WhatsApp wegen Datenschutz zu Millionenstrafe verdonnert

Der irische Datenschutzbeauftragte kündigte am Donnerstag (19. Januar) eine Strafe in Höhe von 5,5 Millionen Euro gegen WhatsApp an, nachdem bereits ähnliche Entscheidungen gegen Facebook und Instagram ergangen waren.

Es wurde festgestellt, dass die Rechtsgrundlage, die WhatsApp für die Verarbeitung personenbezogener Daten verwendet, gegen EU-Recht verstößt. Das Unternehmen hat nun sechs Monate Zeit, um Abhilfemaßnahmen zu ergreifen, insbesondere eine neue Rechtsgrundlage zu finden.

Die Entscheidung folgte auf eine Reihe ähnlicher Beschwerden, die von der Nichtregierungsorganisation NOYB unter der Leitung des berüchtigten österreichischen Aktivisten Max Schrems eingereicht wurden, die die Art und Weise, wie die Meta-Plattformen die EU-Datenschutzgrundverordnung (GDPR) einhalten, in Frage stellten.

Am Tag vor dem Inkrafttreten der GDPR änderten alle Meta-eigenen Plattformen ihre Geschäftsbedingungen dahingehend, dass die Nutzer mit der Nutzung des Dienstes der Verarbeitung ihrer personenbezogenen Daten zur Verbesserung des Dienstes und der Sicherheit zustimmten.

„Wir sind der festen Überzeugung, dass die Art und Weise, wie der Dienst funktioniert, sowohl technisch als auch rechtlich konform ist. Wir verlassen uns auf die vertragliche Notwendigkeit zur Verbesserung des Dienstes und der Sicherheit, weil wir glauben, dass die Sicherheit der Menschen und das Angebot eines innovativen Produkts eine grundlegende Verantwortung beim Betrieb unseres Dienstes ist“, sagte ein WhatsApp-Sprecher gegenüber EURACTIV.

Meta hat ein sogenanntes Vertragsmodell als Rechtsgrundlage für die Verarbeitung personenbezogener Daten im Dialog mit der irischen Datenschutzkommission (DPC) entwickelt, die bei den meisten Big-Tech-Unternehmen federführend ist, da sie dort ihren europäischen Hauptsitz haben.

Für Schrems ist dieser Ansatz nichts anderes als eine „Umgehung der Datenschutz-Grundverordnung“, da er den Nutzern keine Möglichkeit gibt, sich dagegen zu entscheiden.

In seiner ersten Entscheidung stellte der Datenschutzbeauftragte fest, dass die Plattformen von Meta gegen die Transparenzanforderungen verstoßen, ließ aber das Vertragsmodell intakt.

Die Datenschutz-Grundverordnung sieht jedoch vor, dass sich andere Datenschutzbehörden in Fällen, die sie betreffen, einschalten können. Wenn keine Einigung erzielt werden kann, wie es hier der Fall war, geht die Entscheidung durch den Streitbeilegungsmechanismus des Europäischen Datenschutzausschusses.

Der Ausschuss erließ im Dezember eine verbindliche Entscheidung, in der er die irische Behörde überstimmte und erklärte, dass das Vertragsmodell gegen den EU-Datenschutzrahmen verstößt. Die Entscheidungen gegen Facebook und Instagram folgten Anfang des Monats.

Die Entscheidung des Ausschusses zu WhatsApp wurde mit einigen Tagen Verspätung an Dublin übermittelt, was zu einem späteren Abschluss der Untersuchung führte. Die Strafe ist jedoch viel niedriger als die gegen Facebook und Instagram verhängten, die sich auf 210 beziehungsweise 180 Millionen Euro beliefen.

Die große Diskrepanz bei den Geldbußen ist darauf zurückzuführen, dass soziale Medien – im Gegensatz zu Messaging-Diensten – personenbezogene Daten für die Bereitstellung lukrativer verhaltensbezogener Werbung verarbeiten. Seit der Übernahme durch Facebook ist jedoch umstritten, in welchem Umfang WhatsApp Daten mit anderen Diensten im Besitz von Meta teilt.

In seiner Entscheidung forderte der Ausschuss die irische Behörde auf, eine neue Untersuchung in dieser Angelegenheit durchzuführen und festzustellen, ob WhatsApp Daten, insbesondere sensible Kategorien, für verhaltensbezogene Werbung und andere Zwecke verarbeitet.

Nach Ansicht des DPC überschritt der Ausschuss mit dieser Aufforderung jedoch seine Zuständigkeit, da er nicht befugt ist, einer unabhängigen Behörde neue Untersuchungen anzuordnen. Daher kündigte die irische Aufsichtsbehörde an, diesen Teil der Entscheidung des Ausschusses vor dem Europäischen Gerichtshof für nichtig erklären zu lassen.

Im Gegensatz dazu ist NOYB der Ansicht, dass die Datenschutzbehörde durch ihre Weigerung, den Datenaustausch innerhalb von Meta zu untersuchen, den Umfang des Verfahrens gegen WhatsApp unangemessen eingeschränkt hat. Obwohl die App einen verschlüsselten Nachrichtendienst anbietet, sammelt sie aufschlussreiche Metadaten über das Kommunikationsverhalten ihrer Nutzer.

„Wir sind erstaunt, wie der DPC nach einem 4,5-jährigen Verfahren den Kern des Falles einfach ignoriert. Auch die verbindliche Entscheidung des EDPB wird vom DPC eindeutig ignoriert. Es scheint, als ob der DPC endgültig alle Verbindungen zu den EU-Partnerbehörden und den Anforderungen des EU- und irischen Rechts kappt“, so Schrems in einer Erklärung.

Wie bei den anderen beiden Entscheidungen gegen die Meta-Plattformen hat WhatsApp angekündigt, dass es Berufung einlegen wird.

[Bearbeitet von Nathalie Weatherald]