Whats­App: Bus­se von EUR 225 Mio. wegen Ver­let­zung der Informationspflicht

Die iri­sche Daten­schutz­kom­mis­si­on (Data Pro­tec­tion Com­mis­si­on, DPC) hat am 2. Sep­tem­ber 2021 den Abschluss einer mehr als zwei­ein­halb Jah­re dau­ern­den Unter­su­chung bei Whats­App bekannt­ge­ge­ben. Gegen­stand der Unter­su­chung war gemäss der Medi­en­mit­tei­lung der DPC, ob Whats­App die Infor­ma­ti­ons­pflich­ten nach der DSGVO ver­letzt hat, u.a. auch über den Aus­tausch zwi­schen Whats­App und ande­ren Unter­neh­me der Face­book-Grup­pe. Nicht betrof­fen war aller­dings Whats­App Business.

Die DPC hat Ende 2020 den mit­be­trof­fe­nen Auf­sichts­be­hör­den einen Ent­schei­dungs­ent­wurf nach Art. 60 DSGVO vor­ge­legt. Weil dabei kei­ne Einig­keit gefun­den wur­de, hat der Euro­päi­sche Daten­schutz­aus­schuss (EDPB) Ende Juni 2021 die DPC ange­wie­sen, die vor­ge­schla­ge­ne Bus­se zu erhö­hen. Infol­ge­des­sen ver­häng­te die DPC eine Bus­se von EUR 225 Mio. gegen Whats­App, und wies Whats­App an, die Daten­ver­ar­bei­tung anzupassen.

Der EDPB hielt in sei­ner Ent­schei­dung u.a. fest, dass der Ver­ant­wort­li­che für jede ein­zel­ne Ver­ar­bei­tungs­tä­tig­keit den Zweck und ggf. die damit ver­folg­ten berech­tig­ten Inter­es­sen ange­ben müs­se. Soweit es sich dabei um berech­tig­te Inter­es­sen eines ande­ren Unter­neh­mens hand­le, sei auch die­ses anzu­ge­ben. Die Daten­schutz­er­klä­rung und AGB von Whats­App ent­sprä­chen die­sen Anfor­de­run­gen nicht und sei­en zu wenig klar und spe­zi­fisch. Bspw. genü­ge die Aus­sa­ge “For pro­vi­ding mea­su­re­ment, ana­ly­tics, and other busi­ness ser­vices […] The legi­ti­ma­te inte­rests we rely on for this pro­ces­sing are: […] In the inte­rests of busi­nes­ses and other part­ners to help them under­stand their custo­mers and impro­ve their busi­nes­ses, …”, weil unklar sei, was “other busi­ness ser­vices” hei­sse und auch kein berech­tig­tes Inter­es­se eigens in Bezug auf die­sen Zweck genannt wer­de. Auch blei­be unklar, um wel­che “busi­nes­ses or part­ners” es gehe. Auch “[t]o crea­te, pro­vi­de, sup­port, and main­tain inno­va­ti­ve Ser­vices and fea­tures […]” sei zu wenig bestimmt.

Die­se Hal­tung des EDPB ist nicht unbe­dingt über­ra­schend, wenn man sei­ne Leit­li­ni­en zur Trans­pa­renz liest. Sie ist aber sehr streng. Nimmt man sie zum Nenn­wert, wer­den sehr vie­le Unter­neh­men ihre Daten­schutz­er­klä­rung über­ar­bei­ten müs­sen. Das führt nicht nur zu gro­ssem Auf­wand, son­dern vor allem auch dazu, dass Daten­schutz­er­klä­run­gen bei Anpas­sun­gen von Geschäfts­mo­del­len, aber auch All­tags­ab­läu­fen anzu­pas­sen sind. Es wird sicher eine Wei­le dau­ern, bis sich eine sol­che Pra­xis all­ge­mein durch­setzt, aber auf lan­ge Sicht ist damit zu rechnen.

Whats­App hat offen­bar ange­kün­digt, den Ent­scheid anzufechten.