28.02.2022 | Datenschutz & IT | ID: 1110959

Immer mehr europäische Datenschutzbehörden machen Ernst – WhatsApp erhält Millionenstrafe in Irland

Thomas Schwab - Philipp Huemer

Bei der Höhe der Strafen für Datenschutzvorfälle zeichnet sich eine Trendwende ab. Ein aktuelles Beispiel ist die Strafe der irischen Datenschutzbehörde gegen WhatsApp Ireland Ltd. Auch in Österreich zeigt die Richtung der Strafen steil nach oben.

Die Datenschutzgrundverordnung (DSGVO) als neuer einheitlicher Standard des Datenschutzes in Europa führte vor ihrer Einführung im Jahr 2018 zu einem Aufschrei der Verantwortlichen. Dieser betraf hauptsächlich die Höhe der Strafen. Nachdem dieser Aufschrei anfänglich verebbte und man – vor allem in Österreich – davon ausging, dass das Strafrepertoire durch die Behörde nicht voll ausgeschöpft werden würde, zeichnet sich mittlerweile eine Trendwende ab. Ein besonders prominentes Beispiel in jüngster Vergangenheit ist die Strafe der irischen Datenschutzbehörde (DPC) gegen die WhatsApp Ireland Ltd.

225 Millionen Euro Strafe gegen WhatsApp

Das Unternehmen WhatsApp Ireland Ltd. (WhatsApp) wurde von der DPC wegen Verletzungen der DSGVO zu einer Rekordstrafe von 225 Millionen Euro verurteilt. WhatsApp wurde 2014 vom „Facebook-Konzern“ (nunmehr Meta Platforms Inc.) gekauft. WhatsApp wurde vorgeworfen, Daten an die Konzernmuttergesellschaft weitergegeben und auch Telefonnummern von Nichtnutzern gespeichert zu haben.

Die DPC untersuchte bereits im Dezember 2018, ob WhatsApp insbesondere die Transparenzverpflichtungen der DSGVO erfüllt. Vorgeworfen wurden dem Unternehmen grob, dass es seine Nutzer über Datenweitergaben an Meta nicht ausreichend informiert habe und dass es gegenüber Nicht-Nutzern zu wenig transparent sei.

Im Dezember 2020 kam es zur Vorlage eines Entscheidungsentwurfs an alle betroffenen Aufsichtsbehörden durch die DPC. Dieser Entwurf sah eine Geldstrafe von 30 bis 50 Millionen Euro vor. Da zwischen den Behörden allerdings kein Einvernehmen erzielt werden konnte, kam der Europäische Datenschutzausschuss (EDSA) zum Zug.

Der EDSA spricht mit

Der EDSA trug der DPC am 28.07.2021 auf, die Geldstrafe zu überprüfen und (die aus Sicht der EDSA zu niedrige Geldstrafe) zu erhöhen. Die Folge der Neubewertung war eine Rekordstrafe von 225 Millionen Euro. Noch höher wurde europaweit nur Amazon im Jahr 2021 in Luxemburg bestraft. Gegen Amazon wurde eine Strafe von 746 Millionen Euro verhängt.

Seitens WhatsApp/Meta wurde neben vehementer Kritik auch eine Nichtigkeitsklage beim Europäischen Gerichtshof (EuGH) und ein Einspruch beim irischen High Court eingebracht. Meta hat mittlerweile ebenfalls gedroht, seine Dienste in Europa vom Markt zu nehmen, sollten die Datenschutzbestimmungen nicht gelockert werden. Wie ernst diese Drohung zu nehmen ist, wird sich noch zeigen.

Datenschutzrechtsexperten hingegen haben diese Entscheidung auf breiter Front begrüßt.

Aber auch in Österreich wird der Wind rauer 

Während die österreichische Datenschutzbehörde (DSB) im ersten Jahr nach Inkrafttreten der DSGVO die Strafhöhe bei weitem nicht auskostete, hat sich auch hier mittlerweile das Blatt gewendet. Zum Beispiel sah sich die Österreichische Post in den letzten beiden Jahren bereits mit zwei Verfahren wegen Datenschutzverstößen konfrontiert. Während die erste Strafe über 18 Millionen Euro inzwischen aufgrund von „Formalia“ durch den VfGH aufgehoben wurde, ist bereits ein zweites Verfahren zu einer Geldstrafe von 9,5 Millionen Euro anhängig.

Auch gegen Mitglieder des „Jö-Bonusclubs“, welchem unter anderem die OMV, die Rewe-Group und Adeg angehören, wurde wegen unvollständigen Einwilligungserklärungen und unerlaubtem Profiling eine Geldstrafe von 2 Millionen Euro verhängt, die noch nicht rechtskräftig ist.

Wie das Beispiel einer österreichischen Bank zeigte, können auch Datenverluste zu unerwarteten Konsequenzen führen. In diesem Fall hatten Bankangestellte ungesichert Zugriff auf eine Excel-Datei, in der Kundendaten und Kontoinformationen enthalten waren. Es kam zu einer irrtümlichen Versendung von Teilen dieser Datei an Dritte. Die Bank wurde in der Folge zu einer Strafe von 4 Millionen Euro verurteilt.

Compliance wird wichtiger

Auch wenn die bisherigen hohen Strafen in Österreich noch nicht rechtskräftig sind, zeigt die Richtung der Strafen steil nach oben. Spätestens dieser Umstand sollte den Verantwortlichen den Anreiz bieten, sich mit diesem Thema ausführlich auseinanderzusetzen und die eigene Datenschutz-Compliance nachzuziehen. Denn nur so vermeidet man, sich selbst in den Schlagzeilen zu Datenschutzverstößen wiederzufinden.

Ähnliche Beiträge

  • Google Analytics – Grenzen der Legalität?

    Zum Beitrag
  • Datenschutz: Überwachung von Arbeitnehmern – was darf der Arbeitgeber?

    Zum Beitrag
  • Der Kampf um IP-Adressen: Datenschutz und mehr

    Zum Beitrag

Produkt-Empfehlungen

Produkt-Empfehlungen