LG Berlin II zu Meta-Praktiken – DS News KW 09/2026

Transkript zur Folge:

Herzlich willkommen zum Datenschutz-Talk, eurem wöchentlichen Datenschutz-Update der Migosense.
Heute ist Freitag, der 27. Februar. Unser Redaktionsschluss war um 10 Uhr, wie gewohnt.
Mein Name ist Natalia Wotzniak und bei mir ist mein lieber Kollege...
Gregor Wortberg. Hallo Natalia.
Hallo Gregor, wir haben diese Woche wie gewohnt wieder spannende neue Infos
aus der Datenschutzwelt mitgebracht. Gregor, fang an, was hast du mit?
Ich habe ein Urteil des Landgerichts Berlin 2 mitgebracht zum Freundefinder von Facebook.
Dann hat das Land Baden-Württemberg das Landesdatenschutzgesetz aktualisiert
und eine Veröffentlichung bzw.
Zwei Veröffentlichungen aus Spanien habe ich auch noch mitgebracht.
Was steht denn bei dir auf dem Zettel?
Bei mir steht ebenfalls ein Urteil des Landgerichts Berlin 2 auf dem Zettel,
beziehungsweise eine Pressemitteilung zum Thema Datenübermittlung durch WhatsApp
und eine weitere Pressemitteilung der Datenschutzkonferenz zum Thema Chatkontrolle.
Und wir haben, glaube ich, vergessen zu erwähnen, dass wir auch noch Lese- beziehungsweise
Veranstaltungshinweise im Gepäck haben.
Ja, doch, doch, doch, doch. Das sind die zwei veröffentlichten Spanien,
die ich mitgebracht habe.
Ah, ja gut. Alles klar, Gregor, dann leg los.
Das Landgericht Berlin 2 hat entschieden, dass Facebooks Freundefinderfunktion
mit Blick auf den Zugriff auf
Kontaktdaten von Nicht-Facebook-Nutzern unzulässig ist. Das Urteil vom 2.
Dezember 2025 wurde kürzlich veröffentlicht, die Klage allerdings bereits 2018
eingereicht, hat in Berlin ein bisschen länger gedauert und folglich bezieht
sich das Urteil auch auf die damaligen Praktiken.
Zudem sei angemerkt, dass es auch noch nicht rechtskräftig ist.
Der Freundefinder bietet die Funktion, dass Nutzer ihre Telefonkontaktlisten
auf Facebook-Server hochladen können und damit dann neue Facebook-Kontakte finden können.
Die Speicherung erfolgte ohne Einbindung der Betroffenen und das Gericht machte
da auch nochmal deutlich,
dass Nutzer nicht damit rechnen müssen, dass ihre Daten halt auch dann über
diese Funktion erfasst werden und sie zudem auch keinen Vorteil haben durch
diese Datenspeicherung.
Darüber hinaus betrachtete das Gericht weitere Praktiken des Unternehmens.
So sei ebenso die Auswertung des Nutzerverhaltens zu Personalisierung von Werbung unzulässig.
Darüber hinaus können Nutzer auch in diesem Zusammenhang so das Gericht nicht
damit rechnen, dass auch wenn sie das Netzwerk zur Kosten nutzen,
die Datenverarbeitung zu Werbezwecken erfolgt.
Facebook ist nun aufgefordert, die Praxis zu unterlassen, bei Verstoß droht
ein Ordnungsgeld in Höhe von bis zu 250.000 Euro.
Die klagende Verbraucherzentrale spricht hier von einem Urteil mit Signalwirkung.
Naja, allerdings muss man das nochmal so ein bisschen einordnen und darauf hinweisen,
dass eben Praktiken von 2018 beleuchtet wurden.
Zum Teil können diese bereits ja überholt sein.
Gerade mit Blick auf die personalisierte Werbung hat Meta, also der Mutterkonzern
ja in jüngerer Vergangenheit, auch mit diesen Abo-Modellen, also kostenpflichtige
Nutzung oder kostenlose Nutzung gegen Werbung,
ja auch schon andere Wege gefunden, um eine Art Einwilligung der Nutzer zu erhalten.
Ja, also ich glaube, wir haben uns ja im Vorfeld dazu ausgetauscht,
dass das Urteil ja schon einen längeren Bart hat, sozusagen, 2018.
Ich kann mit meinem Urteil, meinem zweiten Urteil des Landgerichts Berlin,
dem noch eins draufsetzen, denn das Landgericht Berlin 2 war diese Woche intensiv.
Tätig und beschäftigt und hat auch ein zweites Beurteil, was vom 23.
Februar jetzt, also drei Tage
alt, nicht veröffentlicht, aber eine Pressemitteilung dazu rausgegeben.
Und ja, laut dieser aktuellen Pressemitteilung hat das Landgericht Berlin 2
entschieden, dass WhatsApp keine Daten von WhatsApp-Nutzern und auch keine Daten
von Personen, die WhatsApp gar nicht nutzen, an Facebook weitergeben darf.
