Die irische Datenschutzkommission (Data Protection Commission, DPC) hat am 2. September 2021 den Abschluss einer mehr als zweieinhalb Jahre dauernden Untersuchung bei WhatsApp bekanntgegeben. Gegenstand der Untersuchung war gemäss der Medienmitteilung der DPC, ob WhatsApp die Informationspflichten nach der DSGVO verletzt hat, u.a. auch über den Austausch zwischen WhatsApp und anderen Unternehme der Facebook-Gruppe. Nicht betroffen war allerdings WhatsApp Business.
Die DPC hat Ende 2020 den mitbetroffenen Aufsichtsbehörden einen Entscheidungsentwurf nach Art. 60 DSGVO vorgelegt. Weil dabei keine Einigkeit gefunden wurde, hat der Europäische Datenschutzausschuss (EDPB) Ende Juni 2021 die DPC angewiesen, die vorgeschlagene Busse zu erhöhen. Infolgedessen verhängte die DPC eine Busse von EUR 225 Mio. gegen WhatsApp, und wies WhatsApp an, die Datenverarbeitung anzupassen.
Der EDPB hielt in seiner Entscheidung u.a. fest, dass der Verantwortliche für jede einzelne Verarbeitungstätigkeit den Zweck und ggf. die damit verfolgten berechtigten Interessen angeben müsse. Soweit es sich dabei um berechtigte Interessen eines anderen Unternehmens handle, sei auch dieses anzugeben. Die Datenschutzerklärung und AGB von WhatsApp entsprächen diesen Anforderungen nicht und seien zu wenig klar und spezifisch. Bspw. genüge die Aussage “For providing measurement, analytics, and other business services […] The legitimate interests we rely on for this processing are: […] In the interests of businesses and other partners to help them understand their customers and improve their businesses, …”, weil unklar sei, was “other business services” heisse und auch kein berechtigtes Interesse eigens in Bezug auf diesen Zweck genannt werde. Auch bleibe unklar, um welche “businesses or partners” es gehe. Auch “[t]o create, provide, support, and maintain innovative Services and features […]” sei zu wenig bestimmt.
Diese Haltung des EDPB ist nicht unbedingt überraschend, wenn man seine Leitlinien zur Transparenz liest. Sie ist aber sehr streng. Nimmt man sie zum Nennwert, werden sehr viele Unternehmen ihre Datenschutzerklärung überarbeiten müssen. Das führt nicht nur zu grossem Aufwand, sondern vor allem auch dazu, dass Datenschutzerklärungen bei Anpassungen von Geschäftsmodellen, aber auch Alltagsabläufen anzupassen sind. Es wird sicher eine Weile dauern, bis sich eine solche Praxis allgemein durchsetzt, aber auf lange Sicht ist damit zu rechnen.
WhatsApp hat offenbar angekündigt, den Entscheid anzufechten.