Hamburgisches Oberverwaltungsgericht, Beschluss vom 26.02.2018 – 5 Bs 93/17
Keine Verwendung personenbezogener Daten deutscher WhatsApp-Nutzer durch Facebook
Das OVG Hamburg hat entschieden, dass Facebook die personenbezogenen Daten deutscher WhatsApp-Nutzer vorerst nicht auf der Grundlage der bisher abgeforderten Einwilligung erheben und speichern darf.
Ende August 2016 hat WhatsApp Inc., die 2014 von der Facebook Unternehmensgruppe übernommen worden ist, eine Aktualisierung seiner Nutzungsbedingungen und Datenschutzrichtlinien bekannt gegeben, durch die eine – bis dahin nach den Nutzungsbedingungen nicht zugelassene – Weitergabe von personenbezogenen Daten an die Facebook Unternehmensgruppe vorgesehen ist. Mit sofort vollziehbarem Bescheid vom 23.09.2016 untersagte der Hamburgische Beauftragte für Datenschutz und Informationssicherheit (Datenschutzbeauftragte) der Facebook Ireland Ltd. (Facebook) – dem internationalen Hauptsitz der Facebook Unternehmensgruppe –, die personenbezogenen Daten deutscher WhatsApp-Nutzer zu erheben und zu speichern, soweit und solange ein den deutschen Datenschutzvorschriften entsprechende Einwilligung nicht vorliege (Ziffer 1). Zugleich ordnete der Datenschutzbeauftragte die Löschung von personenbezogenen Daten an, die ohne die notwendige Einwilligung erhoben worden sind, sowie die Dokumentation der Löschung (Ziffer 2 und 3). Gegen diese Verfügung legte Facebook Widerspruch ein und beantragte einstweiligen Rechtsschutz beim VG Hamburg.
Das VG Hamburg hatte entschieden, dass der Bescheid des Datenschutzbeauftragten der Freien und Hansestadt Hamburg, soweit er die angeordnete Löschung und deren Dokumentation betrifft, aufgrund eines formellen Fehlers nicht sofort vollziehbar ist; insoweit muss der Bescheid nicht befolgt werden. Es hatte den Eilantrag von Facebook gegen die sofort vollziehbare Untersagungsverfügung des Hamburgischen Beauftragten für Datenschutz und Informationssicherheit (Datenschutzbeauftragter) abgelehnt.
Das OVG Hamburg hat die vorausgegangene Entscheidung des VG Hamburg (13 E 5912/16) bestätigt.
Nach Auffassung des Oberverwaltungsgerichts ist offen, ob die beanstandete Untersagungsverfügung rechtmäßig ist. Offen sei insbesondere, ob deutsches Datenschutzrecht zur Anwendung gelange und – wenn ja – ob der Datenschutzbeauftragte gegen Facebook mit Sitz in Irland vorgehen dürfe. In diesem Fall erweise sich die beanstandete Untersagung allerdings nicht als offensichtlich rechtswidrig. Denn die seit August 2016 abgeforderte Zustimmung der WhatsApp-Nutzer zu den neuen Nutzungsbedingungen und Datenschutzrichtlinien entspreche voraussichtlich nicht den deutschen Datenschutzvorschriften. Die vor diesem Hintergrund vorzunehmende Interessenabwägung führe zu einem Überwiegen der Interessen deutscher WhatsApp-Nutzer am Schutz ihrer personenbezogenen Daten.
Quelle: Pressemitteilung des OVG Hamburg v. 01.03.2018
Nachfolgend der Wortlaut des Beschlusses:
Tenor
Die Beschwerde der Antragstellerin gegen den Beschluss des Verwaltungsgerichts Hamburg vom 24. April 2017 wird zurückgewiesen.
Die Antragstellerin trägt die Kosten des Beschwerdeverfahrens.
Der Streitwert wird für das Beschwerdeverfahren auf 2.500,- Euro festgesetzt.
Gründe
I.
Die Antragstellerin begehrt die aufschiebende Wirkung ihres Widerspruchs gegen eine
datenschutzrechtliche Anordnung der Antragsgegnerin vom 23. September 2016.
Die in Dublin/Irland ansässige Antragstellerin ist im Facebook-Konzern (Facebook Inc.,
USA) für die Verarbeitung personenbezogener Daten der Facebook-Nutzer in Europa
zuständig. Zu dem Facebook-Konzern gehört auch die Facebook Germany GmbH, die im Auftrag der Antragstellerin lokale Marktunterstützungsleistungen für Werbekunden in Deutschland erbringt.
Im Jahr 2014 übernahm Facebook Inc. die in den USA ansässige WhatsApp Inc., die innerhalb der Europäischen Union nicht über eine physische Präsenz verfügt. WhatsApp Inc. operiert aber weiterhin als eigenständiger Dienst unabhängig vom Netzwerk Facebook.
Am 25. August 2016 gab WhatsApp Inc. eine Aktualisierung seiner Nutzungsbedingungen und Datenschutzrichtlinien bekannt. Die Antragstellerin beabsichtigt, aufgrund dieser Aktualisierung bestimmte WhatsApp-Daten für bestimmte Zwecke („Network/Security“, „Business Intelligence Analytik“ und „Facebook Ads/Product“) zu erheben. Die WhatsAppNutzer wurden beim Aufruf von WhatsApp über die Aktualisierungen informiert und um Zustimmung gebeten. Dabei bestand auch die Möglichkeit für Bestandskunden die Entscheidung über die Zustimmung bis zu 30 Tagen zurückzustellen, nach Ablauf der 30 Tage musste der Nutzer sich aber entscheiden, ob er den aktualisierten WhatsAppBedingungen zustimmen oder den Dienst nicht weiter nutzen wollte. In der „Datenschutzrichtlinie“ heißt es u.a.:
„Wir gehören seit 2014 zur Facebook-Unternehmensgruppe [Hyperlink]. Als
Teil der Facebook-Unternehmensgruppe erhält WhatsApp Informationen von
den Unternehmen dieser Unternehmensgruppe und teilt Informationen mit
ihnen. Wir können mithilfe der von ihnen erhaltenen Informationen und sie
können mithilfe der Informationen, die wir mit ihnen teilen, unsere Dienste sowie
ihre Angebote betreiben, bereitstellen, verbessern, verstehen, individualisieren,
unterstützen und vermarkten. Dazu gehört auch die Unterstützung bei
der Verbesserung von Infrastruktur und Zustellsystemen, des Verstehens der
Art der Nutzung unserer bzw. ihrer Dienste, der Absicherung der Systeme und
der Bekämpfung von Spam, Missbrauch bzw. Verletzungshandlungen. Facebook
und die anderen Unternehmen in der Facebook-Unternehmensgruppe
können Informationen von uns auch verwenden, um deine Erlebnisse in ihren
Diensten, wie Vorschläge zu unterbreiten (beispielsweise Freunde oder Verbindungen
oder interessante Inhalte) und um relevante Angebote und Werbeanzeigen
zu zeigen. Deine WhatsApp-Nachrichten werden nicht für andere
sichtbar auf Facebook geteilt. Tatsächlich wird Facebook deine WhatsAppNachrichten
nicht für irgendeinen anderen Zweck nutzen, als uns beim Betreiben
und bei der Bereitstellung unserer Dienste zu unterstützen“.
