Die irische Datenschutzaufsichtsbehörde hat heute bekanntgegeben, dass sie ein Bußgeld in Höhe von 225 Millionen Euro gegen die WhatsApp Ireland Ltd. verhängt (siehe die Pressemitteilung hier). Nach dem im Juli bekanntgewordenen Rekordbußgeld der Datenschutzaufsicht Luxemburg gegen Amazon (siehe Medienbericht hier) ist dies innerhalb kurzer Zeit das zweite auffällig hohe DSGVO-Bußgeld in der EU.
Der vorgeworfene Datenschutzverstoß
Die irische Datenschutzaufsichtsbehörde (Data Protection Commission – DPC) wirft WhatsApp einen Verstoß gegen den Grundsatz der Transparenz der Verarbeitung gem. Art. 5 Abs. 1 lit. a) DSGVO sowie gegen die Informationspflichten aus Art. 12, 13 und 14 DSGVO vor. Insbesondere bemängelt sie, dass den Nutzern Datenübermittlungen an andere Unternehmen des Facebook-Konzerns nicht umfassend genug offengelegt wurden. Zudem seien die berechtigten Interessen, auf welche WhatsApp die Verarbeitung gem. Art. 6 Abs. 1 lit. f) DSGVO stützte, den Nutzern nicht hinreichend dargelegt worden. Das vorgeworfene Verhalten stammt bereits aus dem Jahr 2018. Seitdem gab es viele Diskussionen und Änderungen der App, zuletzt die neuen Nutzungsbedingungen, welche seit Mai 2021 verpflichtend von allen Nutzern angenommen werden mussten.
Hintergrund und internationale Bezüge
Der Beginn der Untersuchungen im Dezember 2018 und die Verhängung des Bußgeldes am 2. September 2021 liegen in diesem Fall auffallend weit auseinander. Ein Hauptgrund hierfür ist der internationale Bezug der Angelegenheit. Da das vorgeworfene Verhalten von WhatsApp Bürger in allen EU-Mitgliedsländern betraf, bearbeitete die irische Datenschutzaufsichtsbehörde den Fall als federführende Aufsichtsbehörde gem. Art. 60 DSGVO. Als solche legte sie den anderen beteiligten Aufsichtsbehörden im Dezember 2020 einen Entwurf für einen Bußgeldbeschluss vor. Da gegen diesen Entwurf mehrere Aufsichtsbehörden Einspruch erhoben, musste der Europäische Datenschutzausschuss gem. Art. 65 DSGVO entscheiden. Diese Entscheidung vom 28. Juli 2021 (abrufbar hier) setzte die irische Datenschutzaufsicht nun um.
Höhe des Bußgelds
Ein großer Diskussionspunkt zwischen den verschiedenen Aufsichtsbehörden war die angemessene Höhe eines Bußgeldes und die entsprechende Bemessungsgrundlage nach Art. 83 DSGVO, der sich auf den gesamten weltweit erzielten Jahresumsatz des vorangegangenen Geschäftsjahres bezieht. Das vorgeschlagene Bußgeld der irischen Datenschutzaufsichtsbehörde in Höhe von bis zu 50 Millionen Euro erschien anderen Aufsichtsbehörden als deutlich zu gering bemessen.
Die irische Datenschutzaufsichtsbehörde hatte dem Bußgeld den Jahresumsatz der WhatsApp Ireland Ltd. zugrunde gelegt. Dem widersprach insbesondere der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit; dieser forderte, dass der Jahresumsatz des gesamten Facebook-Konzerns zählen müsse. Hintergrund ist der Verweis des Erwägungsgrunds 150 auf den unionsrechtlichen Unternehmensbegriff in Art. 101 und 102 AEUV, wonach ein Unternehmen eine wirtschaftliche Einheit ist, die auch aus mehreren juristischen Personen gebildet werden kann. Dieser umfassenden Auslegung hat sich der Europäische Datenschutzausschuss angeschlossen. Daher musste die irische Datenschutzaufsichtsbehörde das Bußgeld stark erhöhen.
Zudem wies der Europäische Datenschutzausschuss die irische Datenschutzaufsichtsbehörde an, bei der Bemessung der Bußgeldhöhe nicht lediglich den schwerwiegendsten Verstoß zugrunde zu legen. Auch weitere festgestellte Verstöße müssen bei der Bemessung eines Bußgeldes berücksichtigt werden. Auch dies nahm der Europäische Datenschutzausschuss zum Anlass, von der irischen Datenschutzaufsichtsbehörde ein deutlich höheres als das zunächst vorgesehene Bußgeld zu verlangen.
Fazit und Ausblick
Das Bußgeld festigt den EU-weiten Trend zu höheren DSGVO-Bußgeldern. Dieser wurde nun durch den Europäischen Datenschutzausschuss legitimiert und wird sich voraussichtlich in allen EU-Mitgliedstaaten fortsetzen. Inwiefern diese hohen Bußgelder auch gerichtlich (insbesondere vor dem EuGH) Bestand haben werden, bleibt abzuwarten. In ersten Stellungnahmen hat WhatsApp bereits angekündigt, gegen die Entscheidung Berufung einlegen zu wollen.
Unabhängig davon sollten Unternehmen die Entscheidung aber auch als Anlass nehmen, die Verwendung oder Duldung der Nutzung von WhatsApp auf Unternehmensgeräten kritisch zu prüfen. Das Bußgeld zeigt einmal mehr, dass die App offensichtlich umfangreich Daten an Facebook weitergibt. Entsprechend ist eine Nutzung der App auf Geschäftshandys nur mit besonderen Vorkehrungen, wie beispielsweise einer Container-Lösung, zulässig.