Hohes Bußgeld für WhatsApp

Hohes Bußgeld für WhatsApp

Die Einhaltung der aus der DSGVO vorgegebenen Verpflichtungen in Bezug auf die Rechtmäßigkeit und die Transparenz von Verarbeitungen personenbezogener Daten (pbDaten) wie auch die korrekte Identifizierung, welche Daten als personenbezogen gelten, sind für Verantwortliche wichtig. Diese Informationen sollten in detaillierten, leicht zugänglichen und leicht verständlichen Datenschutzerklärungen für die betroffenen Personen bereitgestellt werden. 

Was ist passiert?

Die irische Datenschutzbehörde (Data Protection Commission, DPC) verhängte ein Bußgeld gegen die WhatsApp Ireland ltd. in Höhe von 225 Millionen Euro. Dies ist das höchste bisher durch die irische DPC verhängte Bußgeld. Das Bußgeld wurde zuvor durch den Europäischen Datenschutzausschuss (EDSA) von 30-50 Millionen Euro auf 225 Millionen Euro angehoben.

Das entsprechende Verfahren gegen das Unternehmen wurde mit einer Untersuchung durch DPC bereits am 10. Dezember 2018 begonnen. Kern dieser Untersuchungen war, ob WhatsApp den Transparenzverpflichtungen (Artikel 12-14 DSGVO) gegenüber NutzerInnen und Nicht-NutzerInnen der WhatsApp Dienste nachgekommen ist.

Die Untersuchungen ergaben, dass personenbezogene Daten (pbDaten) innerhalb der Facebook-Gruppe weitergeleitet wurden, ohne, daß dies für NutzerInnen transparent war (Artikel 5 Absatz 1 a DSGVO). Unter anderem waren die in der verwendeten Datenschutzerklärung aufgeführten „berechtigten Interessen“ nicht deutlich ausformuliert. Dies wurde in Bezug auf EmpfängerInnen der pbDaten sowie die Beschreibungen der berechtigten Interessen und welche Stelle bei einzelnen Verarbeitungen welches berechtigte Interesse verfolgt, bemängelt.

Ein weiterer Punkt war der Umgang mit pbDaten von Nicht-WhatsApp-NutzerInnen. Die beim Upload der Telefonbücher erstellten und genutzten „Nicht-Benutzer-Listen“ in verkürzter, also „gehashter“ Form stellen pbDaten dar. Dies ist ein Verstoß gegen die Rechtmäßigkeit der Verarbeitung (Artikel 6 Absatz 1 DSGVO) und gegen die Informationspflicht, wenn die pBDaten nicht bei der betroffenen Person selbst erhoben wurden (Artikel 14 DSGVO).

WhatsApp hat die Auflage, die Verarbeitung der pbDaten zu verändern.

Warum dauerte es so lange? 

Die zeitliche Länge von Verfahren wurde bereits im Vorfeld dieser Entscheidung kritisiert. Die Vorlage der Ergebnisse und Begründungen der DPC zwischen der federführenden und den anderen betroffenen Aufsichtsbehörden (Artikel 60 DSGVO) erfolgte im Dezember 2020.

Da sich die die Aufsichtsbehörden bezüglich der Bewertungen der irischen DPC, wie auch der ursprünglich vorgeschlagenen Bußgeldhöhe nicht einigen konnten, wurde am 03. Juni 2021 die Streitbeilegung durch den Europäischen Datenschutzausschuss (EDSA) gemäß Artikel 65 begonnen und mit dem vorliegenden Beschluss am 28. Juli 2021, sowie der Bekanntgabe durch die irische DPC am 02.09.2021 nun endlich vorerst abgeschlossen.

Wie geht es weiter?

WhatsApp hat bereits angekündigt, gegen das Bußgeld rechtliche Schritte einzuleiten. Dies kann vor dem irischen HighCourt oder dem europäischen Gerichthof erfolgen. Es bleibt abzuwarten, welche Beurteilung das jeweilige Gericht vornehmen wird und ob das im Verhältnis zum Umsatz der Facebook-Gruppe niedrige Bußgeld Bestand haben wird.

Zur Vermeidung von Verfahren mit Aufsichtsbehörden oder  Rechtsstreitigkeiten empfehlen wir Verantwortlichen andere Messenger Dienste zu nutzen oder die WhatsApp-Funktionalitäten entsprechend einzugrenzen.

Das Avallon-Team steht Ihnen wie immer gerne beratend zur Seite.

