DSGVO-VerstoßWhatsApp klagt vor EU-Gericht gegen Rekordstrafe

225 Millionen Euro soll WhatsApp zahlen, weil es seinen Transparenzpflichten bei der Datenverwendung nicht nachgekommen ist. Doch der Facebook-Tochterkonzern wehrt sich dagegen und zieht juristisch alle Register.

WhatsApp Logo
WhatsApp muss transparenter im Umgang mit Daten werden, sagen EU-Behörden. – Alle Rechte vorbehalten IMAGO / imagebroker

WhatsApp weigert sich, eine Rekordstrafe von 225 Millionen Euro wegen Datenschutzverstößen zu akzeptieren. Gegen die Strafe legte die Facebook-Tochterfirma beim Europäischen Gerichtshof (EuGH) eine Nichtigkeitsklage ein, wie aus Informationen auf der Website des EU-Gerichts hervorgeht.

Konkret geht es um Vorwürfe, die Messaging-App habe Nutzer:innen in Europa nicht ausreichend über die Datenweitergabe an den Mutterkonzern Facebook informiert. Nicht transparent genug sei WhatsApp auch gegenüber Nicht-Nutzer:innen, deren Handynummern der Konzern speichert, wenn er Zugriff auf ganze Telefonbücher seiner Nutzer:innen erlangt. WhatsApp habe gegen rechtliche Verpflichtungen nach der Datenschutzgrundverordnung (DSGVO) verstoßen, urteilte der Europäische Datenschutzausschuss, in dem Behörden aller EU-Staaten vertreten sind. Er gab dem Konzern eine dreimonatige Frist, um rechtskonform zu werden.

Formal fasste den Strafbeschluss die irischen Datenschutzbehörde, die ursprünglich ein weitaus niedrigeres Bußgeld von 50 Millionen Euro verhängen wollte. Irland ist der Europasitz von Facebook und damit für alle grenzüberschreitenden Verfahren zuständig. Datenschutzbehörden anderer Ländern ärgern sich dabei immer wieder über das zögerliche Vorgehen der irischen Behörde. Derzeit gibt es rund ein Dutzend grenzüberschreitender DSGVO-Verfahren allein gegen Facebook, die sich größtenteils seit Jahren hinziehen.

Berufung auch in Irland

Bei dem WhatsApp-Verfahren nutzte der Europäische Datenschutzausschuss erstmals ein neues Rechtsmittel, dass die Datenschutz-Grundverordnung geschaffen hatte, nämlich eine verbindliche Entscheidung nach Artikel 65. Dies zwang Irland, das Strafgeld deutlich anzuheben. Facebook selbst kritisierte die Entscheidung damals umgehend als „völlig unverhältnismäßig“.

Der genaue Inhalt der Nichtigkeitsbeschwerde war zunächst nicht bekannt. Die irische Datenschutzbehörde wollte sich dazu nicht äußern, der Europäische Datenschutzausschuss sagte auf Anfrage von netzpolitik.org lediglich, dass bislang „noch keine Informationen über den Inhalt“ vorliegen würden.

Der Facebook-Konzern geht unterdessen nicht nur vor dem EU-Gericht gegen die Strafe vor, sondern auch in Irland. Wie die Irish Times berichtet, bringt der Konzern auch vor dem irischen High Court einen Einspruch ein. Die beiden Klagen dürften in einem direkten Zusammenhang stehen: Der Einspruch beim EU-Gericht richtet sich gegen die Entscheidung des Datenschutzausschusses, während die Beschwerde in Irland jene Teile des irischen Strafbescheids betrifft, die nicht direkt auf die EU-Entscheidung zurückgehen.

3 Ergänzungen

  1. Zitat: „225 Millionen Euro soll WhatsApp zahlen, weil es seinen Transparenzpflichten bei der Datenverwendung nicht nachgekommen ist.“

    Allerdings benutzt die EU-Kommission WhatsApp als Messenger, um eigene Transparenzpflichten zu umgehen.

    Versuche, mittels EU Regulation No. 1049/2001 scheitert an der WhatsApp-Hürde,
    weil die Kommission in großem Stil Dokumente und emails löscht, die älter als sechs Monate alt sind. Damit kann die Kommission wirksam entscheiden, welche Informationen einer Archivierung bequem entzogen werden können.

  2. @An den Vorposter mit dem ersten Kommentar hier:
    Danke für die Info, brachte bei mir mal wieder das Gedankenkarussel zum Laufen:

    Die Nutzung von Whatsapp durch unsere Polizei und Gerichte
    kann effektiv zur Strafvereitelung bei Facebook beitragen,
    da Facebook im vorraus von den Ermittlungen informiert wird.

    Das mit der möglichen Strafvereitelung gilt natürlich für alle
    Hersteller von Apps & Betriebssystemen, da sie immer Vollzugriff
    auf ihre eigenen Server haben und in eigener Sache handeln können.
    (Beispiele: MS Outlook/Skype, Google Hangouts/GMail,
    aber auch Signal & Telegram!)

    1. Signal hat keinen Zugriff auf deine Daten. Genausowenig verschlüsseltes Matrix oder E-Mail. Bei E-Mail bin ich nicht mal auf einen bestimmten Hersteller der Client-Software angewiesen.

      In der Allgemeinheit, in der Ihr Argument formuliert ist, dürfte die Polizei gar keine Computer einsetzen.

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.