Rekordstrafe gegen WhatsApp: Irlands Datenschutzbehörde verhängt Bußgeld von 225 Mio. €
Hintergrund
Die irische Datenschutzbehörde, Data Protection Commission (DPC) hat entschieden: Wegen fehlender Transparenz bei der Weitergabe von persönlichen Daten muss der Messengerdienst WhatsApp 225 Mio. € zahlen. Darüber hinaus wies die Aufsichtsbehörde die Facebook-Tochter an, ihre Datenverarbeitung zu verändern.
Federführende DPC in der Kritik
Der DPC kommt eine zentrale Rolle im Kampf gegen Datenschutzverstöße großer IT-Konzerne zu. Nach Art. 56 Datenschutz-Grundverordnung (DSGVO) ist, bei grenzüberschreitenden Sachverhalten, die Behörde am Sitz der Hauptniederlassung federführend zuständig. Neben Facebook haben aber viele weitere Big-Data Konzerne, wie z.B. Apple, Google und Twitter ihren europäischen Hauptsitz in Irland angesiedelt. Folglich ist die DPC bei Datenschutzverstößen auch jener Tech-Giganten als federführende Datenschutzbehörde zuständig.
Schon seit Längerem steht die DPC jedoch in der Kritik vieler Datenschutzexperten; sie gehe unzureichend gegen Verstöße größerer Konzerne vor.
Verstöße gegen die Transparenzvorgaben
Das nunmehr verhängte Bußgeld geht auf Untersuchungen aus dem Jahr 2018 zurück. Hierbei ging es um Verstöße gegen die Transparenzvorgaben aus Art. 12 bis 14 DSGVO. WhatsApp wird vorgeworfen, dass die Nutzerdaten der Kunden innerhalb der Facebook-Gruppe weitergeleitet würden, ohne dass dies für den Nutzer transparent dargelegt werde.
Wie aus 50 Mio. € Bußgeld 225 Mio. € wurden
Nach Abschluss der gegen WhatsApp geführten Untersuchungen wollte die DPC zunächst ein deutlich niedrigeres Bußgeld verhängen; sie veranschlagte das Bußgeld zunächst auf maximal 50 Mio. €. Hiergegen erhoben nationale Datenschutzbehörden aus zahlreichen anderen EU-Staaten, wie auch Deutschland, eine Vielzahl von Einwänden. Da die irische Aufsichtsbehörde in vielen Punkten allerdings nicht von ihrer Auffassung abweichen wollte, musste der Europäische Datenschutzausschuss (EDSA) nach Art. 65 DSGVO einen verbindlichen Entschluss erlassen. Der EDSA bestätigte im Wesentlichen die Einwände der anderen europäischen Aufsichtsbehörden und setzte das Bußgeld auf 225 Mio. € herauf.
Rekordbußgelder unter der DSGVO
Eine Geldstrafe in dieser Größenordnung wurde von der DPC noch nie zuvor verhängt. Auch europaweit zählt der nunmehr gegen WhatsApp verhängte Bußgeldbescheid zu den Spitzenreitern. Er wird nur von der Strafe übertroffen, die die luxemburgischen Datenschützer im Sommer diesen Jahres gegen Amazon verhängt haben. Dem Internet-Konzern wurde seinerzeit eine Geldstrafe in Höhe von stolzen 746 Mio. € auferlegt.
Bußgeldhöhe ist umsatzabhängig
Möglich sind derartig hohe Bußgelder mit Einführung der DSGVO im Jahr 2018 geworden. Art. 83 Abs. 6 sieht vor, dass die Bemessung der Bußgelder von der jeweiligen Umsatzhöhe der Unternehmen abhängig gemacht und die Strafen bis zu 4 % des weltweit erzielten Jahresumsatzes betragen können.
Konsequenz
Die Entscheidung der DPC zeigt: Die großen Tech-Giganten müssen auch in Zukunft mit millionenschweren Rekordbußgeldern rechnen, wenn sie sich nicht DSGVO-konform verhalten. Die hohen Bußgelder sowohl gegen Amazon als auch jüngst gegen WhatsApp sollten den IT-Konzernen Warnung genug sein, sich datenschutzrechtlich sicher aufzustellen.
Sie haben Fragen zu Ihren Rechten und Pflichten nach der DSGVO oder allgemein zum Thema Datenschutz? Gerne unterstützen wir Sie. Sprechen Sie uns einfach an.