Aus Anlass der geänderten Nutzungsbedingungen bat die Antragsgegnerin die Antragstellerin am 1. September 2016 um die Beantwortung verschiedener Fragen zu Art und Umfang des geplanten Datenaustausches. Die Antragstellerin reagierte auf diese Anfrage durch Übersendung eines Informationsdokuments für die irische Datenschutzbehörde, in dem Einzelheiten über das Update dargestellt wurden („WhatsApp Terms of Service and Privacy Policy Update: Briefing Document for die Office of the Irish Data Protection Commissioner“; im Folgenden: „Briefing Document“).
Unter Ziffer 10 heißt es in dem „Briefing Document“ auf die Frage „auf welcher gesetzlichen Grundlage können WhatsApp und Facebook Daten austauschen und verwenden?“ (Zitat aus der von der Antragsgegnerin vorgelegten Übersetzung des Originals):
„WhatsApp hat klare, ausdrückliche und informierte Zustimmungen der Nutzer zu
den aktualisierten WhatsApp-Nutzungsbedingungen und der aktualisierten Datenschutzrichtlinie, die ausdrücklich diesen Datenaustausch vorsehen, eingeholt. Was die Weitergabe von Daten durch Facebook an WhatsApp und den Erhalt der Daten von WhatsApp anbelangt, haben Facebook-Nutzer bereits früher durch Einwilligung in die Facebook Datenschutzrichtlinie ihre Zustimmung erteilt, welche in den maßgeblichen Abschnitten folgendes vorsieht …“
Unter Ziffer 12 heißt es u.a (Zitat aus der von der Antragsgegnerin vorgelegten Übersetzung des Originals):
„Nachdem eine Person den Nutzungsbedingungen und Datenschutzrichtlinien von
WhatsApp ausdrücklich zugestimmt hat, werden die Daten, die WhatsApp mit Facebook teilt, unter Einhaltung der Vorgaben der WhatsApp-Datenschutzrichtlinie
und der Datenschutzrichtlinie von Facebook verwendet. Wenn sich Nutzer allerdings gegen die Verwendung der WhatsApp-Daten durch Facebook für Facebook-Werbung und –Produkterlebnisse entscheiden, wird die Nutzung dieser Daten durch Facebook begrenzt und ist für eigene Produkte oder zu Werbezwecken
ausgeschlossen, wie nachstehend eingehender erläutert wird.
Wie in der Datenschutzrichtlinie erläutert wird, tauschen WhatsApp und Facebook
Daten dazu aus, um das Betreiben, Bereitstellen, Verbessern, Verstehen, Individualisieren, Unterstützen und Vermarkten der Dienste von WhatsApp sowie der Facebook-Unternehmensfamilie zu fördern; dazu zählen auch:
- Ermittlung wie die Dienste von WhatsApp oder der Facebook-Unternehmensfamilie genutzt werden, insbesondere durch die Deduplizierung und Bestimmung der Anzahl der „Unique User“ innerhalb der verschiedenen Dienste,
- Sicherung der Systeme, Bekämpfung von Spam, Missbrauch oder Verstößen und
- Verbesserung von Benutzererlebnissen, zum Beispiel durch die Unterbreitung von Produktvorschlägen (zum Beispiel von Freunden oder Verbindungen) und Anzeige von Angeboten und Werbung auf der Grundlage einer vom werbenden bereitgestellten Identifikationsliste.
Dementsprechend wird Facebook die von WhatsApp bereitgestellten Informationen
zum Zweck der Verbesserung interner Analysen, von Berichterstattungen, Sicherheitskonzepten und Kundenerlebnissen in Bezug auf die Produkte und Dienste verwenden.“
Mit Datum vom 23. September 2016 erließ die Antragsgegnerin eine Anordnung, mit der der Antragstellerin u.a. unter Ziffer 1 untersagt wird, die personenbezogenen Daten deutscher WhatsApp-Nutzer zu erheben und zu speichern, soweit und solange eine gegenüber der Antragstellerin durch den jeweiligen Betroffenen erteilte und den Anforderungen des § 4a BDSG entsprechende Einwilligung nicht vorliegt. Die Antragsgegnerin ordnete die sofortige Vollziehung dieser Anordnung an.
Die Antragstellerin legte am 27. September 2016 Widerspruch ein und stellte am 19. Oktober 2016 einen Antrag auf Wiederherstellung der aufschiebenden Wirkung ihres Widerspruchs. Das Verwaltungsgericht Hamburg hat mit Beschluss vom 24. April 2017 die Anordnung der sofortigen Vollziehung der Ziffer 2 und 3 der Anordnung der Antragsgegnerin – die im Beschwerdeverfahren nicht streitgegenständlich sind – aufgehoben und im Übrigen den Antrag abgelehnt.
Mit der vorliegenden Beschwerde verfolgt die Antragstellerin ihr Begehren weiter.
II.
Die zulässige Beschwerde (1) hat in der Sache keinen Erfolg (2.).
1. Die Beschwerde der Antragstellerin gegen die Entscheidung des Verwaltungsgerichts
Hamburg vom 24. April 2017 ist entgegen der Auffassung der Antragsgegnerin zulässig.
Mit der Beschwerdebegründung genügt die Antragstellerin dem Erfordernis des § 146
Abs. 4 VwGO (a); auch ein Rechtsschutzbedürfnis für die vorliegende Beschwerde ist
gegeben (b).
a) Das Beschwerdegericht teilt nicht die Auffassung der Antragsgegnerin, dass die vorliegende Beschwerde bereits unzulässig sei, weil sich die Beschwerdebegründung nicht auf die angefochtene verwaltungsgerichtliche Entscheidung beziehe, sondern einen anderen, neuen Streitgegenstand betreffe, der nicht Gegenstand des erstinstanzlichen Verfahrens gewesen sei; insoweit liege ein Verstoß gegen die Voraussetzungen des § 146 Abs. 4 VwGO vor. Der Streitgegenstand im erstinstanzlichen als auch im zweitinstanzlichen Verfahren sind insoweit identisch als die Antragstellerin die Wiederherstellung der aufschiebenden Wirkung ihres Widerspruchs gegen Ziffer 1 der mit Widerspruch angefochtenen Anordnung der Antragsgegnerin vom 23. September 2016 begehrt. Zwar streiten die Beteiligten über die Auslegung der Verfügung der Antragsgegnerin, der Streitgegenstand wird dadurch aber nicht verändert, weil sich weder der prozessuale Anspruch noch der Lebenssachverhalt geändert haben. Soweit sich die Antragsgegnerin auf die Entscheidung des Schleswig-Holsteinischen Oberverwaltungsgerichts vom 18. Dezember 2015 (1 MB 27/15, juris) bezieht, so ist dieser Bezugsfall nicht mit der vorliegenden Konstellation
vergleichbar. Die Entscheidung des Schleswig-Holsteinischen Oberverwaltungsgerichts
betraf eine Beschwerde eines Beigeladenen in einem baunachbarrechtlichen Streit,
die sich in der Begründung ausschließlich auf eine durch eine Nachtragsgenehmigung
maßgeblich veränderte Baugenehmigung bezog, während Gegenstand der erstinstanzlichen Entscheidung allein die Baugenehmigung in ihrer ursprünglichen Fassung gewesen war. Für eine solche Konstellation hat das Schleswig-Holsteinische Oberverwaltungsgericht entschieden, dass die Beschwerdebegründung nicht die von § 146 Abs. 4 Satz 3 VwGO aufgestellten Anforderungen erfülle, weil sie sich nicht auf einen Anspruch bzw. Lebenssachverhalt beziehe, über den das Verwaltungsgericht entschieden bzw. den es der Entscheidung zu Grunde gelegt habe. Im vorliegenden Verfahren setzt sich die Beschwerdebegründung der Antragstellerin jedoch mit dem Anspruch bzw. Lebenssachverhalt auseinander, der auch der erstinstanzlichen Entscheidung zu Grunde lag.
