Zum Inhalt springen Zur Navigation springen
WhatsApp: Wie aus einem 50 Mio. € Bußgeld 225 Mio. € wurden

WhatsApp: Wie aus einem 50 Mio. € Bußgeld 225 Mio. € wurden

Artikel von Justus Brandt·3. September 2021

Die irische Datenschutzaufsichtsbehörde DPC (Data Protection Commissioner) hat das zweithöchste Bußgeld in der Geschichte der DSGVO verhängt. 225 Millionen Euro soll WhatsApp zahlen. Wie es zu dem Bußgeld kam und wieso das trotzdem kein großer Sieg für den Datenschutz sein könnte, lesen Sie in diesem Artikel.

Rekordbußgelder unter der DSGVO

Das höchste Bußgeld wurde kürzlich durch die luxemburgische CDNP in Höhe von 746 Millionen Euro gegen Amazon verhängt. Der Grund für das Bußgeld war laut Medienberichten Amazons Werbe-Targeting.

Die DSGVO sieht nach Art. 83 Abs. 6 DSGVO Strafen bis zu einer Höhe von 4 Prozent des Jahresumsatzes eines Unternehmens vor. Dies lässt vor allem bei den „Big-Tech-Unternehmen“ sehr hohe Bußgelder zu. Insbesondere die DPC tut sich jedoch noch schwer mit der Verhängung von (hohen) Bußgeldern.

Das „Problemkind“ irische Datenschutzaufsichtsbehörde

Die irische Behörde ist in vielen Fällen die federführende Behörde für die „Big-Tech-Unternehmen“, da sie nach dem sog. „One-Stop-Shop“-Verfahren zuständig ist. Nach Art. 56 DSGVO ist, bei grenzüberschreitenden Sachverhalten, die Behörde am Sitz der Hauptniederlassung federführend zuständig. Der Gedanke war Unternehmen weniger Bürokratie und mehr Rechtssicherheit zu verschaffen, indem sie sich in Verfahren nicht mehr mit Aufsichtsbehörden in mehreren EU-Mitgliedstaaten und ihren Rechtsauffassungen auseinandersetzen müssen.

Nun haben aber viele große Unternehmen aus steuerlichen Gründen ihre Europazentrale in Irland. Schon in den ersten Jahren der Anwendbarkeit der DSGVO erwies sich der One-Stop-Shop und die irische Aufsichtsbehörde zunehmend als Nadelöhr, durch das die zahlreichen grenzüberschreitenden Fälle gegen große Tech-Unternehmen nicht passten. Als Reaktion forderten einige Stimmen mehr Befugnisse für den Europäischen Datenschutzausschuss (EDSA), um diese Fälle mittels des Kohärenzverfahrens schneller voranzutreiben.

Was war vorgefallen?

Wie wir bereits berichteten handelt es sich bei dem verhängten Bußgeld um ein Verfahren aus dem Jahre 2018. Es ging bei diesem um Verstöße gegen die Transparenzvorgaben aus Art. 12 – 14 DSGVO. Hierbei wurde bemängelt, dass die Daten innerhalb der Facebook-Gruppe weitergeleitet würden, ohne dass dies für den Nutzer transparent sei.

Der Bußgeldrahmen wurde durch die DPC zunächst zwischen 30 – 50 Millionen Euro veranschlagt. Folgende Aufsichtsbehörden erhoben eine ganze Reihe von begründeten und sachdienlichen Einwände gegenüber dem ersten Beschlussentwurf aus Irland.

  • Deutschland
  • Frankreich
  • Italien
  • Niederlanden
  • Portugal
  • Polen
  • Ungarn

In den meisten Punkten war die irische Aufsichtsbehörde aber nicht bereit ihre Auffassung zu ändern, sodass der EDSA nach Art. 65 DSGVO einen verbindlichen Entschluss erlassen musste. Dieser bestätigte die meisten Einwände der anderen europäischen Aufsichtsbehörden und hatte so zur Folge, dass das Bußgeld auf 225 Millionen Euro heraufgesetzt werden musste.

Berechtigte Interessen müssen konkretisiert werden

Von deutscher Seite wurde u.a. geltend gemacht, dass die irische Aufsichtsbehörde nicht ausreichend untersuchte, ob die Beschreibung der geltend gemachten berechtigten Interessen von WhatsApp für einige Datenverarbeitungen für den Nutzer ausreichend verständlich sind. Als Beispiel wurde der Punkt „Messung, Analyse und andere Unternehmensdienste“ in der Datenschutzerklärung angeführt. Hier wurde als Interesse nur die „Bereitstellung genauer und zuverlässiger Berichte für Unternehmen und andere Partner“ angegeben. Die deutschen Aufsichtsbehörden monierte einerseits, dass hier nicht klar ist, wer diese anderen Partner sind. Anderseits sei die Beschreibung des Interesses „um den Wert nachzuweisen, den unsere Partner durch die Nutzung unserer Dienste erzielen“ zu vage.

