WhatsApp soll in der EU 225 Mio. Euro Strafe wegen Verstößen gegen das Datenschutzrecht zahlen
Die irische Datenschutzkommission (DPC) ist wegen ihrer vermeintlichen Nachgiebigkeit bei der Auflegung von Strafen gegen große Tech-Unternehmen mit Sitz in ihrem Zuständigkeitsbereich in die Kritik geraten.
Die gegen WhatsApp verhängte Geldbuße in Höhe von 267 Millionen Dollar ist der erste hohe Betrag, den die irische Aufsichtsbehörde festgesetzt hat, aber sie kommt inmitten von Vorwürfen.
WhatsApp-GDPR-Strafe beantwortet Fragen über das Engagement der irischen Datenschutzbehörde nicht abschließend
WhatsApp wurde nach einer fast drei Jahre dauernden Untersuchung zu einer Geldstrafe von 225 Millionen Euro verurteilt. Die Untersuchung wurde von dem Datenschutzaktivisten Max Schrems angestoßen, dem es auch gelang, Datenübermittlungen zwischen der Europäischen Union und den Vereinigten Staaten in einem separaten Verfahren gegen die WhatsApp-Muttergesellschaft Facebook für ungültig zu erklären, das letztes Jahr abgeschlossen wurde. Schrems reichte Ende 2018 Beschwerden über die angebliche „erzwungene Zustimmung“ von WhatsApp ein und behauptete, dass WhatsApp (und mehrere andere Social-Media-Riesen) Nutzer im Wesentlichen unter Druck setzten, ihre Datenschutzbestimmungen zu akzeptieren, und ihnen andernfalls mit der Verweigerung von Dienstleistungen drohten.
Obwohl die irische Datenschutzbehörde ihre bisher größte GDPR-Strafe und die zweitgrößte in der Geschichte der EU verhängte, bleiben Fragen und Kritik an ihrer Bereitschaft, die goldenen Gänse zu regulieren, die sich in ihrem Land eingenistet haben (vor allem aufgrund günstiger Steuerbedingungen). Abgesehen von der schieren Länge der Untersuchung, für die die irische Aufsichtsbehörde bereits in anderen Fällen kritisiert wurde, stößt einigen Beobachtern die Tatsache sauer auf, dass die Behörde den Umfang ihrer eigenen Untersuchung selbst festgelegt (und eine Reihe damit zusammenhängender Beschwerden ausgeklammert) hat.
Die irische Aufsichtsbehörde entschied sich dafür, sich ausschließlich auf die Transparenzverpflichtungen von WhatsApp gemäß der Datenschutz-Grundverordnung zu konzentrieren und übersah dabei grundlegendere Beschwerden darüber, ob der Messaging-Riese eine gültige Rechtsgrundlage für die Verarbeitung aller von ihm gesammelten Informationen hat. Die Geldbuße wurde schließlich verhängt, weil WhatsApp es versäumt hatte, den Nutzern den vollen Umfang der Verwendung der gesammelten personenbezogenen Daten offenzulegen, ohne jedoch die Art und Weise der Sammlung zu beanstanden.
Eines der zentralen Themen war der Umfang der Weitergabe von Nutzerdaten durch WhatsApp an Facebook, ein Thema, das in letzter Zeit nach einer umstrittenen Aktualisierung der Datenschutzrichtlinien Anfang des Jahres in den Nachrichten war. Die Untersuchung der Beziehung zwischen Mutter- und Tochtergesellschaft reicht jedoch bis ins Jahr 2016 zurück, als WhatsApp sein Versprechen brach, die Nutzerdaten von Facebook getrennt zu halten, als das Unternehmen 2014 übernommen wurde.
Kritik an früheren GDPR-Bußgeldern der irischen Datenschutzbehörde
Schrems, der Urheber der Beschwerden, die zu dieser Entscheidung führten, sagte, dass die hohe GDPR-Strafe „willkommen“ sei, aber dass das System weiterhin „dysfunktional“ sei. Die verschiedenen Datenschutzbehörden der EU haben in den ersten Jahren der GDPR unterschiedliche Regulierungsansätze verfolgt, wobei Irland viel Zeit im Rampenlicht verbringt, da es für die EU-Niederlassungen vieler der größten Namen des Silicon Valley verantwortlich ist. Die irische Datenschutzbehörde ist in verschiedenen Fällen mit anderen Regulierungsbehörden aneinandergeraten, und zwar sowohl wegen der Zeit, die sie für die Durchführung von Untersuchungen benötigt, als auch wegen der Tatsache, dass die von ihr vorgeschlagenen GDPR-Bußgelder in der Regel die niedrigsten sind. Dies führte zu einem Streit zwischen den anderen EU-Datenschutzbehörden und wurde letztlich nur durch eine Entscheidung des Europäischen Datenschutzausschusses (EDPB) beigelegt. Dies spiegelte die Situation bei der einzigen vorherigen GDPR-Strafe der irischen Datenschutzbehörde wider, einer Strafe in Höhe von 450.000 Euro für Twitter, die andere Aufsichtsbehörden in die Millionenhöhe treiben wollten.
