 13. Lebensjahr ohne Zustimmung der Eltern überhaupt wirksam eine Einwilligung abgeben könnten (vgl. Gola/Schomerus, a.a.O., § 4a Rn. 2a). Gleiches gilt für die Frage, ob das „Doppeltürmodell" Anwendung findet. Denn mangels wirksamen Einwilligungsverfahren der WhatsApp Inc. können die ihr gegenüber erklärten Einwilligungen eine Erhebung durch die Antragstellerin nicht rechtfertigen.
Die von der Antragstellerin geplante Datenerhebung bzw. -speicherung ist auch nicht nach § 28 Abs. 1 Satz 1 Nr. 2 BDSG gerechtfertigt. Nach dieser Vorschrift ist das Erheben, Speichern, Verändern oder Übermitteln personenbezogener Daten oder ihre Nutzung als Mittel für die Erfüllung eigener Geschäftszwecke zulässig, soweit es zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung überwiegt. Diese Voraussetzungen liegen nicht vor.
Als berechtigtes Interesse kommt jedes von der Rechtsordnung gebilligte Interesse in Betracht (Gola/Schomerus, a.a.O., § 28 Rn. 24). Die Datenerhebung ist erforderlich, wenn bei vernünftiger Betrachtung das Angewiesensein auf das in Frage stehende Mittel zu bejahen und ein Verzicht auf die Daten nicht sinnvoll oder unzumutbar ist (Gola/Schomerus, a.a.O., § 28 Rn. 15 und 25). Dabei ist, wenn ein Vertragsverhältnis besteht, die Erforderlichkeit vor dem Hintergrund des Rechtsfertigungstatbestandes § 28 Abs. 1 Satz 1 Nr. 1 BDSG eng auszulegen, weil sich der Vertragspartner grundsätzlich darauf verlassen können soll, dass seine Daten nur für den Zweck verwendet werden, zu dem er sie gegeben hat (Gola/Schomerus, a.a.O., § 28 Rn. 9). Wann die Nutzung personenbezogener Daten für die Verfolgung eines berechtigten Interesses erforderlich im genannten Sinne ist, hängt auch davon ab, in welchem Maße die Interessen des Betroffenen Schutz verdienen; je mehr Schutz sie verdienen, desto eher kann dem Nutzenden eine alternative, wenn auch weniger effiziente Art der Verfolgung seines berechtigten Interesses ohne Nutzung der personenbezogenen Daten zugemutet werden (OLG Karlsruhe, Urt. v. 9.5.2012, 6 U 38/11, juris Rn. 24). Da die gesamte Datenverwendung aufgrund des Gesetzesvorbehalts in § 4 Abs. 1 BDSG grundsätzlich verboten ist, muss im Regelfall die verantwortliche Stelle (§ 3 Abs. 7 BDSG) die Zulässigkeit der Datenverarbeitung beweisen (VG Göttingen, Beschl. v. 12.10.2016, 1 B 171/16, juris Rn. 47). Eine Datenerhebung auf Vorrat ist unzulässig (Gola/Schomerus, a.a.O., § 3 Rn. 24).
Gemessen hieran kann sich die Antragstellerin nicht mit Erfolg auf § 28 Abs. 1 Satz 1 Nr. 2 BDSG berufen. Zwar dürfte es sich bei den Zwecken „Network/Security" und „Business Intelligence Analytics" sowie „Facebook Ads/Products" grundsätzlich um berechtigte Interessen handeln. Die Antragstellerin hat jedoch nicht substantiiert vorgetragen, dass die zu erhebenden Daten für diese Zwecke auch erforderlich sind.
Soweit die Antragstellerin zu dem Zweck „Network/Security" darlegt, durch die Daten sollen insbesondere Täter und mit schädlichen Verhaltensweisen in Verbindung stehende Accounts, die in einer der Apps der Facebook-Familie entdeckt werden, über alle Apps hinweg überprüft und ggf. deaktiviert werden, erschließt sich nicht, warum die zu erhebenden Daten für die beabsichtigten Maßnahmen nötig sein sollten. So sind die WhatsApp-Daten, die die Antragstellerin zu diesem Zweck erheben und speichern möchte, bis auf die Telefonnummern nur äußerst vage. Inwiefern sie eine Zuordnung erleichtern, bleibt bezüglich der Geräteinformationen, der „Zuletzt online"- Angaben sowie des WhatsApp-Account-Anmeldedatum unklar. Denkbar ist allein, dass ein Verstoß auf Facebook aufgrund der streitgegenständlichen Daten auch auf WhatsApp verfolgt werden soll, z.B., weil ein Facebook-User seine Mobilfunknummer bei seinem Facebook-Account angibt und er über diese Mobilfunknummer auch WhatsApp nutzt. Allerdings werden hierfür die Daten solcher WhatsApp Nutzer nicht benötigt, die nicht zugleich Facebook-Nutzer sind. Bezüglich dieser Nutzer mangelt es also bereits aus diesem Grund an der Erforderlichkeit.