Quellen

https://dataprotection.ie/en/news-media/press-releases/data-protection-commission- announces-decision-whatsapp-inquiry   

https://edpb.europa.eu/our-work-tools/our-documents/binding-decision-board-art-65/binding-decision-12021-dispute-arisen_en  

https://www.golem.de/news/dsgvo-whatsapp-muss-225-millionen-euro-strafe-zahlen-2109-159302.html  

https://noyb.eu/de/stellungnahme-dpc-verhaengt-eu-225-millionen-bussgeld-gegen-whatsapp  

Denkanstoß 02/2019
Avallon

1. Der BREXIT und die DSGVO

Falls Sie aktuell (oder geplant) personenbezogene Daten mit Unternehmen in Großbritannien austauschen, ist es notwendig, sich im Falle eines Austritts der Briten aus der EU auf mehr oder weniger große Änderungen im Datenschutz vorzubereiten. Diese Änderungen sind abhängig von den vier verschiedenen Szenarien, die eintreten können:

  1. Bis zum neuen geplanten Austrittsdatum am 12.04.2019 liegt ein Abkommen vor. Danach beginnt eine Übergangsphase bis zum 31.12.2020, in der alle datenschutzrelevanten Themen geregelt werden können.
  2. Das Austrittsdatum wird einvernehmlich verschoben. Auch in diesem Fall gibt es noch genügend Zeit, alle datenschutzrelevanten Themen zu regeln.
  3. Es gibt einen „No-Deal-Brexit“. In diesem Fall gilt Großbritannien ab dem 12.4.2019 als Drittland – und dass solange, bis die EU formal ein sog. angemessenes Schutzniveau festlegt. Dies wäre der denkbar schlechteste Fall für den Datenschutz, da Sie zeitnah alle Veränderungen durchführen müssten – möglicherweise die Einstellung des Datenaustausches.
  4. Das Vereinigte Königreich nimmt den Brexit zurück und bleibt weiterhin als vollwertiges Mitglied in der EU – dies bedeutet für Sie, keine Änderungen vornehmen zu müssen.

Treten die Briten aus der EU aus, stehen Ihnen vier Verfahren zur Verfügung, um den Datenverkehr mit den Briten weiter betreiben zu können; Details hierzu stellen wir Ihnen gerne zur Verfügung.

Folgende Sofort-Maßnahmen könnten akut notwendig sein:

  • Betroffenen Personen (Kunden, Mitarbeiter, etc.) müssen DSGVO-konform über den Datenaustausch mit Großbritannien informiert werden. Dazu müssen z.B. die Datenschutzerklärungen aktualisiert werden.
  • Bereits dokumentierte Verarbeitungstätigkeiten, sowie technische und organisatorische Maßnahmen müssen aktualisiert werden.

 

2. Die Email und die Datenschutzverletzung

Die häufigsten Datenpannen, die derzeit an die Aufsichtsbehörden gemeldet werden, sind Datenschutzverletzungen mit dem Medium Email. Zum einen sind dies Emails mit personenbezogenen Daten und zum anderen unzulässige Verteiler im „An“ oder „Cc“. Als kleine Hilfe haben wir in der folgenden Tabelle mögliche Fehler und Maßnahmen für Sie zusammengestellt:

 

Mögliche Fehler

  • Versehentlich die falsche Empfängeradresse ausgewählt
    (falls die Email personenbezogene Daten beinhaltet, wäre dies einen Datenschutzverletzung)

 

  • Eine Antwort auf eine vertrauliche Anfrage wird „an alle Empfänger“ gesendet, ohne zu überprüfen, ob alle Empfänger berechtigt sind.

 

  • Es werden zu viele bzw. die falschen Empfänger in „An“ oder „Cc“ eingetragen (Jede Emailadresse ist ein personenbezogener Datensatz und darf von Ihnen nicht an Unbefugte zur Kenntnis gegeben werden).

 

  • Personenbezogene Daten befinden sich im Text der Email

 

  • Personenbezogene Daten befinden sich in einer Datei im Anhang der Email

Maßnahmen

  •  Vor dem Senden nochmals prüfen, ob tatsächlich der richtige Empfänger eingetragen ist

         Autovervollständigung ausschalten

 

  • Überprüfung der Empfänger, speziell wenn nur die Empfängergruppe zu sehen ist

         Vergewissern Sie sich, für welche Zwecke diese                     Adressgruppe genutzt darf

         Sensibilisieren Sie Ihre direkten Kollegen

  •  Nutzen Sie für solche Verteiler das „Bcc“ Feld, in diesem Fall sieht keiner die anderen Empfänger

         Reduzieren Sie die Empfänger

         Holen Sie sich Hilfe in Ihrer IT-Abteilung oder von                   Avallon

  • Emails gelten als „Postkarten“ und sind nicht DSGVO konform.

