De Hamburgse privacytoezichthouder heeft Facebook verboden om WhatsApp-data van Duitse gebruikers voor eigen doeleinden te gebruiken. Dat meldde Tweakers afgelopen vrijdag. Het besluit van de Hamburgse commissaris met de onuitsprekelijke afkorting HmbBfDI heeft te maken met de gewijzigde gebruiksvoorwaarden van WhatsApp, die een dergelijke koppeling zouden autoriseren. Tegelijk was bij de overname van WhatsApp door Facebook nadrukkelijk gezegd dat dit in Europa niet mocht gebeuren. Dus hoe zit dit nou?
‘Je kunt niet volledig gebruikmaken van WhatsApp totdat je de updates aanvaardt. Voor een korte periode kun je nog wel oproepen en meldingen ontvangen, maar je kunt geen berichten lezen of verzenden via de app.’ Dat dreigt WhatsApp dus al een tijdje om mensen zo ver te krijgen de nieuwe voorwaarden van hun dienst te accepteren. Deel dan gewoon mee dat je de voorwaarden aangepast hebt, denk ik dan; op deze manier toestemming afdwingen is in geen enkel rechtsstelsel bindend. Maar goed.
Het probleem is natuurlijk dat WhatsApp sinds haar oprichting altijd zei dat ze nooit persoonsgegevens aan anderen zou geven, en dat na de overname door Facebook dit altijd in de lucht hing, door voorlichters met mooie praatjes weg werd gebagatelliseerd en er dan nu toch komt. (Ik ga geen moeite doen de babbelzinnen over gebruikservaring op te zoeken, we weten allemaal dat het gaat om de extra profileringsdata.)
Onderdeel van de goedkeuring van de overname van WhatsApp door Facebook was de aanname dat de twee diensten niet gecombineerd zouden zijn. Dat kon ook niet, aldus Facebook, vanwege fundamentele technische redenen. Dat bleek in 2017 toch anders te liggen, reden voor de EU om 110 miljoen boete op te leggen en het nogmaals te verbieden. En op papier klopt het ook; WhatsApp zal in Europa gewoon blijven werken zoals het deed en geen data delen.
Ja, zeggen ze. Precies. Want dat is waar de ophef vandaan komt. Waarom moet ik akkoord gaan met nieuwe voorwaarden als er niets verandert voor mij? Wat probeert men alsnog stiekem af te dwingen met zo’n enorm chantage-machtsmiddel? Ik snap best dat mensen zich daar zorgen over maken. Goede stap dus dat de HmbBfDI (AP is toch makkelijker) expliciet een verbod oplegt, hoewel ik niet kan vinden of er meteen een dwangsom of boete bij hangt.
Uiteraard zegt WhatsApp dan dat dit besluit berust op een misverstand en dat men gewoon doorgaat omdat er niets aan de hand is. Als er niets aan de hand was, dan zou een normaal bedrijf zeggen “We houden ons keurig aan dat verbod want dit gingen we helemaal niet doen”. Dus ik blijf skeptisch.
Arnoud
Ik snap em wel… In de voorwaarden zetten ze: we doen A t/m Z. Bepaalde landen kunnen dingen, bv. B t/m Q en Z verbieden. Dat doen ze dan voor klanten uit die landen (nog) niet. Maar op het moment dat een land wetgeving aanpast, kunnen ze, zonder dat ze de voorwaarden aan hoeven te passen (stilzwijgend dus) het wel gaan doen.
Het grootste bezwaar, als ik alle informatie goed begrepen heb, is dat de aangepaste voorwaarden worden afgedwongen maar voor de gebruiker en zelf de geleerden erg onduidelijk of zelfs verwarrend kan zijn. Daarbij is er vooral veel te doen om de z.g. metadata die wel wordt gedeeld met Facebook. Al zijn dit niet direct persoonsgegevens, met genoeg metadata kan er toch aan profilering worden gedaan en dus kan je, zei het via een bepaalde omweg, spreken van een bepaalde mate van verwerken van persoonsgegevens. Door alle onduidelijkheid in de nieuwe voorwaarden weet men niet wat Facebook hier allemaal mee doet en in welke mate dit in strijd is met de bestaande afspraken.
Bijzaak :
Dat gaat over “der Hamburger Beauftragten für Datenschutz und Informationsfreiheit”. Controle op de webpagina https://datenschutz-hamburg.de/ bevestigt dat. Sorry, Duits ligt me iets beter dan Engels.Was een veel Duitser afkorting niet geweest der HaBeDaIn?
Helaas niet, Duitsers zijn perse in voor goed uit te spreken afkortingen. Daarentegen is Hmb een standaard afkorting voor Hamburg en dat geldt eigenlijk ook voor de andere punten. Een Duitser snapt het dus meteen. Nederlanders hebben liever afkortingen die wat lekkerder bekken, net als Amerikanen.
Nou, veruit de meeste Amerikanen spreken alle letters los uit, iets wat we hier alleen doen als er geen klinkers aanwezig zijn. Dus voor de meeste Amerikanen maakt het “lekker bekken” helemaal niets uit.
Hamburg is toch HH? Hansestadt Hamburg. HB is Hansestadt Bremen.
Hoe werkt dat in Duitsland, elke deelstaat heeft een eigen BfDI en die verdelen landelijke/internationale onderwerpen?
Er is een BfDI (Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit) die verantwoordelijk is voor de federale overheid en telecommunicatie. Verder zijn er 16 lokale “Landesbeauftragte” (LfDI) per deelstaat die voor hun eigen territorium als enige bevoegd zijn voor alle overige sectoren. (En ze zijn niet helemaal consequent in de naamgeving). De Duitse vestiging van Facebook bevind zich in Hamburg, vandaar dat de HmbBfDI bevoegd is.
Uit het persbericht blijkt dat het een Anordnung (Bevel) betreft. Een overtreding daarvan is een Ordnungswidrigkeit. Volgens § 30 OWiG kunnen bedrijven bij overtreding een boete krijgen tot 10 miljoen euro als er sprake is van opzet.
Tijd dus dat Duitsland die wet aanpast. Dat maximum bedrag staat niet meer in verhouding tot miljardenbedrijven.