Hohes Bußgeld für WhatsApp

Hohes Bußgeld für WhatsApp

Die Einhaltung der aus der DSGVO vorgegebenen Verpflichtungen in Bezug auf die Rechtmäßigkeit und die Transparenz von Verarbeitungen personenbezogener Daten (pbDaten) wie auch die korrekte Identifizierung, welche Daten als personenbezogen gelten, sind für Verantwortliche wichtig. Diese Informationen sollten in detaillierten, leicht zugänglichen und leicht verständlichen Datenschutzerklärungen für die betroffenen Personen bereitgestellt werden. 

Was ist passiert?

Die irische Datenschutzbehörde (Data Protection Commission, DPC) verhängte ein Bußgeld gegen die WhatsApp Ireland ltd. in Höhe von 225 Millionen Euro. Dies ist das höchste bisher durch die irische DPC verhängte Bußgeld. Das Bußgeld wurde zuvor durch den Europäischen Datenschutzausschuss (EDSA) von 30-50 Millionen Euro auf 225 Millionen Euro angehoben.

Das entsprechende Verfahren gegen das Unternehmen wurde mit einer Untersuchung durch DPC bereits am 10. Dezember 2018 begonnen. Kern dieser Untersuchungen war, ob WhatsApp den Transparenzverpflichtungen (Artikel 12-14 DSGVO) gegenüber NutzerInnen und Nicht-NutzerInnen der WhatsApp Dienste nachgekommen ist.

Die Untersuchungen ergaben, dass personenbezogene Daten (pbDaten) innerhalb der Facebook-Gruppe weitergeleitet wurden, ohne, daß dies für NutzerInnen transparent war (Artikel 5 Absatz 1 a DSGVO). Unter anderem waren die in der verwendeten Datenschutzerklärung aufgeführten „berechtigten Interessen“ nicht deutlich ausformuliert. Dies wurde in Bezug auf EmpfängerInnen der pbDaten sowie die Beschreibungen der berechtigten Interessen und welche Stelle bei einzelnen Verarbeitungen welches berechtigte Interesse verfolgt, bemängelt.

Ein weiterer Punkt war der Umgang mit pbDaten von Nicht-WhatsApp-NutzerInnen. Die beim Upload der Telefonbücher erstellten und genutzten „Nicht-Benutzer-Listen“ in verkürzter, also „gehashter“ Form stellen pbDaten dar. Dies ist ein Verstoß gegen die Rechtmäßigkeit der Verarbeitung (Artikel 6 Absatz 1 DSGVO) und gegen die Informationspflicht, wenn die pBDaten nicht bei der betroffenen Person selbst erhoben wurden (Artikel 14 DSGVO).

WhatsApp hat die Auflage, die Verarbeitung der pbDaten zu verändern.

Warum dauerte es so lange? 

Die zeitliche Länge von Verfahren wurde bereits im Vorfeld dieser Entscheidung kritisiert. Die Vorlage der Ergebnisse und Begründungen der DPC zwischen der federführenden und den anderen betroffenen Aufsichtsbehörden (Artikel 60 DSGVO) erfolgte im Dezember 2020.

Da sich die die Aufsichtsbehörden bezüglich der Bewertungen der irischen DPC, wie auch der ursprünglich vorgeschlagenen Bußgeldhöhe nicht einigen konnten, wurde am 03. Juni 2021 die Streitbeilegung durch den Europäischen Datenschutzausschuss (EDSA) gemäß Artikel 65 begonnen und mit dem vorliegenden Beschluss am 28. Juli 2021, sowie der Bekanntgabe durch die irische DPC am 02.09.2021 nun endlich vorerst abgeschlossen.

Wie geht es weiter?

WhatsApp hat bereits angekündigt, gegen das Bußgeld rechtliche Schritte einzuleiten. Dies kann vor dem irischen HighCourt oder dem europäischen Gerichthof erfolgen. Es bleibt abzuwarten, welche Beurteilung das jeweilige Gericht vornehmen wird und ob das im Verhältnis zum Umsatz der Facebook-Gruppe niedrige Bußgeld Bestand haben wird.

Zur Vermeidung von Verfahren mit Aufsichtsbehörden oder  Rechtsstreitigkeiten empfehlen wir Verantwortlichen andere Messenger Dienste zu nutzen oder die WhatsApp-Funktionalitäten entsprechend einzugrenzen.

Das Avallon-Team steht Ihnen wie immer gerne beratend zur Seite.