        Entweder die gesamte Email verschlüsselt senden               (mit Hilfe Ihrer IT-Abteilung)

        Oder den Inhalt als verschlüsselten Anhang senden.            7Zip oder Keka sind kostenlose Programme, die                    DSGVO konform Dateien verschlüsseln, die Sie dann            per Email versenden können.

  • Die Datei muss als verschlüsselter Anhang gesendet werden. 7Zip oder Keka sind kostenlose Programme, die DSGVO konform Dateien verschlüsseln, die Sie dann mit Ihrer Email versenden können.

3. Die DSGVO und die Privatpersonen

Gilt die DSGVO auch für Privatpersonen?

Auch die meisten Privatpersonen speichern, verändern, verbreiten oder löschen jeden Tag personenbezogene Daten. Solange sie dies ausschließlich zur Ausübung persönlicher oder familiärer Tätigkeiten tun, findet die DSGVO keine Anwendung.

Die DSGVO will die Verarbeitung von personenbezogenen Daten durch juristische Personen, also z.B. GmbHs, Aktiengesellschaften oder auch Vereine, regeln und die personenbezogenen Daten von natürlichen (privaten) Personen schützen.

Gleichwohl kann die DSGVO auch Privatpersonen treffen. Beim Ehrenamt zum Beispiel. Denn sobald eine ehrenamtliche Tätigkeit z.B. in einem Verein oder einer Stiftung ausgeübt wird, fällt der rein persönliche Zweck weg. An dessen Stelle tritt der Vereins- oder Stiftungszweck. Das bedeutet, dass alle personenbezogenen Daten, die im Rahmen dieses Zwecks verarbeitet werden, auch der DSGVO unterliegen. Dies gilt selbst dann, wenn Sie diese Tätigkeiten aus privaten Motiven ausüben.

Auch eine privat verschickte E-Mail mit einem „offenen“ Verteiler (siehe hierzu Artikel 2) kann gegen die DGSVO verstoßen. Bei einem „offenen“ Verteiler kann jeder Empfänger die übrigen im Email-Kopf lesen. Diese Form der Veröffentlichung kann deutlich über die persönlichen oder familiären Zwecke hinausgehen und die Rechte und Grundfreiheiten Dritter erheblich einschränken: Nicht jeder möchte seine E-Mail-Adresse in einem öffentlichen Verteiler wiederfinden.

Der Sinn und Zweck der DSGVO, nämlich die Rechte und Grundfreiheiten von natürlichen Personen zu schützen, ist universell.

 

4. Der Beschwerdeführer und der Datenschutz?

Bereits mehr als 90.000 Menschen haben sich allein in Deutschland bei den Aufsichtsbehörden über mangelnden Datenschutz in den Unternehmen beschwert. Es kann jedoch auch einen anderen Weg geben, mit Problemen und Fragen zu datenschutzrelevanten Themen umzugehen.  Diese Überlastung der Aufsichtsbehörden, in Verbindung mit einem sehr neuen Gesetz, würde verhindert, wenn sich die Betroffenen direkt an den Datenschutzbeauftragten (DSB) des Unternehmens wenden würden. Der DSB hat die Aufgabe, die Rechte der betroffenen Personen wahrzunehmen und ist dabei weisungsfrei sowie zur Geheimhaltung und Vertraulichkeit verpflichtet.

Der DSB kann vor Ort entsprechende Maßnahmen direkt ergreifen, führt auch die mögliche fachliche Kommunikation mit der Datenschutzbehörde durch und begleitet die notwendigen Maßnahmen vor Ort. Ist kein DSB zu ermitteln, kann die Anfrage an den Geschäftsführer gerichtet werden. Eine Beschwerde direkt beim Landesamt für Datenschutz hat eine eigene Qualität: Die Behörde muss sofort offiziell tätig werden und einen „Fall öffnen“. Mit anderen Worten: die mögliche “Bestrafung” scheint wichtiger zu sein, als die lösungsorientierte Verbesserung des Datenschutzes.

