Irland: 5,5 Mio. EUR Bußgeld gegen WhatsApp wegen Datenschutzverstößen
Die irische Datenschutzbehörde (Data Protection Commission, DPC) hat ihre Untersuchungen abgeschlossen und am 19.01.2023 final entschieden, ein Bußgeld in Höhe von 5,5 Mio. EUR gegen die WhatsApp Ireland Ltd. zu verhängen. Nach ihrer Auffassung verstoße der Messenger, der seinen europäischen Sitz in Irland hat, gegen europäische Datenschutzbestimmungen, insbesondere gegen Transparenzpflichten und das Erfordernis einer Rechtfertigungsgrundlage für die Verarbeitung personenbezogener Daten.
Anlass der Untersuchungen war eine Beschwerde der Datenschutzorganisation noyb vom 25. Mai 2018. Grund hierfür waren die zeitgleich mit Inkrafttreten der DSGVO aktualisierten Nutzungsbedingungen von WhatsApp, die den Nutzer praktisch zur Zustimmung zwangen, da der Dienst ansonsten nicht mehr für ihn zugänglich wäre. WhatsApp Ireland war hingegen der Ansicht, dass durch die Annahme der Nutzungsbedingungen ein Vertrag mit dem Nutzer zustande komme, zu dessen Erfüllung die Verarbeitung von Nutzerdaten erforderlich sei. Die Rechtfertigungsgrundlage wäre demnach Art. 6 Abs. 1 lit. b DSGVO.
In einem ersten Entscheidungsentwurf Ende 2022 hielt die DPC die Verarbeitung von Nutzerdaten unter Berufung auf Art. 6 Abs. 1 lit. b DSGVO zunächst für rechtmäßig und stellte lediglich einen Verstoß gegen Transparenz- und Informationspflichten fest. Da bereits 2021 ein Bußgeld in Höhe von 225 Mio. EUR wegen ähnlicher Verstöße im gleichen Zeitraum verhängt worden war, hielt die DPC die Verhängung eines erneuten Bußgelds nicht für erforderlich.
Der Entwurf wurde dem Europäischen Datenschutzausschuss (EDSA) vorgelegt, der den Ausführungen der DPC nicht zustimmte und am 05.12.2022 einen verbindlichen Beschluss veröffentlichte, in dem er die Berufung auf vertragliche Zwecke (Art. 6 Abs. 1 lit. b DSGVO) versagte. Die DPC stellte – gebunden an diesen Beschluss – in ihrer finalen Entscheidung einen Verstoß gegen Informationspflichten und Art. 6 Abs. 1 DSGVO wegen der fehlenden Rechtfertigungsgrundlage für die Verarbeitung personenbezogener Daten fest und erlegte der WhatsApp Ireland Ltd. ein Bußgeld in Höhe von 5,5 Mio. EUR auf. Zudem ordnete die Behörde an, dass die Verarbeitungsvorgänge innerhalb von sechs Monaten mit der DSGVO in Einklang gebracht werden müssen. WhatsApp kündigte an, gegen die Entscheidung rechtlich vorzugehen.
Kritik gab es vor allem an der Höhe des Bußgelds, das bemessen an den Umsätzen des Unternehmens und der Schwere des Verstoßes als zu gering wahrgenommen wird.
Zudem hatte der EDSA die DPC in seinem Beschluss angewiesen, neue Untersuchungen gegen WhatsApp durchzuführen bezüglich der Datenverarbeitungen zu Zwecken der personalisierten Werbung sowie der Weitergabe der Daten an verbundene Unternehmen des Meta-Konzerns. Allerdings hat der EDSA keine allgemeine Aufsichtsfunktion und darf der Behörde keine Anweisungen erteilen, sodass eine Überschreitung seiner Befugnisse vorliegen könnte. Die DPC könnte also Nichtigkeitsklage gegen den verbindlichen Beschluss des EDSA vor dem EuGH erheben.
