De Hamburgse privacytoezichthouder heeft Facebook verboden om persoonlijke data van WhatsApp-gebruikers voor eigen doeleinden te gebruiken. Aanleiding voor het verbod is het nieuwe privacybeleid van Facebook dat onder andere gaat over het verwerken van locatiegegevens en het uitwisselen van communicatiegegevens van gebruikers met derden, met een explicite verwijzing naar Facebook.

Volgens de Hamburgse databeschermingstoezichthouder heeft Facebook geen juridische basis voor het verwerken van persoonlijke WhatsApp-data voor diens eigen doeleinden. Ook hekelt de Hamburg Commissioner for Data Protection and Freedom of Information (HmbBfDI) de opzet van het privacybeleid. Informatie over het uitwisselen van data is op verschillende plekken te vinden, is onduidelijk en is lastig te onderscheiden tussen de Europese en internationale versies van het privacybeleid.

"Zelfs na een uitgebreide analyse is het onduidelijk wat de gevolgen zijn voor gebruikers wanneer die toestemming geven", aldus de toezichthouder. Daarnaast is er geen sprake van vrije toestemming, aangezien gebruikers die moeten geven om van de dienst gebruik te kunnen blijven maken. Met dit in het achterhoofd is er volgens de toezichthouder geen basis voor Facebook om de data van WhatsApp-gebruikers te verwerken.

Facebook kan ook niet claimen dat het een legitiem belang voor de verwerking heeft, omdat de rechten en vrijheden van de gebruikers zwaarder wegen dan de belangen van het bedrijf, aldus de toezichthouder. "Toestemming wordt niet vrij noch op geïnformeerde wijze gegeven. Dit is met name op minderjarigen van toepassing." De toestemming voldoet dan ook niet aan de eisen van de AVG. Tevens hoeft Facebook de gegevens niet te verwerken om een overeenkomst met gebruikers te sluiten.

"Gebruikers worden door WhatsApp geconfronteerd met niet-transparante voorwaarden voor vergaande data-uitwisseling", aldus de HmbBfDI. Tegelijkertijd wordt gesteld dat de beschreven verwerking nog niet wordt uitgevoerd, maar dit op een later moment zal plaatsvinden. Het gaat dan met name om de zakelijke marketing, waardoor data over meerdere bedrijven kan worden verwerkt voor gerichte advertenties en marketing.

"Deze aanpak voldoet niet aan de vereisten van de AVG, zowel als het gaat om de dataverwerking die al volgens het privacybeleid wordt uitgevoerd en de aanvullende verwerking die op elk moment door Facebook kan worden geïmplementeerd", stelt de toezichthouder. Door nu een verbod af te kondigen wil de Hamburgse autoriteit naar eigen zeggen de rechten en vrijheden van miljoenen Duitse gebruikers beschermen (pdf).