Drücke „Enter”, um zum Inhalt zu springen.
Hinweis zu diesem Datenschutz-Blog:
Anscheinend verwenden Sie einen Werbeblocker wie uBlock Origin oder Ghostery, oder einen Browser, der bestimmte Dienste blockiert.
Leider wird dadurch auch der Dienst von VG Wort blockiert. Online-Autoren haben einen gesetzlichen Anspruch auf eine Vergütung, wenn ihre Beiträge oft genug aufgerufen wurden. Um dies zu messen, muss vom Autor ein Dienst der VG Wort eingebunden werden. Ohne diesen Dienst geht der gesetzliche Anspruch für den Autor verloren.

Ich wäre Ihnen sehr verbunden, wenn Sie sich bei der VG Wort darüber beschweren, dass deren Dienst anscheinend so ausgeprägt ist, dass er von manchen als blockierungswürdig eingestuft wird. Dies führt ggf. dazu, dass ich Beiträge kostenpflichtig gestalten muss.

Durch Klick auf folgenden Button wird eine Mailvorlage geladen, die Sie inhaltlich gerne anpassen und an die VG Wort abschicken können.

Nachricht an VG WortMailtext anzeigen

Betreff: Datenschutzprobleme mit dem VG Wort Dienst(METIS)
Guten Tag,

als Besucher des Datenschutz-Blogs Dr. DSGVO ist mir aufgefallen, dass der VG Wort Dienst durch datenschutzfreundliche Browser (Brave, Mullvad...) sowie Werbeblocker (uBlock, Ghostery...) blockiert wird.
Damit gehen dem Autor der Online-Texte Einnahmen verloren, die ihm aber gesetzlich zustehen.

Bitte beheben Sie dieses Problem!

Diese Nachricht wurde von mir persönlich abgeschickt und lediglich aus einer Vorlage generiert.
Wenn der Klick auf den Button keine Mail öffnet, schreiben Sie bitte eine Mail an info@vgwort.de und weisen darauf hin, dass der VG Wort Dienst von datenschutzfreundlichen Browser blockiert wird und dass Online Autoren daher die gesetzlich garantierten Einnahmen verloren gehen.
Vielen Dank,

Ihr Klaus Meffert - Dr. DSGVO Datenschutz-Blog.

PS: Wenn Sie meine Beiträge oder meinen Online Website-Check gut finden, freue ich mich auch über Ihre Spende.
Ausprobieren Online Webseiten-Check sofort das Ergebnis sehen

WhatsApp (Facebook): Bakgrund och slutsatser om böterna på 225 miljoner euro från den irländska dataskyddsmyndigheten

0
Dr. DSGVO Newsletter detected: Extended functionality available
More articles · Website-Checks · Live Offline-AI

WhatsApp fick ett bötesbelopp på 225 miljoner euro från den irländska tillsynsmyndigheten av alla ställen. Den irländska sammanfattningen på 266 sidor av författaren Helen Dixon är väl värd att läsa och lärorik. Förutom en välgrundad analys av processer på WhatsApp innehåller den många slutsatser, inklusive en härledning om dataskydd.

Uppdatering 08.09.2025

Whistleblower (tidigare WhatsApp säkerhetschef Attaullah Baig) stämmer Meta för att ignorera säkerhetsproblem.

Förhållanden till kärnvapen efter Source:

  • Tusentals Meta/WhatsApp-anställda har tillgång till känslig användardata (profilbilder, platser, kontakter)
  • Över 100.000 konton hackas varje dag utan tillräckliga motåtgärder
  • Avslag på föreslagna säkerhetsfixar
  • Repressalier och uppsägning efter varningar till Meta-ledningen

Baig hävdar brott mot FTC:s sekretessavtal från 2019 och värdepapperslagar. Han har även underrättat FTC och SEC.