b) Die Beschwerde ist auch nicht mangels Vorliegens eines Rechtsschutzbedürfnisses
unzulässig und damit zu verwerfen. Soweit die Antragsgegnerin geltend macht, ein Erfolg der Beschwerde könne die Rechtsstellung der Antragstellerin nicht verbessern, weil die von der Antragstellerin geforderte Änderung der Entscheidung im Hinblick auf die geltend gemachte fehlerhafte Würdigung des Sachverhalts keine rechtlich positive Änderung herbeiführen könne, teilt das Beschwerdegericht diese Auffassung nicht.
Ein Rechtsschutzinteresse fehlt grundsätzlich nur dann, wenn das Rechtsmittel für den
Rechtsmittelführer offensichtlich keinerlei rechtliche oder tatsächliche Vorteile bringen
kann (vgl. BVerwG, Urt. v. 29.4.2004, 3 C 25/03, BVerwGE 121,1, juris Rn. 19). Dies ist
zunächst hier insoweit nicht der Fall, als bei einem Erfolg der Beschwerde der Antragstellerin sie zunächst die Ziffer 1 der Anordnung der Antragsgegnerin nicht befolgen müsste.
Das Rechtsschutzinteresse ist auch nicht durch den Vortrag der Antragstellerin im Beschwerdeverfahren entfallen, nach dem sie eine Datenerhebung allein aufgrund der von den WhatsApp-Nutzern abgeforderten Zustimmung nicht beabsichtige, sondern dies ausschließlich in Einzelfällen zweckgebunden plane. Bei einem Erfolg der Beschwerde hätte die Antragstellerin zumindest den Vorteil, (vorläufig) bestimmte Daten der WhatsApp-Nutzer allein aufgrund der Zustimmung nutzen zu können, ohne dies im Einzelfall – möglicherweise bei Zweifeln an der datenschutzrechtlichen Zulässigkeit der Erhebung bestimmter Daten zu einem von ihr beabsichtigten konkreten Zweck – rechtfertigen zu müssen.
2. Die zulässige Beschwerde hat aber in der Sache keinen Erfolg. Es kann offen bleiben,
ob die Antragstellerin mit den in ihrer Beschwerdebegründung dargelegten Gründen
(§ 146 Abs. 4 Satz 3 und 6 VwGO) die tragenden Erwägungen der angefochtenen Entscheidung des Verwaltungsgerichts Hamburg vom 24. April 2017 ernsthaft in Zweifel gezogen hat. Zugunsten der Antragstellerin geht das Beschwerdegericht hiervon aus. Die hiernach grundsätzlich zulässige vollständige Überprüfung der Sach- und Rechtslage durch das Beschwerdegericht führt im Ergebnis indes zu keiner Änderung der verwaltungsgerichtlichen Entscheidung. Das Verwaltungsgericht hat es zu Recht abgelehnt, die aufschiebende Wirkung des Widerspruchs der Antragstellerin gegen die – im Beschwerdeverfahren allein noch streitgegenständliche – Ziffer 1 der Anordnung der Antragsgegnerin vom 23. September 2016 verfügten Untersagung, die personenbezogenen Daten deutscher WhatsApp-Nutzer zu erheben und zu speichern, soweit und solange eine gegenüber der Antragstellerin durch den jeweiligen Betroffenen erteilte und den Anforderungen des § 4a BDSG entsprechende Einwilligung nicht vorliegt, wiederherzustellen.
Das Beschwerdegericht hat keine Bedenken an der formellen Rechtmäßigkeit der Anordnung der sofortigen Vollziehung (a). Die Erfolgsaussichten des zulässigen Widerspruchs der Antragstellerin sieht das Beschwerdegericht als offen an (b). Bei der danach gebotenen Abwägung der beteiligten Interessen überwiegt das öffentliche Interesse an der sofortigen Vollziehung der Anordnung der Antragsgegnerin das Interesse der Antragstellerin (c).
a) Bedenken an den formellen Voraussetzungen der Anordnung der sofortigen Vollziehung hinsichtlich Ziffer 1 des Bescheides der Antragsgegnerin vom 23. September 2016 bestehen nicht. Dem Begründungserfordernis des § 80 Abs. 3 Satz 1 VwGO ist hinreichend Rechnung getragen. Zweifel an dem Vorliegen der Voraussetzungen des § 80 Abs. 3 Satz 1 VwGO werden von der Antragstellerin im Beschwerdeverfahren auch nicht erhoben.
b) Das Beschwerdegericht sieht die Erfolgsaussichten des zulässigen Widerspruchs der
Antragstellerin als offen an. Dies gilt im Hinblick darauf, ob deutsches Datenschutzrecht
anwendbar ist (aa) und ob – dies unterstellt – der Antragsgegnerin eine Eingriffsbefugnis gegenüber der Antragstellerin zusteht (bb). Weiterhin gilt dies für die Prüfung der formellen (cc) und materiellen (dd) Rechtmäßigkeitsvoraussetzungen der streitigen Anordnung.
Das Beschwerdegericht geht bei seiner rechtlichen Bewertung davon aus, dass Ziffer 1
des Tenors der Anordnung vom 23. September 2016 dahingehend zu verstehen ist, dass
der Antragstellerin untersagt wird, die personenbezogenen Daten der WhatsApp-Nutzer
mit deutscher Telefonnummer (allein) gestützt auf die im Rahmen des Updates vom
25. August 2016 von Alt- oder Neukunden erteilte Einwilligung zu erheben und zu speichern (so wohl auch das Verständnis des VG Hamburg in dem hier angefochtenen Beschluss, S. 35/36 BA). Dieses Verständnis beruht auf einer gebotenen Auslegung des
Verwaltungsaktes:
Die Anforderungen an die Auslegung öffentlich-rechtlicher Willenserklärungen, zu denen auch Verwaltungsakte zählen, sind in der höchstrichterlichen Rechtsprechung geklärt.