Aber auch bezogen auf die anderen Nutzer fehlt es an der Erforderlichkeit. Die Antragstellerin hat nicht dargelegt, warum eine solche Datenerhebung bereits zum jetzigen Zeitpunkt unabhängig eines konkreten Verdachtes bezüglich der betroffenen WhatsApp- Nutzer erforderlich sein sollte. Unabhängig von der Frage, ob das geplante Vorgehen der Antragstellerin rechtmäßig ist, wäre es ihr jedenfalls zumutbar, anlassbezogen vorzugehen, d.h. erst nachdem ein WhatsApp-Nutzer einen entsprechenden Verstoß bei Face- book begangen hat, den Datenabgleich mit WhatsApp für diesen einzelnen Verstoß vorzunehmen.
Schließlich ist eine Datenerhebung auf Vorrat unzulässig. Die Antragstellerin meint insoweit zwar, sie plane keine Vorratsdatenspeicherung, sie beabsichtige die Erhebung nur in dem Umfang, in dem dies jeweils konkret notwendig sei. Dies widerspricht aber ihrer Darstellung, dass sie die Sicherheitsmaßnahmen, für die die Daten angeblich erforderlich seien, ohne die streitgegenständliche Anordnung in der ersten Hälfte 2017 eingeführt hätte.
Soweit die Antragstellerin bei einem potentiell beeinträchtigten Facebook-Account beabsichtigt, eine Bestätigungsnachricht via SMS an diesen WhatsApp-Account zu senden, um zu verifizieren, ob der Nutzer echt ist, kann ihr zugemutet werden, diese Verifikationsmöglichkeit den Facebook-Nutzern lediglich als Option anzubieten.
Zu dem Zweck „Business Intelligence Analytics" trägt die Antragstellerin vor, sie verfolge mit der Datenerhebung verschiedene Geschäftsinformations- und Analysefunktionen, z.B. die Deduplizierung von Nutzer-Accounts. Zudem sei die genaue Ermittlung der Anzahl der „Unique User" für die interne Produktentwicklung und Produktpriorisierung relevant und ein wichtiger Aspekt für die Berichterstattung der Antragstellerin gegenüber Investoren und Aufsichtsbehörde. Um diesen Zweck zu erreichen, könnte WhatsApp Telefonnummern und andere Nutzungsinformationen (z.B. die „Zuletzt online"- Angaben) an Face- book Inc. übermitteln. Durch die Auswertung der Daten könnten z.B. ermittelt werden, welcher Prozentsatz der Nutzer gleichzeitig bei WhatsApp und der Antragstellerin registriert ist. Dabei bleibt unklar, warum die streitgegenständlichen Daten hierzu benötigt werden. Denn die Telefonnummern der WhatsApp-Nutzer, die Geräteinformationen, die „Zuletzt online"- Angaben sowie des WhatsApp-Account-Anmeldedatum sind exklusive Daten der WhatsApp-Nutzer, sodass ein Abgleich mit den Facebook-Daten insoweit unzweckmäßig sein dürfte. Auch in diesem Bereich dürfte vor allem die Family Device ID nutzbringend sein.
