WhatsApp: DSGVO-Strafe von 225 Millionen Euro gegen Messaging-Dienst verhängt

Nach langen Verhandlungen hat die irische Datenschutzaufsichtsbehörde DPC (Data Protection Commission) eine hohe DSGVO-Strafe gegen den Messengerdienst WhatsApp verhängt. Die Strafe von 225 Millionen Euro ist dabei sogar noch höher als die vor drei Jahren geforderten 50 Millionen. Wie kommt das? Und wie wird es jetzt mit WhatsApp weitergehen?

Rekordstrafe für WhatsApp nach DSGVO-Verstoß

WhatsApp und Datenschutz sind keine gute Kombination – dies war schon vor der Einführung der Datenschutzgrundverordnung (DSGVO) vor nunmehr über drei Jahren bekannt. Ein paar Monate nach der Einführung der DSGVO im Mai, genau am 10. Dezember 2018, wurde ein Bußgeldverfahren gegen WhatsApp angestoßen, das sich mehr als drei Jahre bis zum September 2021 hinzog. Zuständig für dieses Verfahren ist die DPC, die irische Datenschutzaufsichtsbehörde, da WhatsApp Teil der Facebook-Gruppe ist, die ihren EU-Hauptsitz in Irland hat. Aber wieso dauert das Verfahren bzw. die Untersuchung gegen WhatsApp so lange?

Ein Grund hierfür ist, dass es sich um einen sehr umfangreichen Datenschutzverstoß handelt. Bemängelt wurden vor allem Verstöße gegen die sogenannten Transparenzvorgaben (Art. 12 – 14 DSGVO), konkret:

• Verstoß von WhatsApp gegen die Transparenz bei der Weitergabe von Personendaten an weitere Facebook-Unternehmen;
• Verstoß gegen den Datenaustausch zwischen Firmen und WhatsApp-Nutzer:innen;
• Mangelnde Information der Nutzer:innen über die Verarbeitung ihrer Daten.

Die irische Aufsichtsbehörde hatte diesbezüglich zuerst eine WhatsApp DSGVO-Strafe in Höhe von 30 bis 50 Millionen Euro veranschlagt. Doch zahlreiche nationale Datenschutz-Aufsichtsbehörden, darunter eine deutsche Aufsichtsbehörde, erhoben dagegen sachdienliche Einwände. Dafür gibt es mehrere Gründe; unter anderem jene, dass die nationalen Aufsichtsbehörden weder mit der Höhe des verhängten Bußgeldes noch mit den verschiedenen festgestellten Verstößen aus Art. 5, 12, 13, und 14 DSGVO, gegen die laut DPC verstoßen wurde, in Consens lagen.
 

Der lange Weg zur WhatsApp DSGVO-Strafe

Da die DPC nicht dafür bekannt ist, hart gegen die großen Tech-Unternehmen vorzugehen, die ihre Firmensitze in Irland haben, musste schließlich der Europäische Datenschutzausschuss (EDSA) zwischen der DPC und den nationalen Aufsichtsbehörden intervenieren. Die DPC sah sich daraufhin gezwungen, die WhatsApp DSGVO-Strafe anzupassen und korrigierte das Bußgeld nach oben – auf 225 Millionen. Ein höheres DSGVO-Bußgeld gab es seit Einführung der DSGVO nur gegen Amazon. Der Versanddienstleister wurde im Juli 2021 von der Datenschutz-Aufsichtsbehörde in Luxemburg zu einer Strafe in Höhe von 746 Millionen Euro verurteilt.

Wie geht es nach der Bekanntgabe des Bußgeldes nun mit WhatsApp weiter? Noch ist das Urteil nicht rechtskräftig. Ein Bußgeld, das bei einem Verstoß gegen den Datenschutz verhängt wird, ist nicht direkt zu bezahlen, sondern erst, wenn es rechtskräftig wurde. Nun lautet die spannende Frage: Wie geht WhatsApp nun mit der Strafe um?
 

WhatsApp kündigt Berufung gegen die Entscheidung der irischen Datenschutzbehörde an

Wie zu erwarten war, geht WhatsApp in die Offensive. Gegen das Bußgeld legte WhatsApp direkt Berufung bei der irischen Datenschutzaufsichtsbehörde ein. Ein Sprecher des Messenger-Dienstes erklärte, dass die Strafe vom Konzern als unverhältnismäßig angesehen werde und Rechtsmittel dagegen eingesetzt werden. Datenschützer:innen befürchten jetzt, dass es zu einem weiteren, langen Rechtsstreit kommen könnte, der nicht mit einer Begleichung des Bußgeldes von WhatsApp, sondern lediglich mit einem Vergleich enden könnte. Das Signal daraus an andere großen Tech-Unternehmen, die enorme Mengen personenbezogener Daten ihrer User:innen (nicht immer datenschutzkonform) verwenden, wäre fatal.

Laut eines Zeitungsartikels der Irish Time wurde inzwischen aber bekannt, dass WhatsApp bereits mit einem Bußgeld in dreistelliger Millionenhöhe gerechnet und einen entsprechenden Geldbetrag zurückgelegt hat. Mehr noch: Das Bußgeld sei anscheinend geringer ausgefallen als intern angenommen, so berichtet die irische Zeitung. Dennoch wird WhatsApp alle Rechtsmittel ausschöpfen, die zur Verfügung stehen, um die Zahlung der Strafe zu umgehen. Am Betrieb wird sich beim Messengerdienst zudem nichts ändern – und leider auch nicht an dessen Umgang bezüglich der Datenschutz-Thematik. Zum Glück haben Verbraucher:innen beim Thema Messenger mittlerweile die Wahl, zu einem Instantmessenger mit mehr Datenschutz zu wechseln.