Danach sind solche Erklärungen in entsprechender Anwendung des § 133 BGB nach
ihrem objektiven Erklärungswert unter Berücksichtigung der Begleitumstände auszulegen; abzustellen ist auf den erklärten Willen, wie ihn der Adressat von seinem Standpunkt aus bei verständiger Würdigung verstehen konnte (st. Rspr., vgl. BVerwG, Beschl. v. 29.1.2016, 8 B 6.16, juris Rn. 9 m.w.N.; Stelkens in: Stelkens/Bonk/Sachs, VwVfG, 9. Aufl. 2018, § 35 Rn. 76f. m.w.N.; Windoffer in: Mann/Sennekamp/Uechtritz, VwVfG, 1. Aufl. 2014, § 35 Rn. 9 m.w.N.) Zwar ist der Antragstellerin – was sie ausführlich im Beschwerdeverfahren dargelegt hat – zuzugestehen, dass der Wortlaut der Anordnung bei isolierter Betrachtung eine weite Auslegung dahingehend zulassen dürfte, dass jedwede Erhebung oder Speicherung von Daten ohne eine den datenschutzrechtlichen Anforderungen nach § 4a BDSG entsprechende Einwilligung untersagt wird. Der Wortlaut einer Regelung durch Verwaltungsakt ist aber (zunächst „lediglich“) der Ausgangspunkt der Auslegung. Insbesondere ist eine Auslegung nicht entbehrlich, wenn der Wortlaut bei isolierter Betrachtung „eindeutig“ erscheint. Vielmehr ist aus Sicht des objektiven Empfängerhorizonts Regelungsinhalt und Regelungsumfang eines Verwaltungsaktes vom Wortlaut des verfügenden Teils unter Zuhilfenahme der Begründung auszugehen und dabei auf den Willen der Behörde abzustellen, soweit dieser im Bescheid greifbar seinen Niederschlag gefunden hat; dabei können auch die Umstände vor und beim Ergehen der behördlichen Maßnahme für die Auslegung erheblich sein (Stelkens in: Stelkens/Bonk/Sachs, VwVfG, 9. Aufl. 2018, § 35 Rn. 76 f. m.w.N.). Überdies können Indizien für die Auslegung herangezogen werden, etwa inwieweit die Behörde verpflichtet oder befugt war, den Sachverhalt zu prüfen und eine Entscheidung zu treffen (Stelkens, a.a.O. Rn. 77a); gleichermaßen kann für die Auslegung maßgeblich sein, welche Interessen die Behörde erkennbar mit dem Erlass des Verwaltungsaktes verfolgt (vgl. Stelkens, a.a.O. Rn. 77b).
Nach diesen Auslegungsgrundsätzen lässt sich aus Tenor und Gründen der Anordnung
vom 23. September 2016 hinreichend deutlich der erklärte Wille der Antragsgegnerin, wie ihn ein Empfänger bei objektiver Würdigung unter Berücksichtigung aller ihm erkennbarer Umstände und nach dem Grundsatz von Treu und Glauben verstehen konnte, herleiten, gegen den mit dem Update vom 25. August 2016 angekündigten Datenaustausch zwischen der Antragstellerin und WhatsApp (allein) aufgrund der abgefragten Einwilligungserklärung der Nutzer einzuschreiten. Hinweise darauf, dass die Antragsgegnerin der Antragstellerin überdies unabhängig von den angekündigten Änderungen durch das Update untersagen wollte, jeglichen Datenaustausch – selbst wenn dieser nach einer gesetzlichen Grundlage erlaubt sein sollte – (zusätzlich) von einer wirksamen Einwilligung nach § 4a BDSG abhängig zu machen, finden sich in dem objektiven Erklärungswert aus Sicht des Empfängerhorizontes weder in der Anordnung noch sind solche aus den Begleitumständen ersichtlich. Dieses Verständnis dürfte sich bereits aus der Darstellung des Sachverhalts in den Gründen der Anordnung ergeben. Dort heißt es u.a.:
„Aufgrund entsprechender Pressemitteilungen über die Änderung der Nutzungs- und Geschäftsbedingungen des Betreibers des Kurznachrichtendienstes
WhatsApp vom 25. August 2016 wurde uns bekannt, dass Daten der Nutzer dieses Dienstes an Facebook übermittelt werden sollen. Daraufhin hat der HmbBfDI
ein Prüfverfahren eingeleitet und mit E-Mail vom 01. September 2016 um die Erteilung von Auskunft zu einer Reihe von Fragen bis zum 20. September 2016 gebeten. Gegenstand der Fragen waren unter anderem, welche Daten der WhatsAppNutzer von der Facebook Ireland Ltd. erhoben und gespeichert werden und auf welcher Rechtsgrundlage dies erfolgt.
Mit E-Mail vom 20. September 2016 hat die Facebook Ireland Ltd. ein Dokument
mit dem Titel „WhatsApp Terms auf Service and Privacy Policy Update: Briefing
Document for the Office of the Irish Data Protection Commissioner“ zugesandt,
um die gestellten Fragen zu beantworten.“
Aus dieser Sachverhaltsdarstellung geht aus Sicht des objektiven Empfängerhorizonts
deutlich hervor, dass allein das Update vom 25. August 2016 Anlass für die Antragsgegnerin war, ein Prüfverfahren einzuleiten – bereits im Wortlaut der E-mail vom 1. September 2016 kommt dies zum Ausdruck: „Aus diesem Anlass bitten wir …“. Im weiteren Verlauf der Darstellung des Sachverhalts wird u.a. die Frage 10 hervorgehoben, in der die Antragsgegnerin nach der Rechtsgrundlage für die Übermittlung der Daten der WhatsApp-Kunden gefragt hatte und die Antwort der Antragstellerin, die diese in dem von ihr übermittelten „Briefing Document“ dargestellt hatte, zitiert. In dieser Antwort nahm die Antragstellerin Bezug auf die von den Nutzern erteilte Zustimmung, die ausdrücklich einen Datenaustausch erlaube. Aus der Darstellung der Begleitumstände des Einleitens des Prüfverfahrens geht somit hervor, dass das Tätigwerden der Antragsgegnerin im September 2016 anlassbezogen war und nicht die Prüfung eines einzelfallbezogenen, einen konkreten Zweck verfolgenden Datenaustausch zum Gegenstand haben sollte. Daher schränkt die streitige Anordnung – entgegen der Auffassung der Antragstellerin im Beschwerdeverfahren – auch nicht in unzulässiger Weise die in § 28 BDSG bzw. Art. 7 RL95/46/EG gesetzlich und unionsrechtlich geregelten Rechtfertigungsgründe ein.