Quellen

https://dataprotection.ie/en/news-media/press-releases/data-protection-commission- announces-decision-whatsapp-inquiry   

https://edpb.europa.eu/our-work-tools/our-documents/binding-decision-board-art-65/binding-decision-12021-dispute-arisen_en  

https://www.golem.de/news/dsgvo-whatsapp-muss-225-millionen-euro-strafe-zahlen-2109-159302.html  

https://noyb.eu/de/stellungnahme-dpc-verhaengt-eu-225-millionen-bussgeld-gegen-whatsapp  

Lfd Niedersachsen verhängt Bußgeld gegen notebooksbilliger.de

LfD Niedersachsen verhängt Bußgeld über 10,4 Millionen Euro gegen notebooksbilliger.de

Die Landesbeauftragte für den Datenschutz (LfD) Niedersachsen hat eine Geldbuße über 10,4 Millionen Euro gegenüber der notebooksbilliger.de AG ausgesprochen. Das Unternehmen hatte über mindestens zwei Jahre seine Beschäftigten per Video überwacht, ohne dass dafür eine Rechtsgrundlage vorlag. Die unzulässigen Kameras erfassten unter anderem Arbeitsplätze, Verkaufsräume, Lager und Aufenthaltsbereiche.

Das Unternehmen hatte sich darauf berufen, dass es Ziel der installierten Videokameras gewesen sei, Straftaten zu verhindern und aufzuklären sowie den Warenfluss in den Lagern nachzuverfolgen. Zur Verhinderung von Diebstählen muss eine Firma aber zunächst mildere Mittel prüfen (z. B. stichprobenartige Taschenkontrollen beim Verlassen der Betriebsstätte). Eine Videoüberwachung zur Aufdeckung von Straftaten ist zudem nur rechtmäßig, wenn sich ein begründeter Verdacht gegen konkrete Personen richtet. Ist dies der Fall, kann es zulässig sein, diese zeitlich begrenzt mit Kameras zu überwachen. Bei notebooksbilliger.de war die Videoüberwachung aber weder auf einen bestimmten Zeitraum noch auf konkrete Beschäftigte beschränkt. Hinzu kam, dass die Aufzeichnungen in vielen Fällen 60 Tage gespeichert wurden und damit deutlich länger als erforderlich.

Generalverdacht reicht nicht aus

„Wir haben es hier mit einem schwerwiegenden Fall der Videoüberwachung im Betrieb zu tun“, sagt die LfD Niedersachsen, Barbara Thiel, „Unternehmen müssen verstehen, dass sie mit einer solch intensiven Videoüberwachung massiv gegen die Rechte ihrer Mitarbeiterinnen und Mitarbeiter verstoßen“. Auch die immer wieder vorgebrachte, angeblich abschreckende Wirkung der Videoüberwachung rechtfertige keinen dauerhaften und anlasslosen Eingriff in die Persönlichkeitsrechte der Beschäftigten. „Wenn das so wäre, könnten Unternehmen die Überwachung grenzenlos ausdehnen. Die Beschäftigten müssen aber ihre Persönlichkeitsrechte nicht aufgeben, nur weil ihr Arbeitgeber sie unter Generalverdacht stellt“, so Thiel. „Videoüberwachung ist ein besonders intensiver Eingriff in das Persönlichkeitsrecht, da damit theoretisch das gesamte Verhalten eines Menschen beobachtet und analysiert werden kann. Das kann nach der Rechtsprechung des Bundesarbeitsgerichts dazu führen, dass die Betroffenen den Druck empfinden, sich möglichst unauffällig zu benehmen, um nicht wegen abweichender Verhaltensweisen kritisiert oder sanktioniert zu werden.“

Auch Kundinnen und Kunden von notebooksbilliger.de waren von der unzulässigen Videoüberwachung betroffen, da einige Kameras auf Sitzgelegenheiten im Verkaufsraum gerichtet waren. In Bereichen, in denen sich Menschen typischerweise länger aufhalten, zum Beispiel um die angebotenen Geräte ausgiebig zu testen, haben die datenschutzrechtlich Betroffenen hohe schutzwürdige Interessen. Das gilt besonders für Sitzbereiche, die offensichtlich zum längeren Verweilen einladen sollen. Deshalb war die Videoüberwachung durch notebooksbilliger.de in diesen Fällen nicht verhältnismäßig.

Die 10,4 Millionen Euro sind das bisher höchste Bußgeld, das die LfD Niedersachsen unter Geltung der Datenschutz-Grundverordnung (DS-GVO) ausgesprochen hat. Die DS-GVO ermöglicht es den Aufsichtsbehörden, Geldbußen von bis zu 20 Millionen Euro oder bis zu 4 Prozent des gesamten weltweit erzielten Jahresumsatzes eines Unternehmens zu verhängen – je nachdem, welcher Betrag höher ist. Das gegen notebooksbilliger.de ausgesprochene Bußgeld ist noch nicht rechtskräftig. Das Unternehmen hat seine Videoüberwachung mittlerweile rechtmäßig ausgestaltet und dies der LfD Niedersachsen nachgewiesen.

Quelle: Die Landesbeauftragte für den Datenschutz Niedersachsen, Presseinformation vom 08.01.2021