Inledning

Följande beskrivningar och citat i form av skärmdumpar hänför sig till den officiella rapporten från den irländska dataskyddsförvaltningen från den 20.08.2021. Motivationen för utredningen av skriftstället var särskilt detaljerna i beskrivningarna. Många referenser och beskrivningar visar tydligt hur utredningsprocessen gick till. De slutsatser som följde är imponerande. Det handlar bland annat om frågor efter

  • Skyldighet att tillhandahålla information,
  • specifikation av mottagare av uppgifter,
  • ansvar
  • identifierbarhet av personer,
  • den personliga referensen till data och
  • bötesbeloppet.
Meta:s synder: https://dr-dsgvo.de/meta

Vem vill veta varför den irländska dataskyddsuppsyningsmyndigheten använder begreppet piecemeal fashion och vad det betyder, måste bara fundera över hur WhatsApp tillhandahåller information. Så kommer man snabbt på "häppchenweise", ett ord som inte finns i GDPR och som därmed sannolikt också är ogiltigt om informationsplikter ska uppfyllas. Detta skäbbsenvisa serverande av pliktig information verkar även Facebook och Google ha valt som taktik för att kunna undvika lagar så länge som möjligt.

Följande uttalande kan hittas ganska ofta i studien av Helen Dixon, författare till dokumentet där dataskyddsbedömningen av WhatsApp genomfördes.

It is clear that WhatsApp and I fundamentally disagree …

Ofta använt uttalande av Helen Dixon i hennes rapport som chef för den irländska dataskyddsmyndigheten.

Författaren skriver detta när WhatsApp gav ett svar på frågor från tillsynsmyndigheten som inte verkade giltiga för chefsutredaren. Facebook är nu känt som Meta. Jag har inte följt denna namnändring här.

Hashvärde som personuppgifter?

Generellt undersöks i processen mot WhatsApp hur användare som kanske inte använder WhatsApp behandlas av WhatsApp enligt dataskyddslagstiftningen. När ett nytt användare registrerar sig på WhatsApp informeras kontakterna i hans adressbok om detta. Detta sker sannolikt efter samtycke, men sannolikt inte i överensstämmelse med GDPR. Dessa användare i adressboken till ett nytt WhatsApp-användare kallas Icke-användare. Meddelandet skickas osynligt via en kommunikation med WhatsApp-appen och inte genom en synlig meddelande på operativsystemsnivå, såvitt jag vet.

Meddelandet till Non-Users sker på följande sätt: man tittar i en katalog för att se om dessa användare redan har mottagit meddelandet. För att vara dataskyddsvänliga lagras inte deras telefonnummer i katalogen, utan ett hash-värde istället. Detta förfarande kallas Lossy Hashing. Den som vill veta hur detta hash-förfarande fungerar hittar informationen nedanför.

WhatsApps hashingalgoritm för telefonnummer (marginal nr 34).

WhatsApp inför denna hash-värde för telefonnummer för att meddelandetjänsten Contact Feature ska informera andra WhatsApp-användare om en ny användare har anslutit (Rn. 44h). Orsaken till hash-ansatsen diskuteras också.

Rn 40.

Med hashvärdet går det förmodligen inte att dra slutsatser om en specifik användare. Istället bör det endast vara möjligt att identifiera en grupp om 16 olika användare.

Rn. 42

Till detta vill jag påpeka att i ett domstolsavgörande från ÖGH (Österrike) den 18 februari 2021 (nr. 6 Ob 127/20z) ansågs sannolikhetsutlåtanden om personers preferenser som personuppgifter, så länge det finns en koppling till personen innan utlåtandena togs.

Identifierbarhet för en person

Det är intressant att förstå den av fru Dixon citerade Article 29 Working Party i EU, som till och med nämns i Art. 94 GDPR. Denna grupp ser det så här: En Person anses som identifierbar, om hon kan skiljas från en grupp andra personer. Detta uttrycks i den s.k. Opinion 4/2007 av gruppen.

punkt 52 (sekundär hänvisning, här sparar jag mig hänvisningen till den ursprungliga källan, "Yttrande 4/207 från "Artikel 29-gruppen för uppgiftsskydd").