Zwar wurden in Ziffer 12 des „Briefing Document“ verschiedene Zwecke des Datenaustauschs von der Antragstellerin beispielhaft benannt („dazu zählen auch:“…), aber daraus geht nicht hervor, dass durch das Update vom August 2016 ein Datenaustausch nur im Einzelfall für einen bestimmten Zweck, wenn ein solcher von der Antragstellerin angenommen werden sollte, erfolgen sollte. Vielmehr heißt es ausdrücklich, dass nach der Zustimmung des WhatsApp-Nutzers die Daten unter Einhaltung der Vorgaben der WhatsApp-Datenschutzrichtlinie und der Datenschutzrichtlinie von Facebook verwendet werden. Dies konnte nur so verstanden werden, dass aus Sicht der Antragstellerin (allein) die Zustimmung der WhatsApp-Kunden eine Datenerhebung bzw. einen Datenaustausch ermöglichen sollte. Im Übrigen dürfte die beispielhafte Aufzählung verschiedener Zwecke, denen die Datenverarbeitung – möglicherweise im Einzelfall – dienen könnten, datenschutzrechtlich unzulässig sein. Gemäß § 28 Abs. 1 Satz 2 BDSG sind bei der Erhebung personenbezogener Daten die Zwecke, für die die Daten verarbeitet oder genutzt werden sollen, konkret und bestimmt festzulegen. Mit dieser Vorschrift stellt das Gesetz klar, dass es verantwortlichen Stellen untersagt ist, Angaben für nicht näher definierte spätere Nutzungsmöglichkeiten
in eine beliebig verwendbare Datensammlung einzubringen; ein exakt umschriebener Zweck ist vielmehr verbindliche Voraussetzung jeder Erhebung; legitimiert den Zweck und legt den Bearbeitungsspielraum fest (vgl. Wedde in: Däubler/Klebe/Wedde /Weichert, BDSG, 5. Aufl. 2016, § 28, Rn. 62ff.; Simitis in: Simitis, BDSG,
8. Aufl. 2014, § 28 Rn. 38; Gola/Schomerus, BDSG, 11. Aufl. 2012, § 28 Rn. 35). Dabei
kommt es nicht entscheidend darauf an, dass die Antragstellerin vorträgt, sie wolle die
Daten der WhatsApp-Nutzer nicht „auf einen Schlag“ erheben und auf eigenen Servern
speichern, um diese dann in verschiedenen Konstellationen zu nutzen. Entscheidend ist,
dass eine wirksame datenschutzrechtliche Einwilligung der Betroffenen der Antragstellerin die Möglichkeit eröffnen würde, jederzeit und ohne einen konkreten Anlass im Einzelfall festlegen zu müssen, Daten der WhatsApp-Nutzer zu nutzen und die Antragsgegnerin aufgrund der vorhandenen Informationen und den Begleitumständen des Updates vom 25. August 2016 davon ausgehen konnte, dass dies auch beabsichtigt war.
Die so verstandene Ziffer 1 der Anordnung vom 23. September 2016 dürfte nicht offensichtlich rechtswidrig sein:
aa) Es ist offen und in der Rechtsprechung bisher nicht geklärt, ob die datenschutzrechtlichen Anforderungen an die vorgesehene Datennutzung der WhatsApp-Nutzer durch die Antragstellerin nach deutschem und/oder irischem Datenschutzrecht zu beurteilen sind.
Soweit die Antragstellerin sich in ihrer Beschwerdebegründung darauf beruft, dass gemäß Art. 4 Abs. 1 lit. a Richtlinie 95/46/EG und den grundlegenden Zielsetzungen dieser Richtlinie nach der Rechtsprechung des Europäischen Gerichtshofs allein irisches Datenschutzrecht anwendbar sei, folgt dem der Senat nicht. Die Antragstellerin trägt insoweit vor, dass nach der Rechtsprechung des Europäischen Gerichtshofs geklärt sei, dass in Fällen, in denen der für die Datenverarbeitung Verantwortliche Niederlassungen in mehreren EU-Mitgliedstaaten habe, das Recht des Mitgliedstaates anwendbar sei, in dem die Hauptniederlassung liege, deren Tätigkeit am engsten mit der relevanten Datenverarbeitung verbunden sei. Nach diesen unionsrechtlichen Vorgaben sei sie, die Antragstellerin mit Sitz in Irland, die Niederlassung mit der engsten Verbindung zur relevanten Datenverarbeitung mit der Folge, dass die Datenverarbeitung allein irischem Datenschutzrecht unterfalle.
Diese Auffassung teilt der Senat nicht. Zur Frage der Zuständigkeitsverteilung hat der Senat in seinem Beschluss vom 29. Juni 2016 (5 Bs 40/16, juris) ausgeführt:
„ … ist die Zuständigkeitsverteilung zwischen den Datenschutzkontrollbehörden in
Fällen, in denen ein Mutterkonzern (hier: Facebook Inc., USA) im Unionsgebiet
mehrere Niederlassungen unterhält, die aber unterschiedliche Aufgaben haben,
nicht geklärt. In seiner Entscheidung in Sachen Google Spain und Google (Urt. v.
13.5.2014, C-131/12, ECLI:EU:C:2014:317, NVwZ 2014, 857) hat der Gerichtshof
der Europäischen Union Art. 4 Abs. 1 lit. a RL 95/46/EG dahin ausgelegt, dass im
Sinne dieser Bestimmung eine Verarbeitung personenbezogener Daten im Rahmen
der Tätigkeiten einer Niederlassung ausgeführt wird, die der für die Verarbeitung
Verantwortliche im Hoheitsgebiet eines Mitgliedstaates besitzt, wenn der die
Verarbeitung Durchführende in einem Mitgliedstaat für die Förderung des Verkaufs
der Werbeflächen für sein Datenverarbeitungsangebot und diesen Verkauf selbst
eine Zweigniederlassung oder Tochtergesellschaft gründet, deren Tätigkeit auf die
Einwohner dieses Staates ausgerichtet ist. Weiterhin klärungsbedürftig ist aber, ob
diese Anknüpfung an eine (allein) für Marketing und Vertrieb zuständige Niederlassung in einem Mitgliedstaat (hier: Deutschland) für die Anwendbarkeit der Datenschutzrichtlinie und die Zuständigkeit der Kontrollbehörde auch auf eine Konstellation übertragbar ist, bei der eine in einem anderen Mitgliedstaat (hier: Irland) niedergelassenen Tochtergesellschaft nach der konzerninternen Aufgaben- und Verantwortungsteilung auch im Außenverhältnis als im gesamten Unionsgebiet „für die Verarbeitung Verantwortlicher“ auftritt. Insoweit keine Klärung bewirkt nach Auffassung des Bundesverwaltungsgerichts (vgl. BVerwG, Vorabentscheidungsersuchen v. 25.2.2016, 1 C 28/14, ECLI:DE: BVerwG: 2016:250216¬B1C28.14.0, K&R 2016, 437, juris Rn. 40), der sich der Senat anschließt, die Entscheidung des Gerichtshofs der Europäischen Union in Sachen Weltimmo (Urt. v. 1.10.2015, C230/14, ECLI:EU:C:2015:639, NJW 2015, 3636). Dort war nicht die Konstellation zweier rechtlich selbständiger Tochtergesellschaften, denen konzernintern unterschiedliche sachliche und regionale Aufgaben zugewiesen waren, einer außerhalb des Unionsgebiets ansässigen Muttergesellschaft zu beurteilen (vgl. BVerwG a.a.O.).“
Das Beschwerdegericht sieht keine Veranlassung, von dieser Einschätzung abzurücken.