 

5. Der Messanger WhatsApp und die DSGVO

Wer WhatsApp installiert, akzeptiert damit auch die Datenschutzbestimmungen von WhatsApp und willigt damit ein, dass personenbezogene Daten von Dritten, das sind die auf dem Gerät gespeicherten Kontakte, von WhatsApp auf den WhatsApp Servern gespeichert werden. Zusätzlich willigen Sie ein, dass WhatsApp diese Kontaktdaten verkaufen kann. Beides stellt, sofern nicht eine schriftliche Einwilligung des Dritten vorliegt, einen gravierenden Verstoß gegen die Datenschutzgrundverordnung dar.

Sollte der WhatsApp Messenger im beruflichen Umfeld genutzt werden und z.B. mit dem privaten Smartphone dienstliche Nachrichten ausgetauscht werden, dann wird das private Telefon in diesem Fall formal zu einem Diensthandy und die DSGVO greift in vollem Umfang – mit entsprechenden Auswirkungen für den Verantwortlichen, i.d.R. der Geschäftsführer Ihres Unternehmens.

Was können Sie tun?

  • Nutzen Sie einen anderen Messenger – eine entsprechende Informations-Auswahl können wir Ihnen zur Verfügung stellen.
  • bei Apple-Smartphones ist der Datenschutz eingebaut, in den Systemeinstellungen besteht die Möglichkeit, den Zugriff von WhatsApp auf Ihre Kontakte zu verhindern.
  • für Android-Geräte gibt es zusätzliche Anwendungen, die es ermöglichen, für jeden Kontakt einzeln zu bestimmen, ob WhatsApp darauf zugreifen darf oder nicht.

Wir empfehlen Ihnen zu überlegen, welche Konsequenzen die berufliche Nutzung von WhatsApp für den Verantwortlichen nach sich zieht.

 

6. Die Bußgelder

Ist die Schonzeit vorbei? Greifen Datenschutzbehörden künftig härter durch bei Verstößen gegen die DSGVO? Aktuelle Fälle zeigen, auf welche Bußgelder sich Unternehmen bei Vergehen gefasst machen müssen.

Läuft doch alles bestens beim Datenschutz – diesen Eindruck konnte man bis vor Kurzem fast gewinnen. Denn von den anfangs befürchteten Strafen war kaum etwas zu hören, nachdem die DSGVO am 25. Mai 2018 in Kraft getreten war. Doch die zuständigen Behörden scheinen die Zügel anzuziehen.

„Bußgelder werden höher ausfallen“

So kündigte der baden-württembergische Landesbeauftragte für den Datenschutz und die Informationsfreiheit (LfDI) Stefan Brink Anfang Februar im SWR an: „2019 wird das Jahr der Kontrollen.“ Er warnte Unternehmen ausdrücklich davor, unnötige Risiken einzugehen: „Wer auf Lücke setzt, der muss damit rechnen, dass 2019 ein schwieriges Jahr wird.“

Das Handelsblatt hat in einer seiner letzten Ausgaben die bisherigen Bußgelder analysiert und nennt im abschließenden Bericht folgende sanktionierte Verhaltensweisen:

  • unzureichende technische und organisatorische Maßnahmen eines Hotels, durch die nicht ausgeschlossen werden konnte, dass bei einem erpresserischen Hackerangriff Kreditkarten- oder andere Kundendaten aus seinem Buchungssystem offenbart wurden
  • Veröffentlichung von Gesundheitsdaten im Internet aufgrund unzureichender interner Kontrollmechanismen
  • Offenlegung von Gesundheitsdaten an den falschen Patienten durch ein Krankenhaus
  • Aufzeichnung sämtlicher ausgehender und eingehender Anrufe bei einer Feuerwehr des Landes Bremen
  • Offenlegung von Kontoauszügen an Unbefugte beim Online-Banking
  • unzulässige Werbe-E-Mails
  • unbefugte Kopie von Kundendaten bei einem Hackerangriff auf einen Webshop
  • unzulässige Dashcam-Nutzung
  • offene E-Mail-Verteiler
  • unzulässige Videoüberwachung von Kunden und Arbeitnehmern.

Dies ist nur ein Auszug aus der aktuellen Liste. Im nächsten Denkanstoß wollen wir einzelne Bußgelder beleuchten und Ihnen vorstellen.

 

7. Der Denkanstoß-Spruch

Datenschutz sollte beidseitig sein: „Unsere Daten zu schützen und uns vor Ihnen.“
(Erhard Blanck *1942 deutscher Heilpraktiker, Schriftsteller und Maler)

 

Gerne stehe ich Ihnen telefonisch oder in einem persönlichen Gespräch zur Verfügung.

 

Ihr Datenschutzbeauftragter
Jörg Stockmann

 

Aurich, April 2019