Das Gericht hat den Antrag abgelehnt, WhatsApp dazu zu verpflichten,
Facebook zur Löschung der bereits übermittelten Daten aufzufordern und dies nachzuweisen.
Auch dabei geht es, wie anfangs leicht erwähnt,
um die im Jahr 2016, also noch ein bisschen älter als der erste Sachverhalt,
um die im Jahr 2016 angekündigte Änderung der Nutzungsbedingungen und der Datenschutzregeln
des Messenger-Dienstes WhatsApp.
Über diese hat WhatsApp seine Nutzer im August 2016 informiert und die Nutzer
sollten in neuen Bedingungen zustimmen.
Mit der Zustimmung und damit nach den neuen Regeln sollte WhatsApp und Facebook
automatisch Zugriff auf alle Daten im Adressbuch des Handys bekommen.
Dazu gehörten die eigene Telefonnummer und die Telefonnummern aller gespeicherten Kontakte.
Außerdem sollten die Nutzer bestätigen, dass sie die Erlaubnis haben,
diese fremden Telefonnummern weiterzugeben.
Jedenfalls hat das Urteil dazu jetzt ja eine gewisse Signalwirkung,
sollte jedoch mit Vorsicht betrachtet werden,
da es erstens noch nicht rechtskräftig ist und zweitens wurden die Nutzungsbedingungen
aus dem Jahr 2016 seitdem mehrfach geändert.
Deshalb sollte wirklich geprüft werden, ob die hier betroffene Regelung überhaupt
noch aktuell ist und überhaupt noch zum Tragen kommt.
Und da die konkreten Entscheidungsgründe allerdings jetzt noch nicht vorliegen,
werden sich wahrscheinlich weitere Details und Erkenntnisse,
die wir halt jetzt noch nicht haben, aber aus dem Grund.
Urteilstext ergeben können. Von daher, für diejenigen, für die das Thema Datenübermittlung,
WhatsApp an Facebook in der Praxis relevant ist, sicherlich ein beziehungsweise
zwei Urteile, die man sich anschauen sollte,
aber auch wirklich prüfen sollte, ob die darin beanstandenden Regelungen jetzt
noch im Jahr 2026 noch so bei Facebook, bei Meta, bei WhatsApp im Einsatz sind.
Der baden-württembergische Landtag hat am 4. Februar landesgesetzliche Vorgaben
angepasst und zwar hat er das Landesdatenschutzgesetz aktualisiert und darin
dann auch Regelungen zur Nutzung von KI-Systemen geschaffen.
Und Adressaten sind, muss man dazu sagen, primär öffentliche Stellen an dieser Stelle.
Zentrale Aussage ist, dass öffentliche Stellen eben KI-Systeme einsetzen dürfen.
Voraussetzung ist, dass die zugrunde liegende Datenverarbeitung zulässig und restmäßig ist.
Also es braucht keine eigene Rechtsgrundlage für KI, für die KI-Nutzung, wenn man so möchte.
Neu ist zum Beispiel, dass auch die Weiterverarbeitung personenbezogener Daten
erlaubt ist, zu Zwecken der Entwicklung, Training, Tests und Validierung von Systemen.
Wenn dies zwingend erforderlich ist und diese Zwecke nicht anders auf effektive
Weise dann erreichbar sind. Zudem,
Vielleicht auch am Rande interessant, können KI-Systeme zur Auswertung von Videoaufnahmen
öffentlich zugänglicher Bereiche unter bestimmten Voraussetzungen genutzt werden.
In der Praxis relevant interessant werden dürfte aber auch nochmal die Informationspflicht,
denn da auch der Beschäftigten Datenschutz ist betroffen.
So gibt es eine Informationspflicht gegenüber Bewerberinnen und Bewerbern über
den Einsatz von KI-Systemen, deren Dauer und deren Zwecke.
Darüber hinaus ist die Nutzung von biometrischen Daten zu Authentifizierungs-
und Autorisierungszwecken untersagt.
Außer es gibt eine Betriebsvereinbarung oder sonstige Regelungen und Verpflichtungen.
Lohnt sich auf jeden Fall mal reinzuschauen, auch wenn die Adressaten eher öffentliche
Stellen sind, aber auch Stellen sind mit öffentlicher Mehrheitsbeteiligung.
Und vielleicht kann man da in der Praxis ja auch das ein oder andere was ableiten.
Für eine eigene Governance.
Und ich kann mir auch gut vorstellen, dass die anderen Bundesländer auch in
die eigenen Landesdatenschutzgesetze vielleicht auch nachziehen und ähnliche
oder entsprechende Regeln mit aufnehmen werden,
sodass der öffentliche Sektor einfach nochmal auf Landesebene nochmal ein bisschen
konkreter geregelt sein wird.