Dem stimmte der EDSA zu. Für die wirksame Ausübung der Betroffenenrechte der DSGVO durch die Nutzer sind im Rahmen des Art. 13 Abs. 1 d) DSGVO spezifische Informationen darüber bereitzustellen, welche berechtigten Interessen mit den einzelnen Verarbeitungen verbunden sind und welche Stelle die einzelnen berechtigten Interessen verfolgt.

Aufgrund der vielen, verschiedenen und größtenteils schon im Beschlussentwurf festgestellten Verstöße gegen die Vorschriften der Art. 12,13,14 DSGVO, waren einige Aufsichtsbehörden zudem der Ansicht, dass zusätzlich zu diesen ein Verstoß gegen den Transparenzgrundsatz gemäß Art. 5 Abs. 1 a) DSGVO vorliege. Der EDSA bestätigte dies in Anbetracht der Schwere und der übergreifenden Art und Auswirkung der Verstöße gegen die Informationspflichten und deren erheblichen, negativen Auswirkungen auf alle von WhatsApp durchgeführten Verarbeitungen.

Hashwerte: pseudonym oder anonym?

Ein weiterer, angegriffener Punkt war die Feststellung der irischen Aufsichtsbehörde, dass die gehashten Telefonnummern von Nichtnutzern keine personenbezogenen Daten darstellen würden. Dabei drehte es sich im vorliegenden Fall um die Frage, ob das von WhatsApp verwendete „Lossy Hashing procedure“ zu einer Anonymisierung der personenbezogenen Daten führt. Dafür müssten die Daten so verarbeitet werden, dass sie unter Berücksichtigung aller Mittel, die vernünftigerweise vom Facebook Konzern oder einem Dritten eingesetzt werden können, nicht mehr dazu verwendet werden können, eine natürliche Person direkt oder indirekt zu identifizieren. Diese Analyse muss laut EDSA nicht nur objektive Faktoren berücksichtigen, sondern kann und sollte sich auch auf Annahmen stützen, welche die Möglichkeiten und Wahrscheinlichkeit einer erneuten Identifizierung einbeziehen.

Im vorliegenden Fall war das aber nicht der springende Punkt. Denn das „Lossy Hashing procedure“ war nur ein Schritt in einem Verarbeitungsprozess und könne daher nicht isoliert betrachtet werden. Die Telefonnummer eines jeden Nutzers, der die Kontaktfunktion aktiviert und zu diesem Zeitpunkt mindestens einen Nichtnutzerkontakt hatte, wurde mit dem aus der Nummer dieses Nichtnutzers erstellten Lossy-Hash verknüpft. Das Ergebnis ist eine „Nicht-Benutzer-Liste“, die von WhatsApp gespeichert wird. Diese Liste falle aber unter die Definition von personenbezogenen Daten. Der EDSA stellt somit einen weiteren Verstoß gegen Art. 6 Abs. 1 DSGVO und Art. 14 DSGVO fest.

Berechnung der Bußgeldhöhe

Auch bei der Berechnung der Bußgeldhöhe gab es einige Streitpunkte. Wurden sich die irische und die anderen beteiligten Aufsichtsbehörden noch einig, dass der Beschlussentwurf dahingehend geändert werden sollte, dass der Gesamtumsatz aller Teilunternehmen der Facebook Gruppe für die Zwecke des Artikels 83 DSGVO berücksichtigt wird, sah es bei der Berechnung der konkreten Bußgeldhöhe schon anders aus. So musste der EDSA zunächst klären, dass Art. 83 Abs. 3 DSGVO entgegen der Auffassung der irischen Aufsichtsbehörde vorschreibt, bei der Berechnung der Geldbuße nicht nur den schwersten Verstoß, sondern auch alle anderen Verstöße zu berücksichtigen.

Eine weitere umstrittene Frage bei der Zusammenarbeit zwischen der federführenden irischen und insbesondere der deutschen Aufsichtsbehörde war, ob sich die Höhe der Geldbuße am Umsatz orientieren muss, um angemessen und abschreckend zu sein, oder der Umsatz nur die Obergrenze des Bußgelds festsetzt, nicht aber zu dessen Berechnung herangezogen werden darf. Die erste Auffassung liegt auch dem Bußgeldmodell der DSK zugrunde, welches besonders aus diesem Grund kritisiert wurde. Der EDSA legt sich zu der Frage im Rahmen der Streitbeilegung eindeutig fest:

“The connection is made between the size of the undertaking, measured in terms of turnover, and the magnitude a fine needs to have in order to be effective, proportionate and dissuasive. In other words, the size of an undertaking-measured in terms of turnover-matters. Though it is true that neither Article 83(2) GDPR nor Article 83(3) GDPR refer to the notion of turnover, drawing from this an absolute conclusion that turnover may be considered exclusively to calculate the maximum fine amount is unsustainable in law. […]