Soweit die Antragstellerin bezüglich des Zwecks „Facebook Ads/Products" mit der Möglichkeit der Account- Wiederherstellung auf Facebook über eine Authentifizierung bei WhatsApp argumentiert, wären hierfür zunächst nur die Telefonnummern der Nutzer von WhatsApp erforderlich, die auch Facebook nutzen. Diese müssten entsprechend zugeordnet werden können, was schon schwierig sein dürfte (siehe oben). Zudem ist es der Antragstellerin zumutbar, diese Möglichkeit der Account- Wiederherstellung den Nutzern auf Facebook als Option anzubieten, sodass auch aus diesem Grund die Erforderlichkeit fehlt. Warum zielgenauere Freundesvorschläge durch die WhatsApp-Daten ermöglicht werden sollen, leuchtet nicht ein, zumal die Antragstellerin vorträgt ein Zugriff auf die Adressbücher der WhatsApp-Nutzer sei gerade nicht beabsichtigt. Der Nutzung der Daten zu Werbezwecken wie optimierten Werbeanzeigen und Anzeigenauswertungen steht überdies entgegen, dass gemäß § 28 Abs. 3 Satz 2 BDSG die Verarbeitung oder Nutzung personenbezogener Daten zu Werbezwecken nur zulässig ist, soweit es sich um listenmäßig oder sonst zusammengefasste Daten über Angehörige einer Personengruppe handelt, die sich auf die Zugehörigkeit des Betroffenen zu dieser Personengruppe, seine Berufs-, Branchen- oder Geschäftsbezeichnung, seinen Namen, Titel, akademischen Grad, seine Anschrift und sein Geburtsjahr beschränken. Dies ist vorliegend nicht der Fall. Zunächst handelt es sich nicht um eine listenmäßige Zusammenfassung von Daten. Dies setzt voraus, dass die Daten fortlaufend nach bestimmten Merkmalen in einer Datei bzw. auf einer Seite zusammengestellt sind (vgl. Wedde in: Däubler/Klebe/Wedde/Weichert, BDSG, 5. Auflage, § 28 Rn. 97). Dem ist vorliegend nicht so. Die Daten sollen vielmehr von jedem WhatsApp-Nutzer gesondert erhoben werden. Überdies beabsichtigt die Antragstellerin die Erhebung von Daten, die nicht unter die in § 28 Abs. 3 Satz 2 BDSG genannte Art der Daten fallen. So möchte sie die Telefonnummern der WhatsApp-Nutzer, bestimmte Geräteinformationen, die „Zuletzt online"- Angaben sowie das WhatsApp- Account-Anmeldedatum erheben.
Die Antragsgegnerin kann ihre Anordnung auch auf § 38 Abs. 5 Satz 1 BDSG stützen, weil es sich um eine Maßnahme zur Beseitigung eines Verstoßes im Sinne dieser Vorschrift und nicht um eine Untersagungsverfügung nach § 38 Abs. 5 Satz 2 BDSG handelt.
Der Wortlaut der Anordnung „untersagt" spricht zwar für eine Verfügung nach § 38 Abs. 5 Satz 2 BDSG. Einer solchen Untersagungsverfügung ist jedoch gemein, dass ein umfassendes Verbot des Datenverarbeitungsvorgangs erfolgt, z. B. die Untersagung der Nutzung eines ungesicherten Netzes (Gola/Schomerus, a.a.O., § 38 Rn. 26, Petri in: Simitis, a.a.O., § 38 Rn. 73). Hier wird jedoch der Datenverarbeitungsvorgang nicht als solcher untersagt. Vielmehr verlangt die Anordnung nur das Vorliegen zulässiger Einwilligungen der betroffenen Nutzer. Liegen diese vor, darf die Antragstellerin die Daten, wie von ihr geplant, erheben. Dass die Antragsgegnerin hierbei keinen konkreten Alternativvorschlag für ein zulässiges Einwilligungsverfahren unterbreitet, ist unschädlich. Bestehen nämlich für die Antragstellerin, wie hier, verschiedene Möglichkeiten zur Beseitigung der festgestellten Mängel, bleibt dieser die Entscheidung über die konkret zu ergreifenden Maßnahmen überlassen (Weichert in: Däubler/Klebe/Wedde/Weichert, BDSG, 5. Auflage, § 38 Rn. 31).
Aber selbst wenn, wie die Antragstellerin meint, die Anordnung als Maßnahme nach § 38 Abs. 5 Satz 2 BDSG zu qualifizieren wäre, dürfte sie rechtmäßig sein. Grundsätzlich ist nach § 38 Abs. 5 Satz 2 BDSG zwar zunächst ein Mängelbeseitigungsverfahren durchzuführen, d.h. es besteht ein Stufenverhältnis zwischen § 38 Abs. 5 Satz 1 BDSG und § 38 Abs. 5 Satz 2 BDSG (Weichert in: Däubler/Klebe/Wedde/Weichert, BDSG, 5. Auflage, § 38 Rn. 32a). Wenn aber ein Datenverarbeitungsverfahren in seiner Gesamtheit, etwa wegen Fehlens einer Rechtsgrundlage, rechtswidrig ist, darf eine Untersagung auch ohne vorherige Aufforderung zur Mängelbeseitigung erfolgen (VG Oldenburg, Urt. v. 12.3.2013, 1 A 3850/12, juris Rn. 20, Gola/Schomerus, a.a.O., § 38 Rn. 26, Petri in: Simitis, a.a.O., § 38 Rn. 72 f.). Dies ist hier der Fall. Eine Rechtsgrundlage für die geplante Datenerhebung ist nicht gegeben (siehe oben). Überdies ist nicht ersichtlich, wie eine andere als die ergangene Anordnung zum Erfolg hätte führen sollen, was eine Maßnahme nach § 38 Abs. 5 Satz 2 BDSG gleichfalls rechtfertigen würde (VG Göttingen, a.a.O., juris Rn. 51). Auch der nach § 38 Abs. 5 Satz 2 BDSG geforderte schwerwiegende Verstoß dürfte ob der Vielzahl der in ihrem Recht auf informationelle Selbstbestimmung betroffenen WhatsApp- Nutzer anzunehmen sein.