So, ich komme zu der weiteren Pressemitteilung, die ich mitgebracht habe,
nämlich zum Thema Chatkontrolle.
In einer aktuellen Pressemitteilung fordert nämlich die Deutsche Datenschutzkonferenz,
die DSK, den endgültigen Verzicht auf die geplante anlasslose Massenüberwachung
privater Kommunikation durch die EU.
Die Experten, also die Landesdatenschutzbehörden, warnen eindringlich davor,
dass das Scannen digitaler Nachrichten und das Aufweichen der Ende-zu-Ende-Verschlüsselung
die IT-Sicherheit aller Bürger massiv gefährden kann.
Die DSK appelliert daher, von Massenüberwachung privater Chats,
also Aufdeckungsanordnungen, von flächendeckenden Scannen privater Nachrichten
und vom Durchbrechen der Ende-zu-Ende-Verschlüsselung abzusehen.
Die DSK warnt, dass dafür geschaffene Hintertüren in der Verschlüsselung zugleich
auch von Kriminellen ausgenutzt werden könnten und so die Sicherheit der Kommunikation
aller Bürger gefährdet werden könnte.
Zwar unterstützen die Behörden den Kampf gegen den sexuellen Missbrauch von
Kindern, der ja mit der Aufweichung bezweckt wird, lehnen jedoch einen Generalverdacht
gegen Millionen von Menschen als unverhältnismäßig ab.
Prof. Dr. Kelber sagt hierzu, und ich möchte gerne das Zitat einmal anführen,
weil ich finde, das ist wirklich auf den Punkt gebracht.
Der Schutz von Kindern ist elementar. Der Staat muss dazu angemessene Mittel ergreifen.
Die anlasslose Überwachung privater Kommunikation betrifft den Kern der Vertraulichkeit
der Kommunikation aller europäischen Bürgerinnen und Bürger.
Statt einen Generalvertrag zu begründen, sollten gezielte Maßnahmen getroffen
werden, um Kinder wirksam zu schützen.
Ich glaube, damit ist das wirklich auf den Punkt gebracht. Und von nachher wollte
ich dieses Zitat jetzt hier nicht unterschlagen.
Das heißt, die Datenschützer plädieren für gezielte Ermittlungsmaßnahmen und
positionieren sich ganz klar gegen technologische Hintertüren,
die auch von Kriminellen missbraucht werden könnten.
Wir werden sehen, inwiefern die Daten,
diese Bestellungnahme, Positionierung Früchte tragen wird und inwiefern das
Auswirkungen auf die geplante Überwachung in der EU haben wird.
Und damit kommen wir auch schon zu den anfangs mehrfach erwähnten öffentlichen Veranstaltungen.
Ich hatte schon das Gefühl, dass du mir nicht zugehört hast.
Gregor, komm, nicht los.
Du musst dich hier outcallen. Zwei Veröffentlichungen habe ich mitgebracht,
genau, aus Spanien. Einerseits hat die spanische Datenschutz-Aufsichtsbehörde
einen Leitfaden zu agentenbasierten künstlichen Intelligenz aus Sicht des Datenschutzes veröffentlicht.
Das klingt erstmal kompliziert. Kern sind Besonderheiten, die auftreten,
wenn zum Beispiel KI-Agenten eingesetzt werden.
Also auf einer Webseite zum Beispiel diese Chatbots und so.
Also welche datenschutzrechtlichen Besonderheiten dort entstehen können.
Ist oft Spanisch, aber Browser können ja übersetzen.
Also von daher kann man sich trotzdem gut zu Gemüte führen oder man möchte ein bisschen üben.
Andererseits hat vorhin auch noch die Spanische Agentur für die Überwachung
künstlicher Intelligenz Richtlinien zum Umgang mit den Vorgaben der KI-Verordnung veröffentlicht.
Darunter unter anderem Leitlinien zu Daten und Daten Governance sowie zu Cybersicherheit.
Das Ganze auf Englisch auch sehr zu empfehlen. Thematisch in,
glaube ich, 14 oder 15 Unterpunkte gegliedert. kann man sich also auch scheibchenweise
und themenbezogen sehr gut,
anschauen.
Mit anderen Worten, das Wochenende ist gesichert.
Ja, genau.
Wunderbar. Und damit sind wir auch schon am Ende unserer heutigen Folge.
Wir hoffen, dass die Auswahl euch gefallen hat.
Wir hoffen, dass ihr das für eure Praxis gut mitnehmen, verwenden könnt.
Es ansonsten aber auch einfach nur interessant war.
Und ja, wir wünschen euch ein schönes Wochenende, falls ihr das heute hört,
beziehungsweise noch vor dem Wochenende hört oder einen guten Start in die neue
Woche, wenn es mal nach dem Wochenende soweit sein wird.
Von daher von meiner Seite, ich sag schon mal Tschüss.
Bis bald.