Soweit die Antragstellerin mit ihrer Beschwerdebegründung darauf hinweist, dass zu erwarten sei, dass der Europäische Gerichtshof einige der für den vorliegenden Fall relevanten Fragen des anwendbaren Rechts und der internationalen Zuständigkeit in der Rechtssache Wirtschaftsakademie Schleswig-Holstein (Rechtssache C-210/16) klären werde, ist dem entgegenzuhalten, dass eine Entscheidung des Europäischen Gerichtshof aussteht. Soweit die Äußerungen des Generalanwalts in seinen Schlussanträgen vom 24. Oktober 2017 in dieser Rechtssache (ECLI:EU:C:2017:796, Kurztext in juris) für die Anwendbarkeit deutschen Datenschutzrechts sprechen, worauf die Antragsgegnerin in ihrem Schriftsatz vom 4. Dezember 2017 hinweist, führt auch dies nicht zu einer Klärung der Rechtsfrage, weil offen ist, ob der Europäische Gerichtshof den Schlussanträgen des Generalsanwalts folgen wird.
bb) Offen dürfte weiterhin sein, ob – bei Anwendung deutschen Datenschutzrechts – der
Antragsgegnerin eine korrespondierende Eingriffsbefugnis gegenüber der Antragstellerin zusteht. Das Beschwerdegericht hatte bereits in seinem Beschluss vom 29. Juni 2016 (5 Bs 40/16, juris) darauf hingewiesen, dass das Bundesverwaltungsgericht in seinem Vorabentscheidungsersuchen an den Europäischen Gerichtshof vom 25. Februar 2016 (1 C 28/14, ECLI:DE:BVerwG:2016:250216B1C28.14.0, K&R 2016, 437, juris) für das
Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein nur eine datenschutzrechtliche Anordnung gegenüber der Facebook Germany GmbH, nicht aber gegenüber der Antragstellerin – der Beigeladenen im dortigen Verfahren – in Betracht ziehen dürfte (BVerwG a.a.O., juris Rn. 42):
„Aus Art. 28 Abs. 1 und 3 RL 95/46/EG ergibt sich, dass jede Kontrollstelle
sämtliche Befugnisse ausübt, die ihr im Hoheitsgebiet ihres Mitgliedstaates
übertragen wurden, um in diesem Hoheitsgebiet die Einhaltung der Datenschutzvorschriften sicherzustellen; eine Kontrollstelle darf keine Sanktionen
außerhalb des Hoheitsgebiets ihres Mitgliedstaates verhängen und auch sonst
nicht hoheitliche Maßnahmen jenseits ihrer territorialen Zuständigkeit ergreifen.
Gegenstand des Ausgangsverfahrens ist indes eine Anordnung gegenüber
einer im eigenen Hoheitsgebiet gelegenen Stelle, bei der die Rechtmäßigkeit der Datenverarbeitung durch die Beigeladene nur eine Vorfrage bildet. Ein hoheitliches Vorgehen gegen die Beigeladene ist hiermit gerade nicht verbunden.“
Der Europäische Gerichtshof hat bisher über das Vorabentscheidungsersuchen nicht entschieden, so dass die aufgeworfene Frage unionsrechtlich nicht geklärt ist. Auch hier – wie bereits unter aa) erwähnt – gilt, dass die Schlussanträge des Generalanwalts vom 24. Oktober 2017 (ECLI:EU:C:2017:796, Kurztext in juris) keine Klärung herbeiführen können, weil nicht absehbar ist, ob der Europäische Gerichtshof seinen Ausführungen folgen wird.
cc) Bei der im Verfahren des vorläufigen Rechtsschutzes gebotenen summarischen Prü-
fung der Sach- und Rechtslage erweist sich die streitige Ziffer 1 der Anordnung der Antragsgegnerin – die Anwendung deutschen Datenschutzrechts und eine Zuständigkeit der Antragsgegnerin unterstellt – auch nicht in formeller Hinsicht als offensichtlich rechtswidrig.
Die Zuständigkeit der Antragsgegnerin folgt aus § 24 Satz 1 HmbDSG. Die örtliche
Zuständigkeit folgt bei der Anwendung deutschen Rechts aus § 3 Abs. 1 Nr. 2
HmbVwVfG. Selbst wenn ein Anhörungsfehler vorliegen sollte, wäre dieser gem. § 45
Abs. 2 HmbVwVfG geheilt.
dd) Die in Ziffer 1 der Anordnung der Antragsgegnerin vom 23. September 2016 verfügte Untersagung erweist sich bei einer summarischen Prüfung der Sach- und Rechtslage auch in materieller Hinsicht nicht als offensichtlich rechtswidrig. Gemäß § 38 Abs. 5 BDSG kann die Aufsichtsbehörde zur Gewährleistung der Einhaltung des Bundesdatenschutzgesetzes und anderer Vorschriften über den Datenschutz Maßnahmen zur Beseitigung festgestellter Verstöße bei der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten oder technischer oder organisatorischer Mängel anordnen. Die tatbestandlichen Voraussetzungen dieser Rechtsgrundlage dürften erfüllt sein (aaa); Ermessensfehler sind nicht ersichtlich (bbb).
aaa) Die von der Antragstellerin in den Nutzungsbedingungen der WhatsApp-Kunden
angekündigte Erhebung und Speicherung personenbezogener Daten deutscher
WhatsApp-Nutzer (allein) aufgrund der erbetenen Zustimmung dürfte wegen eines Verstoßes gegen § 4 Abs. 1 BDSG rechtswidrig sein. Nach § 4 Abs. 1 BDSG ist eine Erhebung, Verarbeitung und Nutzung personenbezogener Daten nur zulässig, wenn der Betroffene eingewilligt hat oder sich die Zulässigkeit des Datenverarbeitungsvorgangs aus dem Gesetz ergibt. Ob ein Datenverarbeitungsvorgang in einem konkreten Einzelfall aus gesetzlich vorgesehenen Gründen (§ 28 BDSG; Art. 7 RL 95/46/EG) im vorliegenden Zusammenhang zulässig wäre, kann dahinstehen, weil nach den obigen Ausführungen Streitgegenstand des vorliegenden Verfahrens allein eine Datenverarbeitung bzw. ein Datenaustausch aufgrund der mit dem Update vom 25. August 2016 abgeforderte Einwilligungserklärung der WhatsApp-Nutzer und damit unabhängig von einer konkreten Zweckverfolgung im Einzelfall ist. Im Übrigen gilt, dass zumindest zweifelhaft ist, ob bei einer Datenverarbeitung auf die Erlaubnistatbestände des § 28 BDSG zurückgegriffen werden kann, wenn eine abgeforderte Einwilligungserklärung unwirksam ist bzw. eine Einwilligung nicht erteilt wird, weil mit der Einholung einer Einwilligung bei dem Betroffenen der Eindruck erweckt wird, seine Verweigerung könne die Datenverarbeitung verhindern (vgl. Simitis in: Simitis, BDSG, 8. Aufl. 2014, § 28 Rn. 20; Gola/Schomerus, BDSG, 11. Aufl. 2012, § 4 Rn. 16).