The words “due regard shall be given to the following” in Article 83(2) GDPR by themselves do not indicate the list is an exhaustive one. The wording of Article 83(2) (k) GDPR, which allows for any other aggravating or mitigating factor to be taken into account – even though not explicitly described – supports this view. […]

The EDPB takes the view that the turnover of an undertaking is not exclusively relevant for the determination of the maximum fine amount in accordance with Article 83(4) – (6) GDPR, but it may also be considered for the calculation of the fine itself, where appropriate, to ensure the fine is effective, proportionate and dissuasive in accordance with Article 83(1) GDPR.“

Sowohl Deutschland als auch Ungarn sprachen sich für ein Bußgeld im oberen Bereich der 4 % des Vorjahresumsatzes aus. Bemängelt wurde von den zwei Behörden die Gewichtung der in Artikel 83 Absatz 2 DSGVO aufgeführten Kriterien durch die irische Aufsichtsbehörde bei der Berechnung der Geldbuße. So seien besonders mildernde Faktoren berücksichtigt worden, wohingegen das hohe Maß der Noncompliance und die Anzahl von Millionen Betroffenen eher vernachlässigt wurden.

Dieser Ansicht erteilte der EDSA eine Absage. Aber in Anbetracht des Gesamtjahresumsatzes, der festgestellten Verstöße und der festgestellten erschwerenden Faktoren beschloss der EDSA, dass die Geldbuße von 50 Mio. Euro nicht mehr das Erfordernis der Wirksamkeit, Verhältnismäßigkeit und Abschreckung gemäß Art. 83 Abs. 1 DSGVO erfüllt und somit nach oben korrigiert werden muss.

Stellungnahme von Max Schrems zum WhatsApp Bußgeld

Datenschutzaktivist Max Schrems (Vorstandsvorsitzender der NGO NOYB) kritisiert in einer Stellungnahme zu dem Verfahren, dass die irische Behörde seit 2018 etwa 10.000 Beschwerden pro Jahr erhielte und es sich hier um die erste hohe Geldstrafe handele. Weiter hält er fest, dass die Höhe der Geldstrafe erst von anderen Datenschutzbehörden erzwungen werden musste. Es sei zu befürchten, dass sich das Verfahren nun vor den irischen Gerichten in die Länge ziehen wird und schließlich auf einen Vergleich hinauslaufe.

Wird WhatsApp das Bußgeld zahlen?

Davon ist zunächst nicht auszugehen. WhatsApp hat die Möglichkeit einen Rechtsbehelf gegen das Bußgeld einzulegen, diese Maßnahme wurde bereits von WhatsApp angekündigt. Das Verfahren wird sich vermutlich über einen längeren Zeitraum hinziehen und es ist durchaus anzunehmen, dass das Verfahren nicht mit einem Urteil, sondern mit einem Vergleich zwischen den Beteiligten endet.

Es bleibt spannend wie sich das Verfahren weiter entwickeln wird. Es stellt sich die Frage, ob die hohen Bußgelder, wie gegen WhatsApp oder Amazon, tatsächlich rechtskräftig werden und schließlich gezahlt werden müssen. Es besteht hier die Gefahr, dass die allgemein lange Verfahrenslänge von Beschwerden, das scharfe Schwert der hohen Bußgelder stumpf werden lassen.

Update:

Nach einem Bericht der Irish Times erwartete das Unternehmen für das Jahr 2020 Bußgelder in Höhe von 245 – 250 Millionen Euro und hat entsprechende Summen zurückgestellt. Ganz unerwartet scheint das Heraufsetzen des Bußgelds durch den EDSA den Konzern also nicht zu treffen. Nichtsdestotrotz fährt man bei der Verteidigung gegen das Bußgeld alle Geschütze auf.

WhatsApp beantragt vor dem irischen High Court die Aufhebung der fehlerhaften Entscheidung des EDSA sowie die Feststellung, dass bestimmte Bestimmungen des irischen Datenschutzgesetzes verfassungswidrig sind und nicht mit der Europäischen Menschenrechtskonvention vereinbar sind.

Die Verhängung einer Geldbuße in Höhe von 225 Millionen Euro stelle quasi eine strafrechtliche Sanktion dar und greife zudem unzulässig in die verfassungsmäßigen Eigentumsrechte von WhatsApp ein.

Des Weiteren sei WhatsApps Recht auf ein faires Verfahren verletzt worden, da das irische Datenschutzgesetz weder eine vollständige erneute Anhörung noch ein Recht auf Berufung gegen die Feststellungen konkreter Datenschutzverstöße vorsieht. Es sieht lediglich die Anfechtung der Geldbuße in einem begrenzten Berufungsverfahren vor.

Mehr zum Thema
Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.