Rekordbußgeld gegen WhatsApp – und das nächste direkt hinterher?

Die irische Datenschutzaufsichtsbehörde (Data Protection Commission (DPC)) verhängte am 2. September 2021 ein Bußgeld in Höhe von 225 Mio. Euro gegen WhatsApp Ireland Ltd. Dem Unternehmen wird vorgeworfen, seinen Transparenzverpflichtungen nicht nachgekommen zu sein und daher mehrfach gegen die Bestimmungen der DSGVO verstoßen zu haben (siehe auch die Pressemitteilung der DPC).

Hintergrund der DSGVO-Geldbuße

Bereits seit dem Inkrafttreten der DSGVO im Jahr 2018 ermittelte die DPC gegen die WhatsApp Ireland Ltd., die eine Facebook-Tochtergesellschaft ist, ob WhatsApp gegen die Transparenzverpflichtungen aus der DSGVO verstoßen hat. Insbesondere soll WhatsApp bei der Weitergabe seiner Daten zwischen WhatsApp und weiteren Facebook-Gesellschaften seine Nutzer nicht ausreichend informiert haben.

Wie viele weitere U.S.-Tech-Giganten, etwa Google und Apple, hat auch WhatsApp seinen europäischen Hauptsitz in Dublin, so dass die DPC die zuständige Aufsichtsbehörde ist.

Tipp: Wir kommentieren regelmäßig verhängte DSGVO-Bußgelder und erläutern, was andere Unternehmen tun können, um solche Strafen zu vermeiden!

Begründung der Bußgeldhöhe

Das gegen WhatsApp verhängte Bußgeld in Höhe von 225 Mio. Euro stellt das bisher höchste von der DPC verhängte Bußgeld dar. Die Summe relativiert sich jedoch in Anbetracht dessen, dass der Strafrahmen der DSGVO Geldbußen von bis zu vier Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres vorsieht. Rechnet man das Bußgeld im Falle von WhatsApp um, entspricht es jedoch nur 0,08 % des Umsatzes der Facebook-Gruppe, kritisiert der Österreichische Datenschutzaktivist Max Schrems und Gründer der Organisation NOYB (none of your business).

Max Schrems erreichte zuletzt durch das Urteil des Europäischen Gerichtshofs (EuGH), dass das EU-U.S.-Privacy Shield für ungültig erklärt wurde, was weitreichende Auswirkungen auf den Transfer personenbezogener Daten in die USA und in andere Drittstaaten zur Folge hat.

WhatApp hingegen bezeichnete das Bußgeld als „vollkommen unangemessen“ und kündigte bereits an, Rechtsmittel gegen die Entscheidung einlegen zu wollen. Die Bilanz des Unternehmens zeigt zudem, dass WhatsApp nicht mit einem solchen Bußgeld gerechnet hat, da für mögliche Geldstrafen lediglich 77,5 Mio. Euro Rückstellungen gebildet wurden.

Der Fall WhatsApp macht deutlich, dass selbst nach über drei Jahren seit Inkrafttreten der DSGVO bei der Festsetzung der Höhe eines Bußgeldes zwischen den nationalen Datenschutz-Aufsichtsbehörden aus vielen EU-Ländern Uneinigkeit herrscht. So wollte die DPC zunächst ein viel niedrigeres Bußgeld zwischen 30 und 50 Mio. Euro verhängen. Daraufhin intervenierten die Aufsichtsbehörden zahlreicher anderer Länder, u.a. auch Deutschland, da diese eine solche Bußgeldsumme angesichts der zugrundeliegenden Datenschutzverstöße für zu niedrig erachteten.

Da die verschiedenen nationalen Datenschutz-Aufsichtsbehörden keine Einigkeit erzielen konnten, musste der Europäische Datenschutzausschuss (EDSA) letztlich einen verbindlichen Beschluss erlassen, der viele Beanstandungen der vorgenannten Datenschutz-Aufsichtsbehörden anerkannte und letztlich ein Bußgeld in Höhe von 225 Mio. Euro festlegte. Zusätzlich verwarnte der EDSA WhatsApp und forderte eine Änderung der Datenverarbeitung.

Datenschutzrechtliche Einschätzung

Dieses Rekordbußgeld in dreistelliger Millionenhöhe macht erneut deutlich, dass die DSGVO primär dem Schutz von Betroffenenrechten dient und hohe Bußgelder durch Aufsichtsbehörden nicht nur theoretischer Natur sind. Dies gilt insbesondere bei Verstößen gegen die in Art. 12-14 DSGVO normierten Informationspflichten, um eine transparente Datenverarbeitung für Betroffene sicherzustellen.

Folgt direkt ein weiteres Bußgeld für WhatsApp?

