Hohes Bußgeld für WhatsApp
Die Einhaltung der aus der DSGVO vorgegebenen Verpflichtungen in Bezug auf die Rechtmäßigkeit und die Transparenz von Verarbeitungen personenbezogener Daten (pbDaten) wie auch die korrekte Identifizierung, welche Daten als personenbezogen gelten, sind für Verantwortliche wichtig. Diese Informationen sollten in detaillierten, leicht zugänglichen und leicht verständlichen Datenschutzerklärungen für die betroffenen Personen bereitgestellt werden.
Was ist passiert?
Die irische Datenschutzbehörde (Data Protection Commission, DPC) verhängte ein Bußgeld gegen die WhatsApp Ireland ltd. in Höhe von 225 Millionen Euro. Dies ist das höchste bisher durch die irische DPC verhängte Bußgeld. Das Bußgeld wurde zuvor durch den Europäischen Datenschutzausschuss (EDSA) von 30-50 Millionen Euro auf 225 Millionen Euro angehoben.
Das entsprechende Verfahren gegen das Unternehmen wurde mit einer Untersuchung durch DPC bereits am 10. Dezember 2018 begonnen. Kern dieser Untersuchungen war, ob WhatsApp den Transparenzverpflichtungen (Artikel 12-14 DSGVO) gegenüber NutzerInnen und Nicht-NutzerInnen der WhatsApp Dienste nachgekommen ist.
Die Untersuchungen ergaben, dass personenbezogene Daten (pbDaten) innerhalb der Facebook-Gruppe weitergeleitet wurden, ohne, daß dies für NutzerInnen transparent war (Artikel 5 Absatz 1 a DSGVO). Unter anderem waren die in der verwendeten Datenschutzerklärung aufgeführten „berechtigten Interessen“ nicht deutlich ausformuliert. Dies wurde in Bezug auf EmpfängerInnen der pbDaten sowie die Beschreibungen der berechtigten Interessen und welche Stelle bei einzelnen Verarbeitungen welches berechtigte Interesse verfolgt, bemängelt.
Ein weiterer Punkt war der Umgang mit pbDaten von Nicht-WhatsApp-NutzerInnen. Die beim Upload der Telefonbücher erstellten und genutzten „Nicht-Benutzer-Listen“ in verkürzter, also „gehashter“ Form stellen pbDaten dar. Dies ist ein Verstoß gegen die Rechtmäßigkeit der Verarbeitung (Artikel 6 Absatz 1 DSGVO) und gegen die Informationspflicht, wenn die pBDaten nicht bei der betroffenen Person selbst erhoben wurden (Artikel 14 DSGVO).
WhatsApp hat die Auflage, die Verarbeitung der pbDaten zu verändern.
Warum dauerte es so lange?
Die zeitliche Länge von Verfahren wurde bereits im Vorfeld dieser Entscheidung kritisiert. Die Vorlage der Ergebnisse und Begründungen der DPC zwischen der federführenden und den anderen betroffenen Aufsichtsbehörden (Artikel 60 DSGVO) erfolgte im Dezember 2020.
Da sich die die Aufsichtsbehörden bezüglich der Bewertungen der irischen DPC, wie auch der ursprünglich vorgeschlagenen Bußgeldhöhe nicht einigen konnten, wurde am 03. Juni 2021 die Streitbeilegung durch den Europäischen Datenschutzausschuss (EDSA) gemäß Artikel 65 begonnen und mit dem vorliegenden Beschluss am 28. Juli 2021, sowie der Bekanntgabe durch die irische DPC am 02.09.2021 nun endlich vorerst abgeschlossen.
Wie geht es weiter?
WhatsApp hat bereits angekündigt, gegen das Bußgeld rechtliche Schritte einzuleiten. Dies kann vor dem irischen HighCourt oder dem europäischen Gerichthof erfolgen. Es bleibt abzuwarten, welche Beurteilung das jeweilige Gericht vornehmen wird und ob das im Verhältnis zum Umsatz der Facebook-Gruppe niedrige Bußgeld Bestand haben wird.
Zur Vermeidung von Verfahren mit Aufsichtsbehörden oder Rechtsstreitigkeiten empfehlen wir Verantwortlichen andere Messenger Dienste zu nutzen oder die WhatsApp-Funktionalitäten entsprechend einzugrenzen.
Das Avallon-Team steht Ihnen wie immer gerne beratend zur Seite.
Quellen
https://www.golem.de/news/dsgvo-whatsapp-muss-225-millionen-euro-strafe-zahlen-2109-159302.html
https://noyb.eu/de/stellungnahme-dpc-verhaengt-eu-225-millionen-bussgeld-gegen-whatsapp