Die irische Datenschutzkommission (DPC) hat gegen WhatsApp Irland wegen Verstößen gegen die Europäische Datenschutz-Grundverordnung (DSGVO) eine Rekordstrafe in Höhe von 225 Millionen Euro verhängt. Das Unternehmen habe gegen die strengen Datenschutzvorschriften der Europäischen Union verstoßen, was die Transparenz bei der Weitergabe von Personendaten an andere Facebook-Unternehmen angeht.
Auch die Verarbeitung der Handynummern wurde von den Datenschützern moniert. Das Unternehmen hatte seine Datenschutzerklärung nach Beginn des Verfahrens überarbeitet. Die Aufsichtsbehörde wies den Messengerdienst, der zum Facebook-Konzern gehört, außerdem an, seine Datenverarbeitung zu verändern.
"Werden gegen Entscheidung Rechtsmittel einlegen"
Ein Firmensprecher erklärte, WhatsApp sei bestrebt, einen sicheren und privaten Dienst anzubieten. "Wir haben uns dafür eingesetzt, dass die von uns bereitgestellten Informationen transparent und umfassend sind, und werden dies auch weiterhin tun." Man sei mit der aktuellen Entscheidung der DPC in Bezug auf die Transparenz, die man den Menschen im Jahr 2018 geboten haben, nicht einverstanden. Die Strafe sei völlig unverhältnismäßig. "Wir werden gegen diese Entscheidung Rechtsmittel einlegen", erklärte der WhatsApp-Sprecher.
Europa-Zentrale in Dublin
Besonders spannend ist der nunmehr erfolgte Spruch, weil die DPC als jene Behörde gilt, die federführend für Facebooks Tun in Europa zuständig ist. Der US-Riese hat seine Europa-Zentrale nämlich in Dublin. Bis dato wurde Irland von Datenschützern häufig vorgeworfen, zu lethargisch zu agieren. Die irischen Datenschützer hatten auch noch nie zuvor eine Geldstrafe in dieser Größenordnung verhängt. Europaweit wird der Bußgeldbescheid nur von der Strafe übertroffen, die die Datenschützer in Luxemburg gegen Amazon ausgesprochen haben. Die luxemburgische Behörde verhängte in diesem Sommer eines Geldstrafe in Höhe von 746 Millionen Euro gegen den Internet-Konzern.
Die irische Datenschutzkommission DPC ist nicht nur die federführende Aufsichtsbehörde für WhatsApp in Europa, sondern beaufsichtigt auch den gesamten Facebook-Konzern. Sie ist außerdem für andere US-Tech-Giganten wie Apple zuständig, die ihre europäische Niederlassung in Irland haben.
Max Schrems begrüßt Entscheidung
In einer ersten Reaktion begrüßte der österreichische Datenschutz-Aktivist Max Schrems die Entscheidung in Dublin. Allerdings erhalte die DPC seit 2018 etwa zehntausend Beschwerden pro Jahr und habe erst jetzt eine größere Geldstrafe verhängt. Schrems erinnerte daran, dass die Iren ursprünglich nur eine Strafe von 50 Millionen Euro vorgeschlagen hatten.
"Sie wurden von den anderen europäischen Datenschutzbehörden gezwungen, die Strafe auf 225 Millionen zu erhöhen", sagte der Gründer der europäischen Datenschutz-Organisation Noyb ("none of your business"). Selbst die 225 Millionen Euro entsprächen immer noch nur 0,08 Prozent des Umsatzes der Facebook-Gruppe, betonte Schrems. "Die DSGVO sieht Geldbußen von bis zu 4 Prozent des Umsatzes vor. Das alles zeigt, dass die irische Datenschutzbehörde immer noch extrem dysfunktional ist." Schrems rechnet damit, dass der nun zu erwartende Rechtsstreit Jahre beanspruchen wird, bevor eine Strafzahlung tatsächlich fällig wird.
Wie sehr WhatsApp Irland von der Behörden-Entscheidung überrascht wurde, zeigt die Tatsache, dass in der Bilanz des Unternehmens nur 77,5 Millionen Euro für eine mögliche Geldstrafe zurückgestellt wurden.
Erst jüngst verhängte übrigens die Datenschutzbehörde in Luxemburg eine Strafe in Höhe von 746 Millionen Euro gegen den US-Handelsriesen Amazon. Dieser wies den Vorwurf zurück und kündigte eine Berufung an. "Es gab keine Verletzung des Schutzes personenbezogener Daten, und es wurden keine Kundendaten an Dritte preisgegeben", sagte ein Sprecher.