Eine wirksame Einwilligung der Betroffenen im datenschutzrechtlichen Sinne liegt nicht
vor. Nach § 4a Abs. 1 Satz 1 BDSG ist eine Einwilligung nur wirksam, wenn sie auf der
freien Entscheidung des Betroffenen beruht. Nach Satz 2 der Vorschrift ist der Betroffene auf den vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung sowie, soweit nach den Umständen des Einzelfalles erforderlich oder auf Verlangen, auf die Folgen der Verweigerung der Einwilligung hinzuweisen. Die Einwilligung bedarf nach Satz 3 weiterhin der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist und nach § 4a Abs. 1 Satz 4 BDSG ist die Einwilligung besonders hervorzuheben, sofern sie zusammen mit anderen Erklärungen schriftlich erteilt werden soll.
Das Beschwerdegericht schließt sich der Auffassung des Verwaltungsgerichts in seinem
Beschluss vom 24. April 2017, dass die Voraussetzungen einer wirksamen Einwilligungserklärung im Sinne des § 4a BDSG mit der abgeforderten Zustimmungserklärung der WhatsApp-Kunden nicht vorliegen, vollen Umfangs an. Das Verwaltungsgericht hat ausgeführt:
„Durch diese gesetzlichen Vorgaben soll verhindert werden, dass die Einwilligung
im so genannten Kleingedruckten versteckt wird und der Betroffene sie durch seine
Unterschrift erteilt, ohne sich ihrer und ihres Bezugsgegenstands bewusst zu
sein, weil er sie übersieht (BGH, Urt. v. 16.7.2008, VIII ZR 348/06, juris Rn. 23).
Dabei kann die Einwilligung die ihr zugewiesene Aufgabe, das Entscheidungsvorrecht der Betroffenen ebenso zu gewährleisten wie zu konkretisieren nur dann erfüllen, wenn sie hinreichend bestimmt ist, also klar zu erkennen gibt, unter welchen Bedingungen sich die Betroffenen mit der Verarbeitung welcher Daten einverstanden erklären (Simitis: in Simitis, BDSG, 8. Auflage, § 4a Rn. 76). Demzufolge sind pauschal gehaltene Erklärungen, die die Betroffenen die Möglichkeiten nehmen, die Tragweite ihres Einverständnisses zu überblicken, nicht mit § 4a Abs. 1 BDSG vereinbar (Simitis in: Simitis, a.a.O., § 4a Rn. 77). Zudem muss dem Betroffenen die Entscheidung tatsächlich überlassen bleiben, zwischen Einverständnis und Verweigerung wirklich wählen zu können, d.h. die Verweigerung der Einwilligung darf nicht zu einer Benachteiligung der Betroffenen führen (Simitis in: Simitis, a.a.O., § 4a Rn. 91).
Gemessen an diesen Maßstäben sind die Einwilligungen, die die Antragstellerin
von den betroffenen Nutzern eingeholt hat, nicht wirksam. Dies gilt für alle
WhatsApp-Nutzer, d.h. Alt- und Neukunden als auch für sämtliche Zwecke, für die
die Antragstellerin die Erhebung von Daten plant, d.h. für die Zwecke „Network/Security“, „Business Intelligence Analytics“ und „Facebook Ads/Products“.
…
Dieses Einwilligungsverfahren ist wegen Verstoß gegen § 4a Abs. 1 Satz 1 BDSG
unwirksam. Es fehlt an einer bewussten Einwilligung der betroffenen Nutzer. Denn
für einen durchschnittlichen Nutzer ist nicht erkennbar, dass die Betätigung des
obigen Buttons „Zustimmen“ eine Einwilligung in Datenvorgänge nach § 4 Abs. 1
BDSG darstellen soll. Es fehlt nämlich jeglicher Hinweis darauf, dass es in der Sache
um die Einholung einer Einwilligung in Datenverarbeitungen geht. Dies kann
dem Nutzer auch gar nicht bewusst sein. Der dem Hyperlink „Zustimmen“ vorbzw.
nachfolgende Text erwähnt dies mit keinem Wort. Die Wortwahl, die Datenschutzrichtlinie werde aktualisiert, suggeriert vielmehr, die Daten des Nutzers würden geschützt. Auch wird angedeutet, die Aktualisierung erfolge nur, um neue
Funktionen aktivieren zu können. Dies stellt eine Irreführung des Nutzers dar.
Auf den vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung wird der
Nutzer entgegen § 4a Abs. 1 Satz 2 BDSG nicht hingewiesen. Dabei gelten für das
vorliegende Einwilligungsverfahren noch strengere Anforderungen, weil eine Einwilligung zusammen mit anderen Erklärungen, nämlich der Zustimmung zu den
neuen Nutzungsbedingungen, eingeholt werden soll, sodass es nach § 4a Abs. 1
Satz 4 BDSG sogar einer besonderen Hervorhebung bedurft hätte. Zwar wird dem
Nutzer deutlich gemacht, dass er durch das Betätigen des Hyperlinks „Lesen“
mehr Informationen erhalten kann, insbesondere Auswahlmöglichkeiten erhält.
Worauf sich diese Auswahlmöglichkeiten indes beziehen, wird nicht erklärt.
Überdies dürften selbst die nach Betätigung des Hyperlinks „Lesen“ zur Verfügung
gestellten Informationen (siehe folgender Screenshot) eine wirksame Einwilligung
der WhatsApp-Nutzer nicht begründen können.
…
Zunächst ist nicht deutlich, was mit den neben dem „Opt-Out-Balken“ genannten
„WhatsApp-Account-Informationen“ gemeint ist. Der Begriff bleibt offen und dementsprechend erläuterungsbedürftig. Es ist für den Nutzer nicht ersichtlich, welche Datenarten dieser Datenkategorie überhaupt zuzuordnen sein sollen (vgl. LG Frankfurt, Urt. v. 10.6.2016, 2-3 O 364/15, juris Rn. 251). Eine entsprechende
Klarstellung ergibt sich auch nicht aus den weiteren zur Verfügung gestellten Informationen, insbesondere der Datenschutzrichtlinie. Dort werden zudem die weiteren Zwecke lediglich unbestimmt, unklar und nicht in der von der Antragstellerin behaupteten Deutlichkeit herausgestellt. So ist die vermeintliche Einwilligung in Textpassagen neben andere Erklärungen und Hinweisen gestellt, ohne sich von diesen abzuheben.