Die Stiftung ProPublica, die für ihren investigativen Journalismus bekannt ist, veröffentlichte kurz nach Verhängung des Rekordbußgeldes einen Bericht, in dem sie dargelegt, dass die Privatsphäre der WhatsApp-Nutzer scheinbar nicht ausreichend gewahrt wird. Das könnte ein weiteres Bußgeld für WhatsApp zur Folge haben.

Einerseits gibt WhatsApp an, durch den Einsatz einer Ende-zu-Ende-Verschlüsselung die Vertraulichkeit der ausgetauschten Mitteilungen über den Messengerdienst bestmöglich wahren zu wollen. Andererseits ist das Unternehmen aufgrund gesetzlicher Vorgaben dazu angehalten, anstößige oder sogar illegale Inhalte, die von anderen Nutzern gemeldet werden, zu untersuchen, um die Nutzer zu schützen.

Da die Nachrichten nicht, wie etwa bei den verwandten Diensten Facebook und Instagram, mittels Algorithmen künstlicher Intelligenz durchsucht werden können, überprüfen laut Angaben von ProPublica mehr als 1.000 Mitarbeiter in den USA, Irland und Singapur gemeldete Nachrichten auf ihren Inhalt hin. Bei diesen Inhaltsprüfern handelt es sich nicht um Angestellte von WhatsApp. Vielmehr sind diese Personen bei externen Firmen, wie bspw. der Unternehmensberatung Accenture, angestellt und überprüfen die Chat-Inhalte, die auch sensible Daten enthalten können, für umgerechnet 14 Euro pro Stunde.

Bei Meldung durch einen WhatsApp-Nutzer werden die letzten fünf Nachrichten inklusive etwaiger gesendeter Fotos und Videos unverschlüsselt an WhatsApp übertragen und nach einer automatischen Sortierung mittels künstlicher Intelligenz für die Inhaltsprüfer freigegeben. Zusätzlich werden die unverschlüsselten gemeldeten Inhalte mittels künstlicher Intelligenz auf verdächtige Informationen und Inhalte überprüft.

Der größte Kritikpunkt bei diesem Vorgehen ist zum einen die Intensität (bspw. hätte auch nur die letzte Nachricht zur Inhaltsprüfung offengelegt werden können) und zum anderen, dass der Nutzer nicht über die Weitergabe an Dritte (die externen Inhaltsprüfer) informiert wird. Fraglich ist ebenfalls, auf welche gesetzliche Rechtsgrundlage dieses Vorgehen gestützt wird.

Zusätzlich wird WhatsApp in dem Bericht vorgeworfen, außerordentlich viele Meta-Daten seiner weltweit mehr als 151 Millionen monatlich aktiven Nutzer zu sammeln. Nach Angaben von ProPublica handelt es sich hierbei um den Namen und Profilbilder vom Nutzer einer WhatsApp-Gruppe sowie der Telefonnummer, Profilfoto, Statusnachricht, Akkustand des Telefons, Sprache, Zeitzone, individuelle Telefon-ID, IP-Adresse, Stärke des WLAN-Signals, Betriebssystem des Telefons sowie zugehörige Facebook- und Instagram-Konten, den Zeitpunkt der letzten Benutzung der App und ggf. frühere Verstöße. Unklar ist, für welchen Zweck alle diese Informationen erforderlich sind und verwendet werden. Obwohl Metadaten über den eigentlichen Inhalt eines Chat-Verlaufs über WhatsApp keine Auskünfte geben, lassen sich doch sehr viele Rückschlüsse aus diesen Daten ziehen.

Problematisch ist sowohl bei der Weiterleitung und Inhaltsprüfung von gemeldeten Nachrichten als auch bei der Sammlung von Metadaten, dass WhatsApp dieses Vorgehen seinen Nutzern gegenüber nicht transparent macht, wie auch schon bei der Datenweitergabe an die Muttergesellschaft Facebook, wofür das oben diskutierte Rekordbußgeld verhängt wurde.

Ausblick

Es bleibt abzuwarten, wie sich der Fall WhatsApp weiterentwickelt, da sich WhatsApp im Rahmen eines Berufungsverfahrens gegen das Bußgeld wehren wird. Dies hätte zunächst einen langwierigen Gerichtsprozess mit ungewissem Ausgang zur Folge. Auch ein weiteres Bußgeld durch die DPC wegen inhaltlicher Überprüfung von Nachrichten durch Externe und übermäßiger Sammlung von Metadaten ist nicht unwahrscheinlich.

Die Verhängung von Rekordbußgeldern erschüttert nicht nur das Vertrauen der Nutzer und hat zudem einen erheblichen Reputationsverlust für den gesamten Konzern zur Folge.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Kommentar schreiben

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Netiquette: Wir tolerieren keine grob unsachlichen Beiträge oder Werbung in eigener Sache und werden entsprechende Einträge nicht veröffentlichen sondern löschen. Informationen zu der Verarbeitung Ihrer personenbezogenen Daten finden Sie in unserer Datenschutzerklärung.