Das Bußgeld resultiert aus umfassenden Ermittlungen gegen WhatsApp Ireland Ltd., die die irische Datenschutzbehörde DPC am 10. Dezember 2018 eingeleitet hatte. Die Untersuchung der DPC zielte darauf ab, festzustellen, ob WhatsApp seinen Verpflichtungen in Bezug auf die Bereitstellung und Transparenz von Informationen für Nutzer und Nicht-Nutzer des Messenger-Dienstes nachgekommen ist. Besonders im Fokus standen dabei Informationen zur Übermittlung personenbezogener Daten zwischen WhatsApp und anderen Unternehmen des Facebook-Konzerns.
Im Dezember 2020 legte die DPC einen Entscheidungsentwurf gemäß Artikel 60 DSGVO allen beteiligten Aufsichtsbehörden vor. Acht dieser Aufsichtsbehörden legten Widerspruch ein. Da keine Einigung erzielt werden konnte, leitete die DPC am 3. Juni 2021 ein Streitbeilegungsverfahren gemäß Artikel 65 DSGVO ein.
Am 28. Juli 2021 traf der Europäische Datenschutzausschuss (EDPB) eine verbindliche Entscheidung in dieser Angelegenheit. Diese Entscheidung forderte die Datenschutzbehörde auf, die Bußgeldhöhe unter Berücksichtigung bestimmter Faktoren, die in der Entscheidung des EDPB genannt wurden, neu zu bewerten und zu erhöhen.
Daraufhin verhängte die irische Datenschutzbehörde ein Bußgeld von 225 Mio. EUR gegen WhatsApp wegen Verstößen gegen den Grundsatz der Rechtmäßigkeit und Transparenz sowie der Informationspflichten von WhatsApp. Dieses Bußgeld setzt sich wie folgt zusammen: 90.000.000 EUR für einen Verstoß gegen Art. 5 Abs. 1 lit. a DSGVO, 30.000.000 EUR für einen Verstoß gegen Art. 12 DSGVO, 30.000.000 EUR für einen Verstoß gegen Art. 13 DSGVO und 75.000.000 EUR für einen Verstoß gegen Art. 14 DSGVO.
Zusätzlich sprach die DPC eine Verwarnung aus und ordnete WhatsApp an, seine Datenverarbeitungsprozesse durch eine Reihe spezifischer Abhilfemaßnahmen an die Vorschriften anzupassen.
Eine von WhatsApp beim EuG erhobene Klage gegen den Beschluss des Europäischen Datenschutzausschusses wurde vom Gericht als unzulässig abgewiesen. WhatsApp müsse den Beschluss zunächst vor nationalen Gerichten anfechten.
Sanktionsadressat
WhatsApp Ireland Ltd.
Bußgeld
225.000.000 EUR
Verletzte Rechtsnorm
Art. 5 Abs. 1 lit. a DSGVO, Art. 12 DSGVO, Art. 13 DSGVO, Art. 14 DSGVO
Matthias A. Walter, http://www.tec4net.com
EDV-Sachverständiger und Datenschutzauditor
————————————————————————————————————————-
Quellen und Links:
Datenschutzbehörde: Irland – Data Protection Commission (DPC)
https://dataprotection.ie/en/news-media/press-releases/data-protection-commission-announces-decision-whatsapp-inquiry
Entscheidung des EDPB
https://edpb.europa.eu/system/files/2021-09/edpb_bindingdecision_202101_ie_sa_whatsapp_redacted_en.pdf
tec4net – Datenschutz und IT-Sicherheit praktikabel umsetzen
Wir beraten und auditieren DSGVO und BDSG sowie die Normen ISO/IEC 27001, TISAX und PCI-DSS.