Überdies ist der „Opt-Out-Balken“ für den Zweck „Facebook Ads/Products“ (Verbesserung von Produkterlebnissen auf Facebook) im Hinblick auf den Hinweis
„Unabhängig von dieser Einstellung werden ihre Chats und Telefonnummern nicht
auf Facebook geteilt“ irreführend. Wenn die Erhebung zu drei unterschiedlichen
Zwecke erfolgen soll, d.h. neben dem „opt-out“- Zweck „Facebook Ads/Products“
auch für die weiteren Zwecke „Network/Security“ und „Business Intelligence Analytics“, erschließt sich nicht, warum der Hinweis gerade an dieser Stelle erfolgt.
Denn hierdurch wird impliziert, dass die WhatsApp-Account Informationen nur zu
dem Zweck der Verbesserung der Erlebnisse auf Facebook mit Werbung und Produkten („Facebook Ads/Products“) übertragen werden sollen, was dem Vortrag der Antragstellerin widerspricht.
Vergleichbares gilt für Neukunden. Diese bekommen beim Aufrufen der App folgenden Willkommensbildschirm angezeigt:
…
Auch insoweit ist das Einwilligungsverfahren wegen Verstoßes gegen § 4a Abs. 1
Satz 1 BDSG unwirksam. Es fehlt an einer bewussten Einwilligung der betroffenen
Nutzer. So findet sich auf dem Willkommensbildschirm keine Klarstellung dazu,
dass das Betätigen des Buttons „Zustimmen und Fortfahren“ eine Einwilligung in
Datenverarbeitungen nach § 4 Abs. 1 BDSG darstellen soll. Die obigen Ausführungen gelten entsprechend.
Aufgrund der Unwirksamkeit der Einwilligungsverfahren kann offen bleiben, ob
minderjährige Nutzer ab dem 13. Lebensjahr ohne Zustimmung der Eltern überhaupt wirksam eine Einwilligung abgeben könnten (vgl. Gola/Schomerus, a.a.O., § 4a Rn. 2a). Gleiches gilt für die Frage, ob das „Doppeltürmodell“ Anwendung findet. Denn mangels wirksamen Einwilligungsverfahren der WhatsApp Inc. können die ihr gegenüber erklärten Einwilligungen eine Erhebung durch die Antragstellerin nicht rechtfertigen.“
Das Vorbringen der Beteiligten im Beschwerdeverfahren bietet keinen Anlass, diese Wertung infrage zu stellen.
bbb) Anhaltspunkte für eine fehlerhafte Ausübung des Ermessens der Antragsgegnerin
sind nicht ersichtlich. Die streitige Anordnung in Ziffer 1 der Verfügung der Antragsgegnerin vom 23. September 2016 dürfte geeignet, erforderlich und angemessen sein, um die Einhaltung der Vorgaben des Bundesdatenschutzgesetzes zu gewährleisten. Soweit die Antragstellerin im Beschwerdeverfahren ausführlich darauf eingeht, dass die Anordnung unverhältnismäßig sei, weil sie auch zukünftige Datenerhebungen, die im Einzelfall für einen bestimmten Zweck, etwa „Network/Security“-Zwecke, erforderlich und zulässig seien, erfasse, ist dem entgegenzuhalten, dass – wie oben ausgeführt – eine Auslegung der streitigen Anordnung ergibt, dass diese sich (lediglich) auf eine Datenverarbeitung (allein) aufgrund der durch das Update abgeforderten Zustimmungserklärung der Nutzer bezieht.
Eine Datenerhebung im Einzelfall zu einem konkreten Zweck (etwa „Network/Security“)
dürfte zulässig bleiben, sofern einer der gesetzlich geregelten Gründe in Art. 28 BDSG
bzw. Art. 7 RL 95/46/EG vorliegen. Darauf hat im Übrigen die Antragsgegnerin im Beschwerdeverfahren auch ausdrücklich hingewiesen.
c) Eine ausgehend von den offenen Erfolgsaussichten des Widerspruchs vorzunehmende
Interessenabwägung führt zu einem Überwiegen der öffentlichen Interessen an einer Einhaltung der Vorschriften des Bundesdatenschutzgesetzes bzw. der WhatsApp-Nutzer
gegenüber dem Aussetzungsinteresse der Antragstellerin.
Ein gewichtiges Aussetzungsinteresse der Antragstellerin – etwa ein drohender gewichtiger wirtschaftlicher Schaden – ist weder im Ausgangsverfahren noch im Beschwerdeverfahren substantiiert dargetan. Demgegenüber wiegen insbesondere die Interessen der betroffenen WhatsApp-Kunden deutlich schwerer. Wie bereits in seinem Beschluss vom 29. Juni 2016 ausgeführt, geht das Beschwerdegericht davon aus, dass die Interessen der Nutzer als Beteiligte zu berücksichtigen sind (OVG Hamburg, Beschl. v. 29.6.2016, 5 Bs 40/16, juris). Aufgrund der möglichen Verletzung grundrechtlich geschützter Rechte, dem aus Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 GG abzuleitenden Grundrecht auf informationelle Selbstbestimmung, wiegt ein möglicher Verstoß gegen die Vorschriften des Bundesdatenschutzgesetzes, hier insbesondere gegen §§ 4, 4a BDSG besonders schwer. Zu Recht hat auch das Verwaltungsgericht bereits darauf hingewiesen, dass die Erhebung bzw. Speicherung personenbezogener Daten der deutschen WhatsApp-Nutzer gegebenenfalls nicht mehr rückgängig gemacht werden kann. Schließlich ist bei einer Interessenabwägung zu berücksichtigen, dass die weitere Entwicklung der die Antragstellerin belastenden Wirkungen der streitigen Anordnung hinsichtlich der deutschen WhatsApp-Kunden in zeitlicher Hinsicht offen sein dürfte. Mit dem Inkrafttreten der Datenschutz-Grundverordnung (DS-GVO, Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27.4.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG, ABl. Nr. L 119, 1) zum 25. Mai 2018 wird im Rahmen der grenzüberschreitenden Datenverarbeitung ein Mechanismus einer einzigen Anlaufstelle eingeführt. Danach wird die Antragstellerin nur (noch) über eine Aufsichtsbehörde als Ansprechpartner verfügen; federführende Aufsichtsbehörde wird diejenige des Ortes der Hauptniederlassung
des für die Verarbeitung Verantwortlichen sein (Art. 56, Art. 60ff. DS-GVO). Die Einführung dieses „One-Stop-Shops“ in Art. 56 Abs. 6 DS-GVO ist ein zentrales Anliegen des Unionsgesetzgebers, um alle Beteiligten zu einer zügigen Herbeiführung einer einheitlichen rechtlichen Beurteilung zu verpflichten (Dix in: Kühling/Buchner, DS-GVO, Kommentar 2017, Art. 56 Rn. 17).
3. Die Entscheidung über die Kosten des Beschwerdeverfahrens beruht auf § 154 Abs. 2
VwGO. Die Festsetzung des Streitwerts für das Verfahren zweiter Instanz beruht auf
§§ 47 Abs. 1, 53 Abs. 2 Nr. 2, 52 Abs. 2 GKG.