Die Anordnung der Antragsgegnerin erscheint auch nicht ermessensfehlerhaft. Sie ist geeignet und erforderlich, um datenschutzkonforme Zustände zu bewahren. Grundsätzlich ist die gesamte Datenverwendung aufgrund des Gesetzesvorbehalts in § 4 Abs. 1 BDSG verboten. Soweit die Antragstellerin meint, die Anordnung sei überschießend, weil sie auch zukünftige Datenerhebungen, die im Einzelfall erforderlich und zulässig sein könnten, erfasse, ist dem nicht zuzustimmen. Zwar ist richtig, dass der Wortlaut der Anordnung eine entsprechende Beschränkung nicht enthält, sondern für die Erhebung und Speicherung personenbezogener Daten deutscher WhatsApp-Nutzer durch die Antragstellerin generell eine Einwilligung verlangt. Aus der Begründung des Bescheids ergibt sich jedoch, dass die Antragsgegnerin nur die von der Antragstellerin bisher geplante Erhebung und Speicherung unabhängig von etwaigen Einzelfällen untersagt. Der Antragstellerin steht somit immer noch die Möglichkeit offen, die Zulässigkeit einer zukünftigen, konkreten Datenerhebung/-speicherung einzelfallbezogen nachzuweisen. Die Aufnahme einer allgemeinen Ausnahme für Fälle zulässiger Datenverarbeitungen würde überdies ihrerseits zu Problemen mit dem Bestimmtheitsgebot führen. Die Antragsgegnerin wäre im Ergebnis gezwungen, im Rahmen ihrer Anordnung festzulegen, wann die Erhebung personenbezogener Daten deutscher WhatsApp-Nutzer nach dem Bundesdatenschutzgesetz zulässig bzw. unzulässig wäre. Dies ist jedoch regelmäßig von den Umständen des Einzelfalls abhängig, sodass eine solche Festlegung im Voraus nicht erfolgen kann (vgl. zum Ganzen VG Göttingen, a.a.O., Rn. 53). Überdies vermochte die Antragstellerin bisher nicht nachzuweisen, dass die geplante Datenerhebung erforderlich ist.
Die Anordnung ist auch angemessen, d.h. die Zweck-Mittel-Relation gewahrt. Die An-tragsgegnerin hat das schutzwürdige Interesse der deutschen WhatsApp-Nutzer an dem Ausschluss der Nutzung ihrer personenbezogenen Daten zu Recht höher bewertet als das Interesse der Antragstellerin in datenschutzwidriger Weise diese Daten zu erheben oder zu speichern.
c) Die mangels einer möglichen Prognose der Erfolgsaussichten des Widerspruchs vorzu-nehmende Interessenabwägung führt zu einem Überwiegen der Interessen der WhatsApp-Nutzer gegenüber dem Aussetzungsinteresse der Antragstellerin.
