Wäre die irische Datenschutzbehörde, Data Protection Commission (DPC), ein Kontakt in einem WhatsApp-Chat, hätte WhatsApp Ireland Inc. diesen unliebsamen Teilnehmer aller Wahrscheinlichkeit nach am liebsten direkt gelöscht und davor noch blockiert. Die Nachricht über das empfindliche Bußgeld von 225 Mio. € hat WhatsApp jedoch mit Sicherheit schon erreicht, quasi mit zwei blauen Häkchen. Die Summe soll WhatsApp dafür zahlen, dass es den Datenschutz nach Ansicht des DPC nicht ganz so genau genommen haben soll.
WhatsApp ist neben Instagram Teil der Facebook Inc.
WhatsApp, 2009 gegründet und seit 2014 für einen Verkaufspreis von 19 Mrd. US-Dollar Teil der Facebook Inc., bietet den allseits bekannten Instant-Messaging-Dienst an. Schlappe 2 Mrd. aktive Nutzer gibt es weltweit. 97% der 18-29-jährigen in Deutschland nutzen WhatsApp. Angesichts dieser Zahlen dürften bei WhatsApp nur Freudentränen kullern, der zugleich übrigens der beliebteste Emoji auf WhatsApp ist. Aufgrund des Sitzes in Dublin hat das irische DPC das Sagen für datenschutzrechtliche Belange bei WhatsApp. Neben WhatsApp gehört auch Instagram zu Facebook Inc. mit Sitz in Kalifornien.
Datenschutzverstöße
Bei der Bereitstellung seiner Dienste soll WhatsApp mehrere Datenschutzverstöße begangen haben. So soll WhatsApp unter anderem nicht ausreichend Nicht-Nutzer von WhatsApp informiert haben, wenn ihre personenbezogenen Daten verarbeitet worden sind (Randziffer 177). Das ist der Fall, wenn die Telefonkontaktliste eines WhatsApp-Nutzers abgeglichen wird, um diejenigen Kontakte, die ebenfalls WhatsApp nutzen, mit dem Nutzer zu verknüpfen. Darüber hinaus seien die Informationen an WhatsApp-Nutzer verwirrend, indem nicht klar mitgeteilt werde, welche Daten durch sie bereitgestellt werden müssen und welche Folgen es hat, wenn sie dies nicht tun (Randziffer 520, 515). Daneben wurde moniert, dass Nutzern nicht klar sei, wem welche Daten übermittelt würden und ob die Daten auch in Staaten außerhalb des Anwendungsbereichs der Datenschutz-Grundverordnung (DSGVO) landen (Randziffer 434, 429). Das DPC beanstandete ebenso Datenübermittlungen an Facebook Inc. (Randziffer 591). Unlogisch und undurchsichtig sei ebenso die Struktur der Informationsbereitstellung zu den Betroffenenrechten (Randziffer 491). Verletzt sah das DPC insgesamt Art. 5 Abs. 1 lit. a (90 Mio. €), Art. 12 (30 Mio. €), Art. 13 (30 Mio. €) und Art. 14 (75 Mio. €) der DSGVO.
90+30+30+75= 225 Mio.
Treue WhatsApp-Nutzer können allerdings beruhigt sein: Am Hungertuch muss WhatsApp trotz des Bußgeldes in Höhe von 225 Mio. nicht nagen. Dieses macht nur 0,08 % des Jahresumsatzes von WhatsApp aus. Erlaubt wären sogar nach Art. 83 DSGVO bis zur 4% des Jahresumsatzes (oder 20 Mio. €, je nachdem, welcher der Beträge höher ist). Das Bußgeld muss nach der DSGVO wirksam, verhältnismäßig und abschreckend sein. Dabei hatte der europäische Gesetzgeber zum Ziel, dass diejenigen, die personenbezogene Daten verarbeiten, sich motiviert genug sehen, das geltende Datenschutzrecht einzuhalten. Spurlos dürfte die Entscheidung jedenfalls auch an WhatsApp nicht vorbeigegangen sein, denn WhatsApp möchte gegen das Bußgeld vorgehen.
WhatsApp soll sich bessern
Neben dem Bußgeld hat das DPC auch eine Verwarnung verhängt und WhatsApp aufgefordert, seine Verarbeitung durch eine Reihe von Abhilfemaßnahmen in Einklang mit den Vorschriften der DSGVO zu bringen.
Datenschutz kostet, aber kein Datenschutz kostet noch mehr
Der Fall führt wieder einmal eindrucksvoll vor Augen, dass Unternehmen es sich nicht leisten können, den Datenschutz nicht ausreichend zu berücksichtigen. Die fehlende Beachtung des Datenschutzes kann im Nachhinein zu einem teuren Erwachen führen.