Der Messenger-Anbieter WhatsApp soll 225 Millionen Euro Strafe zahlen, hat heute die irische Datenschutzbehörde verkündet. Die Facebook-Tochter habe gegen die Datenschutz-Grundverordnung (DSGVO) verstoßen, lautet das Ergebnis nach einer mehrjährigen Untersuchung. Es handelt sich um das höchste Bußgeld, das die irische Behörde (Data Protection Commission, DPC) jemals verhängt hat.
WhatsApp habe Vorgaben zur Transparenz verletzt und unter anderem unerlaubterweise Daten zwischen WhatsApp und anderen Facebook-Unternehmen ausgetauscht, etwa Adressbücher. Damit seien nicht nur die Rechte von WhatsApp-Nutzer:innen verletzt worden, sondern auch die von Menschen, die den Messenger-Dienst gar nicht nutzen. WhatsApp hat angekündigt, rechtlich gegen die Entscheidung vorzugehen.
Laxe irische Behörde
Dass es überhaupt so weit gekommen ist, lässt sich auf das Drängen anderer europäischer Behörden zurückführen. Ursprünglich wollte die irische Aufsicht dem Anbieter eine Strafe von 30 bis 50 Millionen Euro aufbrummen. Dutzende andere Datenschutzbehörden protestierten jedoch gegen das laxe Vorgehen, darunter auch mehrere deutsche Landesdatenschutzbeauftragte und der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit.
Der Streit musste schließlich vom Europäischen Datenschutzausschuss geschlichtet werden, in dem die nationalen Datenschutzbehörden und der Europäische Datenschutzbeauftragte sitzen. In einer bindenen Entscheidung signalisierte das EU-Gremium, dass die zunächst ins Spiel gebrachte Strafe viel zu niedrig sei. Auch hinter den Kulissen soll heftiger Druck auf die Iren ausgeübt worden sein, härter mit einem der größten Messaging-Anbieter der Welt umzugehen, berichtet die Irish Times.
Viele Digitalkonzerne haben ihren europäischen Sitz in Irland, daher ist die dortige Datenschutzaufsicht für sie zuständig. Diese steht schon seit Jahren in der Kritik. Zum einen, weil ihr die Ressourcen fehlen, um zügig auf Beschwerden zu reagieren, zum anderen, weil sie oft auffallend milde mit großen Digitalunternehmen umgeht.
Erste größere Geldstrafe
Der Datenschützer Max Schrems von der NGO noyb begrüßt zwar die Entscheidung der irischen Aufsichtsbehörde, relativiert sie allerdings: So habe die DPC seit 2018 etwa zehntausend Beschwerden pro Jahr erhalten, aber erst jetzt die erste größere Geldstrafe verhängt. Erst nach der Intervention anderer europäischer Datenschutzbehörden habe sie die Strafe auf 225 Millionen Euro erhöht.
„Selbst die 225 Millionen sind immer noch nur 0,08 Prozent des Umsatzes der Facebook-Gruppe“, sagt Schrems in einer Stellungnahme. „Die DSGVO sieht Geldbußen von bis zu 4 Prozent des Umsatzes vor. Das alles zeigt, dass die irische Datenschutzbehörde immer noch extrem dysfunktional ist“, so Schrems. Die NGO werde diesen Fall nun genau beobachten, um sicherzustellen, dass die Datenschutzbehörde diese Entscheidung auch wirklich umsetzt.
Was wäre passiert, wenn WhatsApp ein europäisches Unternehmen wäre? Wohl nicht viel. Hier zeigt sich wieder mal die zentrale Motivation hinter der DSGVO: Man wollte eine Möglichkeit haben, den erfolgreichen amerikanischen Riesen mal richtig einen auf die Zwölf zu geben. Die Strafe ist angesichts des vermuteten Schadens albern und wird vor Gericht keinen Bestand haben. Denn was ist der schlimmste Schaden, der passieren könnte? Facebook-Nutzern wird etwas andere Werbung angezeigt als ohne die zusätzlichen WhatsApp-Daten. Schrecklich, dieses Szenario!
Missbrauch durch zwangsweise erfasste Daten durch Überwachungsbehörden, DAS ist das drückende Datenschutzproblem unserer Zeit! Diese ewigen Nebenkriegsschauplätze spielen nur Leuten wie dem BND oder den zahlreichen anderen Behörden mit Überwachungsbefugnissen in die Hände!
Steile These! Hast du einen Beleg dafür, dass europäische Unternehmen milder wegkommen, als amerikanische?
Dein Verweis auf die Geheimdienste ist Whataboutism vom feinsten. Ja, auch diese müssen sich an das Datenschutzrecht halten und entsprechend kontrolliert werden. Das gleiche gilt aber auch für die Privatwirtschaft. Die DSGVO gilt für den öffentlichen UND den privaten Sektor gleichermaßen und das ist auch gut so. Die Macht von GAFAM zu unterschätzen ist hochgradig naiv. (Im übrigen praktisch auch, wenn GAFAM sich darum kümmern, alle Daten zusammenzuführen – nimmt den Geheimdiensten im Zweifel ne Menge Arbeit ab…)
Was den Schaden angeht, verweise ich auf Zuboff (Stichwort Überwachungskapitalismus).
Dass diese Unternehmen sich stur und dreist weigern, das geltende Recht zu achten ist eins der drückensten Datenschutzprobleme unserer Zeit.
@Tim: Du hast einen wichtigen Aspekt vergessen. Dank CLOUD Act und PATRIOT Act wissen die drei-Buchstaben-Dienste der USA alles, was die US-Firmen wissen. Insofern bewegen wir uns hier genau im Zentrum auch der staatlichen Überwachung.
Grundsätzlich ist dies ein Trauerspiel. Dass erst die EU-Kollegen Frau Dixon nahezu zwingen mussten, mit angemessener Strenge gegen WA vorzugehen, schreit zum Himmel. Naja, Herr Z. hat wohl genug Geld in Brüssel gelassen (siehe aktuelle Zahlen von lobbycontrol) und vermutlich auch in Dublin. Da muss man den Esel schieben, der eigentlich den Karren ziehen sollte …
Auch wenn die Strafe hoch klingt, dabei wird es wohl nicht bleiben. Der Teufel steckt in diesem Detail: „WhatsApp hat angekündigt, rechtlich gegen die Entscheidung vorzugehen“. Soll ich mal eine Prognose wagen? Das angestrebte Gerichtsverfahren wird mit einem Vergleich enden. WA wird sich durch Zahlung einer geringeren Summe aus der Affäre ziehen, natürlich ohne irgendeine Schuld anzuerkennen. Warten wir’s ab.