Demgegenüber wiegen die Interessen der betroffenen WhatsApp-Nutzer, die in diesem Verfahren zu berücksichtigen sind (vgl. OVG Hamburg, Beschl. v. 29.6.2016, a.a.O., Rn. 24), deutlich schwerer. Die geplante Datenerhebung stellt einen Eingriff in das aus Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG abzuleitende Grundrecht auf informationelle Selbstbestimmung dar. Das Recht auf informationelle Selbstbestimmung trägt Gefährdungen und Verletzungen der Persönlichkeit Rechnung, die sich für den Einzelnen aus informationsbezogenen Maßnahmen ergeben (zuletzt: BVerfG, Beschl. v. 24.7.2015, 1 BvR 2501/13, juris Rn. 11 m.w.N.). Es gewährleistet die Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen (zuletzt: BVerfG, Beschl. v. 20.12.2016, 2 BvR 1541/15, juris Rn. 16 m.w.N.). Bereits in der Entscheidung aus dem Jahr 1983 stellte das Bundesverfassungsgericht fest, diese Befugnis bedürfe unter den künftigen Bedingungen der automatischen Datenverarbeitung in besonderem Maße des Schutzes (Urt. v. 15.12.1983, 1 BvR 209/83, juris Rn. 147). Diese Ausführungen sind heute aktueller denn je. Denn das gegenwärtige Zeitalter ist durch den umfassenden Einsatz des Internets geprägt. Der Gebrauch des Internets ermöglicht auf einfachste Art und Weise eine automatisierte und intransparente Datenerhebung und -weitergabe. Dies zeigt nicht zuletzt das streitgegenständliche Einwilligungsverfahren, in dem ein einfacher Klick auf das Feld „Zustimmen" zur Zulässigkeit einer komplexen Datenerhebung führen soll. Mit dem besonderen Schutz, den das Recht auf informationelle Selbstbestimmung bedarf, wäre es vor diesem Hintergrund nicht vereinbar, der Antragstellerin die Erhebung der Daten vorläufig zu ermöglichen. Von Gewicht ist hierbei einerseits, dass die Datenerhebung sensible personenbezogene Daten betrifft, die das Grundrecht in seinem Kernbereich höchstpersönlicher Lebensgestaltung betreffen. So lässt sich, z.B., aus der Telefonnummer und der „Zuletzt Online"- Angabe ohne weiteres ein Aktivitätsprofil des jeweiligen Nutzers erstellen. Zum anderen droht den Nutzern durch die vorläufige Erhebung ein irreparabler Nachteil. Denn würde sich im Nachhinein herausstellen, dass die Erhebung rechtswidrig war, könnte diese Verletzung nicht mehr rückgängig gemacht werden. Die Antragstellerin will die Daten in vielfältiger Weise verwenden, z.B. zur Identifizierung eines mit schädlichen Verhaltensweisen in Verbindung stehenden Accounts oder zur Unterbreitung zielgenauer Freundesvorschläge zum Zwecke der Verbindung auf Facebook. Darüber hinaus bestehen zahllose weitere Möglichkeiten für eine weitergehende Verarbeitung und Verknüpfung dieser Informationen und zur Nutzung zu einer Vielzahl von Zwecken. Die Verwendung der Daten wird im Nachhinein nicht im Einzelnen nachzuvollziehen sein, sodass auch eine rückstandslose Löschung der Daten bzw. der infolge ihrer Nutzung entstandenen Ergebnisse nur schwerlich möglich und im Nachhinein überprüfbar sein dürfte.
Zusätzlich zu der Qualität des einzelnen Verstoßes folgt aus der Quantität der Verstöße das Überwiegen des Aussetzungsinteresses. Denn die geplante Datenerhebung ist von gesellschaftlicher Relevanz. Insgesamt sind ca. 35 Millionen Nutzer betroffen. Angesichts dieser erheblichen Anzahl an Personen, die von der Datenerhebung betroffen sein wird, besteht die Gefahr, dass die vorläufige Erhebung zu einer Gesellschaftsordnung beiträgt, in der Bürger nicht mehr wissen, wer was wann und bei welcher Gelegenheit über sie weiß. Dies ist mit dem Recht auf informationelle Selbstbestimmung nicht zu vereinbaren (vgl. BVerfG, Urt. v. 15.12.1983, a.a.O., Rn. 148). Das gilt umso mehr, weil zahlreiche WhatsApp-Nutzer minderjährig sind - das Mindestalter zur Nutzung von WhatsApp beträgt 13 Jahre - und in besonderem Maße des Schutzes bedürfen. Aufgrund ihrer mangelnden Lebenserfahrung werden vielen Minderjährigen die Risiken der Speicherung und Verwendung ihrer personenbezogener Daten nicht bewusst sein.
Die Entscheidung über die Kosten des Verfahrens beruht auf § 155 Abs. 1 Satz 3 VwGO. Demnach können die Kosten einem Beteiligten ganz auferlegt werden, wenn der andere Beteiligte nur zu einem geringen Teil unterlegen ist. Hier obsiegt die Antragsgegnerin im ganz wesentlichen Teil, nämlich in Bezug auf Ziffer 1 der Anordnung, und unterliegt lediglich zu einem geringen Teil, nämlich hinsichtlich der Ziffern 2 und 3 der Anordnung. Der Teil des Unterliegens, d.h. die Löschungs- und Dokumentationsverpflichtung, ist als gering einzuschätzen, weil sie lediglich die Folgen des Verstoßes gegen die Anordnung aus Ziffer 1 darstellen.
- nach oben -