Halt WhatsApp dataoverføringer, tysk personvernvakt forteller Facebook

Facebook må slutte å samle inn informasjon om WhatsApp-brukere i Tyskland, en lokal personvernsvakt har bestilt.

I fjor begynte Facebook å kombinere brukerdata fra WhatsApp, meldingsfirmaet som ble kjøpt i 2014, med fjellet av informasjon det Bevegelsen førte til bekymring blant WhatsApp-brukere, da selskapet lenge hadde fremmet seg som en sterk beskyttelse av brukernes personvern.

Personvernregulatorer var også opptatt av blant dem Hamburgs kommissær for databeskyttelse og informasjonsfrihet, som i tirsdag utstedte en administrativ ordre som forbød Facebook fra å samle inn og lagre dataene til tysk WhatsApp brukere. Selskapet må også slette alle data som WhatsApp allerede har overlevert.

WhatsApp opererer fortsatt uavhengig av Facebook, og de to selskapene har egne brukeravtaler og retningslinjer for personvern. De har også i de to årene siden Facebook kjøpt WhatsApp, forsikret brukerne om at det ikke ville bli datautveksling, sa kommissær Johannes Caspar.

Datateling mellom de to selskapene er en overtredelse av tysk lov om databeskyttelse fordi Facebook har ikke fått effektiv godkjenning fra WhatsApp-brukere for overføringen, og det er ikke noe juridisk grunnlag for å motta dataene, ifølge kommissæren.
"Det må være deres beslutning om de vil koble til sin konto med Facebook ," han sa. "Facebook må be om deres tillatelse på forhånd. Dette har ikke skjedd."

Det er rundt 35 millioner WhatsApp-brukere i Tyskland, men millioner flere er indirekte berørt, sa han. Dette er folk hvis kontaktinformasjon ble lastet opp til WhatsApp fra brukerens adressebøker, selv om de ikke har noen forbindelse med WhatsApp eller Facebook selv.

Facebook sa til kommissæren at den ennå ikke hadde samlet all denne informasjonen fra WhatsApp. Dette, sa han, er årsaken til at det bare kan gjøre bruken av databeskyttelsesbrudden mer alvorlig når overføringen skjer.

En nylig avgjørelse fra Den europeiske unions domstol bekreftet at nasjonale databeskyttelseslover gjelder hvis et selskap behandler data i forbindelse med et nasjonalt datterselskap. Facebook gjør det gjennom et datterselskap i Hamburg ansvarlig for markedsføring i tysktalende regioner, sa kommissæren.

Det er en viktig detalj i dette tilfellet, da Facebook på annen måte hevder at dets forhold til alle brukere utenfor Nord-Amerika håndteres av dets irske datterselskap, og dermed underlagt irsk, ikke tysk, databeskyttelseslov.

Det var denne påstanden fra Facebook som førte østerrikske Max Schrems til å sende inn en klage til den irske databeskyttelseskommissæren - en klage som til slutt fant veien til CJEU og førte til ugyldigheten av den transatlantiske dataoverføringsavtalen for Safe Harbor.

Reagerer på Hamburgs kommissærs beslutning tirsdag, sa en Facebook-talskvinne: "Facebook overholder EUs lov om databeskyttelse. Vi vil jobbe med Hamburg DPA i en innsats for å løse sine spørsmål og løse eventuelle bekymringer. "