Das zu Facebook gehörende WhatsApp wurde von Irlands Datenwächter wegen Verstoßes gegen die EU-Datenschutzbestimmungen zu einer Rekordstrafe von 225 Millionen Euro (267 Millionen US-Dollar) verurteilt. Die irische Datenschutzkommission sagte, WhatsApp habe die EU-Bürger nicht genug darüber informiert, was es mit ihren Daten mache.
Demnach habe WhatsApp den Europäern nicht mitgeteilt, wie ihre persönlichen Daten gesammelt und verwendet werden und wie WhatsApp Daten mit Facebook teilt.
WhatsApp soll die Kommunikation mit den Nutzern optimieren
Die Regulierungsbehörde hat die Plattform, ihre Datenschutzrichtlinien und die Kommunikation mit den Nutzern so zu optimieren, dass sie dem europäischen Datenschutzrecht entspricht.
Infolgedessen muss WhatsApp möglicherweise seine Datenschutzrichtlinie erweitern, die von einigen Nutzern und Unternehmen bereits als zu lang und komplex kritisiert wurde.
WhatsApp-Sprecher verkündet, dass Berufung eingelegt wird
Laut eines Sprechers von WhatsApp, das übrigens von zwei Milliarden Menschen weltweit genutzt wird, ist die Plattform bestrebt, einen sicheren und privaten Dienst bereitzustellen. Es wäre daran gearbeitet worden, sicherzustellen, dass die bereitgestellten Informationen transparent und umfassend sind. Weiterhin spricht der Sprecher davon, dass die Entscheidung bezüglich der Transparenz, die den Menschen im Jahr 2018 geboten wurde, nicht zutrifft und die Strafen völlig unverhältnismäßig seien.
In einer FAQ auf dessen Website gibt WhatsApp an, dass Telefonnummern, Transaktionsdaten, Geschäftsinteraktionen, Informationen zu Mobilgeräten, IP-Adressen und andere Informationen mit Facebook geteilt werden. Nicht geteilt werden laut WhatsApp jedoch persönlichen Gespräche, Standortdaten oder Anrufprotokolle.
WhatsApp-Geldstrafe ist die größte Strafe überhaupt
Die WhatsApp-Geldstrafe ist die größte Strafe, die die irische Regulierungsbehörde für Verstöße gegen die europäische Datenschutz-Grundverordnung (kurz DSGVO) verhängt hat. Die DSGVO verlangt, dass Unternehmen klar und offen darüber kommunizieren, wie sie Kundendaten verwenden.
Das Gesetz – das im April 2016 verabschiedet und seit 2018 durchgesetzt wurde – ersetzt ein früheres Gesetz namens Datenschutzrichtlinie und zielt auf die Harmonisierung der Vorschriften im gesamten 27-Nationen-EU-Block ab.
Einige Kritiker argumentieren, dass die EU-Regulierungsbehörden zu langsam waren, um das Gesetz durchzusetzen und große Plattformen wegen Nichteinhaltung mit Sanktionen zu belegen.
Im Juli war Amazon dran – und zwar in Luxemburg
Im Juli verhängte die luxemburgische Datenschutzbehörde eine Geldstrafe von 746 Millionen Euro gegen Amazon wegen Verstoßes gegen die DSGVO-Vorschriften zur Verwendung von Verbraucherdaten in der Werbung. Die luxemburgische Datenschutzkommission sagte, die Verarbeitung personenbezogener Daten durch Amazon verstoße gegen die DSGVO.
An anderer Stelle wurde Google 2019 von der französischen Datenschutzbehörde CNIL wegen Verstößen gegen die DSGVO-Werbung mit einer Geldstrafe von 50 Millionen Euro belegt. Die CNIL sagte, sie habe die Geldbuße wegen „Mangel an Transparenz, unzureichenden Informationen und fehlender gültiger Zustimmung zur Personalisierung von Anzeigen“ erhoben.
Gnade vor Recht zieht nicht mehr – auch in Deutschland nicht
Die Behörden verhängen demnach immer mehr DSGVO Bußgelder – auch in Deutschland. Seit dem Inkrafttreten der DSGVO wurden in Deutschland, verglichen mit dem restlichen Europa, tatsächlich die meisten Datenschutzverstöße gemeldet.
Mit 77.747 gemeldeten Verstößen und verhängten Bußgeldern in Höhe von 69 Millionen Euro liegt Deutschland sogar auf Platz zwei.
Übertroffen wird es nur von Italien, das auf dem ersten Platz liegt.
Wonach wird die Strafe bzw. das Bußgeld bemessen?
Grundsätzlich gilt, dass die Strafen nach der Datenschutz-Grundverordnung verhältnismäßig sein müssen. Das bedeutet, dass die zuständigen Behörden jeden Verstoß einzeln betrachten und anschließend nach Schweregrad bewerten. In die Bewertung fließen dabei etliche Faktoren mit ein:
- Wie schwer wurde der Datenschutz verletzt?
- Wie lange dauerte die Datenschutzverletzung an?
- Hat das Unternehmen absichtlich gehandelt und wie groß war der Schaden?
- Hat das Unternehmen versucht, den Schaden einzudämmen?
- Gibt es mehrere Verstöße oder handelt es sich sogar um einen Wiederholungstäter?
- Wollte das Unternehmen den Verstoß verschleiern?
- Waren Datenschutzbeauftragte der Firma kooperativ oder nicht?
- Müssen mildernde Umstände berücksichtigt werden?
