Nachdem die irische Datenschutzaufsichtsbehörde DPC (Data Protection Commissioner) bisher eher mit Untätigkeit aufgefallen ist, hat sie nun ein Bußgeld in Höhe von 225 Mio. € gegen WhatsApp erlassen. Dies erscheint relativ ungewöhnlich, da die DPC große Datenverarbeiter wie Google, Amazon und Facebook bisher ziemlich ungestraft davonkommen lassen und Beschwerde- und Bußgeldverfahren eher schleppend vorangebracht hat.

Nun gab es ein Bußgeld in beträchtlicher Höhe, sogar das zweithöchste, was es bisher in der EU gegeben hat (Platz 1: 746 Mio. € gegen Amazon in Luxemburg). Wir möchten mit diesem Beitrag die Hintergründe des Bußgelds beleuchten.

Machtwort durch den Europäischen Datenschutzausschuss (EDSA)

Da WhatsApp bzw. der Mutterkonzern Facebook seinen europäischen Sitz in Irland haben, ist die irische DPC für Verfahren gegen das Unternehmen die federführende Behörde und bekommt Beschwerden und Verfahren von den anderen EU-Ländern diesbezüglich weiter übermittelt.

Im Jahr 2018 war bereits ein Bußgeldverfahren in Irland gegen WhatsApp angelaufen, welches ein Bußgeld zwischen 30 und 50 Mio. € vorsah, aufgrund von Verletzungen gegen die Transparenzpflichten aus Art. 12 ff. DSGVO. Den Nutzern ist nicht klar, wie Daten innerhalb des Facebook-Konzerns weitergegeben und verarbeitet werden. Datenschutzaufsichtsbehörden aus verschiedenen EU-Staaten wie Deutschland, Italien, Polen, Frankreich, Portugal und die Niederlande erhoben dagegen Einwände, weil Sie weitreichendere Verstöße bei Facebook sahen. Nachdem die DPC diese Einwände nicht gelten lassen wollte, war der EDSA gefordert und erließ gem. Art. 65 DSGVO einen verbindlichen Beschluss über das Bußgeld in Höhe von 225 Mio. €. Dieses Bußgeld kam also nicht freiwillig durch die irische Datenschutzaufsicht zustande.

Welche Verstöße von WhatsApp wurden beanstandet?

Die Aufsichtsbehörden der anderen EU-Staaten haben in ihren Einwänden weitere Verstöße von WhatsApp angemahnt, welche sich folgendermaßen darstellen:

• Keine ausreichende Begründung von berechtigten Interessen zur Datenverarbeitung z. Bsp. bzgl. der Weitergabe von Daten
• Verstoß gegen den Grundsatz der Transparenz nach Art. 5 Abs. 1 lit. a) DSGVO
• Keine ausreichende Anonymisierung von Daten von Nicht-Nutzern von WhatsApp, die über das Telefonbuch von Nutzern abgegriffen werden und damit unrechtmäßige Verarbeitung von Daten

In weiten Teilen ging der EDSA mit diesen Einschätzungen konform.

Dementsprechend oblag es dem EDSA noch die Bußgeldhöhe einzuschätzen, da auch hier die Berechnung der DPC kritisiert und bemängelt wurde. Da abschließend schwerere Verstöße vorlagen, als zunächst von der DPC angenommen, musste ein angemessenes Bußgeld gefunden werden, welches gem. Art. 83 Abs. 1 DSGVO wirksam, abschreckend aber zugleich auch verhältnismäßig ist. Damit legte sich der EDSA auf das Bußgeld von 225 Mio. € fest.

Damit ist aber noch längst nicht sicher, ob WhatsApp dieses Bußgeld auch wirklich zahlt bzw. zahlen muss, denn dem Unternehmen steht selbstverständlich noch der Rechtsweg gegen diese Entscheidung offen. Das Unternehmen kündigte bereits an, diesen Weg einschlagen zu wollen.

Abschließend lässt sich hierzu sagen, dass es für Unternehmen durchaus sinnvoll sein kann, den Unternehmenssitz in Irland zu haben, wenn man allzu harter Verfolgung von datenschutzrechtlichen Vergehen entgehen möchte. Es zeigt sich aber auch, dass die Mechanismen der EU funktionieren, indem andere Staaten einschreiten können, wenn in Verfahren, welche auch ihre Belange betreffen, keine ausreichenden bzw. ungerechte Entscheidungen getroffen werden. Je nach Sichtweise kann es aber bereits eine schlechte Nachricht darstellen, wenn die Aufsichtsbehörden anderer Mitgliedsstaaten und der EDSA sich überhaupt gezwungen sehen, einzugreifen.