Verstoß gegen DSGVO: Rekordbußgeld gegen WhatsApp verhängt

Die irische Datenschutzbehörde Data Protection Commission (DPC) hat ihre im Dezember 2018 eingeleitete Untersuchung gegen WhatsApp abgeschlossen. Wegen Verstößen gegen die Datenschutzgrundverordnung (DSGVO) soll die Facebook-Tochter nun ein Bußgeld in Höhe von 225 Millionen Euro zahlen. Laut BBC ist es die bisher größte Strafe, die wegen Verstößen gegen die EU-Datenschutzbestimmungen verhängt wurde.

WhatsApp soll vor allem Transparenzpflichten in Bezug auf die Verarbeitung von Informationen von Nutzer und auch Nichtnutzern des WhatsApp-Dienstes verletzt haben. Dazu gehören laut DPC auf Informationen, die zwischen WhatsApp und anderen Facebook-Unternehmen geteilt werden.

Wie die BBC berichtet, ging es dabei vor allem um technische Fragen, beispielsweise ob WhatsApp seine Nutzer ausreichend die Verarbeitung ihrer Daten informiert hat. Strittig war demnach außerdem, ob die Datenschutzrichtlinie ausreichend verständlich formuliert war.

Die DPC, die die Untersuchung federführend leitete, weist zudem darauf hin, dass anfänglich mit anderen betroffenen Aufsichtsbehörden keine Einigung über den Abschlussbericht erzielt werden konnte. Als Folge wurde im Juni 2021 ein Einigungsverfahren gemäß DSGVO ausgelöst, an dessen Ende das European Data Protection Board (EDPB) die irische Behörde aufforderte, die Geldbuße erneut zu prüfen und nach oben zu korrigieren.

WhatsApp kündigte laut BBC inzwischen an, eine Beschwerde gegen das Urteil und die Höhe der Geldstrafe einzulegen. Das Unternehmen begründet dies unter anderem damit, dass die Datenschutzbestimmungen von WhatsApp in den vergangenen Jahren mehrfach angepasst wurden, auch um sie verständlicher zu machen.

“WhatsApp ist bestrebt, einen sicheren und privaten Dienst anzubieten”, sagte ein Sprecher des Unternehmens gegenüber der BBC. “Wir haben daran gearbeitet, sicherzustellen, dass die von uns bereitgestellten Informationen transparent und umfassend sind und werden dies auch weiterhin tun. Wir sind mit der heutigen Entscheidung in Bezug auf die Transparenz, die wir den Menschen im Jahr 2018 geboten haben, nicht einverstanden und die Strafen sind völlig unverhältnismäßig.”

Der Datenschutzaktivist Max Schrems nutzte die Entscheidung, um die irische Datenschutzbehörde erneut scharf zu kritisieren. “Wir begrüßen die erste Entscheidung der irischen Aufsichtsbehörde. Allerdings erhält die DPC seit 2018 etwa zehntausend Beschwerden pro Jahr, und dies ist die erste größere Geldstrafe. Die Datenschutzbehörde hatte ursprünglich eine Strafe von 50 Millionen Euro vorgeschlagen und wurde von den anderen europäischen Datenschutzbehörden gezwungen, die Strafe auf 225 Millionen zu erhöhen. Selbst die 225 Millionen sind immer noch nur 0,08 % des Umsatzes der Facebook-Gruppe. Die DSGVO sieht Geldbußen von bis zu 4 % des Umsatzes vor. Das alles zeigt, dass die irische Datenschutzbehörde immer noch extrem dysfunktional ist.”

Schrems befürchtet, dass es Jahre dauern wird, bis “die Strafe tatsächlich gezahlt wird”. Die DCP werde wahrscheinlich nur wenige Ressourcen in den Fall stecken und sich wahrscheinlich irgendwann mit WhatsApp in Irland “einigen”. “Wir werden diesen Fall genau beobachten, um sicherzustellen, dass die Datenschutzbehörde diese Entscheidung auch wirklich umsetzt”, kündigte Schrems an.