Identifikationsbarheten som kriterium för att personuppgifter förekommer är nämnt i Artikel 4 punkt 1 GDPR. Förklaringsgrunden 26 nämner vidare.

Det är alltså inte nödvändigt att man kan svara på en person i konkretion, så att till exempel ett "härd" personbundet datum som IP-adressen, namnet, postadressen eller körkortsnumret finns. Istället räcker det med att man kan identifiera en person och skilja henne från andra människor.

Det är för övrigt också det konceptet med Web Tracking. Det intresserar Google & Co mindre vem exakt som ligger bakom den användare som just besöker en webbplats. Istället vill Google eller en annonsör veta om detta är användare 4711 eller någon annan, så att deras Användarprofil kan användas. För användare 4711 är det känt att han är kvinna, lyssnar på heavy metalmusik och online gärna köper grekiska specialiteter.

Även om man inte direkt kan sluta sig till att en viss person i en grupp av människor är menad, kan en identifierbarhet för personen föreligga. Det uttrycker den Article 29 Working Party så.

Konkret betyder det enligt min förståelse att även tilläggsinformationer som inte finns tillgängliga måste beaktas, även om de inte är obligatoriska och kunde eller kommer att finnas tillgängliga. Detta är analogt med Eu-domstolens dom i IP-adressfrågan.

I Rn. 60 och 61 fortsätter man med vad EG-domstolen redan har konstaterat, nämligen att data ska anses som personuppgift enligt artikel 4 punkt 1 i GDPR, även om de inte direkt och inte genom den ansvarige kan kopplas till en person.

Grund 26 innehåller en risikobaserad ansats för att bedöma om data är personuppgiftsrelaterade (Rn. 79). Detta ses också i Breyer-domen från EU-domstolen till IP-adresser (Rn. 85). I Breyer-domen anges att en personuppgiftsanknytning ska antas vara förekommande (om ett identifierande element som en IP-adress eller något annat används), om risken för identifikation i praktiken inte kan avvisas (Rn. 46).

I skäl 26 anges bland annat följande:

För att avgöra om en fysisk person är identifierbar bör hänsyn tas till alla de medel som den personuppgiftsansvarige eller någon annan person sannolikt kommer att använda för att identifiera den fysiska personen direkt eller indirekt, t.ex. genom att peka ut personen.

Utdrag ur skäl 26 i dataskyddsförordningen.

Det sägs där att den tillgängliga teknologin och teknologiska utvecklingarna vid tiden för bearbetningen ska beaktas. I detta sammanhang antydas det att WhatsApp skulle kunna använda en känd telefonnummer av en Non-Users för att genom sökningar på internet eller i sociala medier fastställa dess identitet (Rn. 83 c).

Det görs en jämförelse mellan WhatsApp-hashvärdet för Non-Users med EuGH-domstolens dom om IP-adresser (Rn. 70 och 95). Fru Dixon konstaterar att hashvärdet för en Non-User tillsammans med dess telefonnummer, som bara finns i minnet under mycket kort tid, utgör ett personuppgiftsdatum (Rn. 66 och 110). Telefonnumret betraktas också av henne som ett personuppgiftsdatum även efter att det har omvandlats till ett hashvärd.

Det är mycket intressant att ta testvis anta att en telefonnummer tillhör en icke-användare inte utgör personuppgifter (Rn.89). Följden skulle vara att dessa telefonnummer kunde behandlas utan inskränkningar. Det verkar absurt och är därför inte antagligt, vilket bekräftar att uppgiften är personbehandling (Rn. 90f). En annan tillvägagångssätt till denna insikt leder via Artikel 33 GDPR. Där nämns skyldigheten att rapportera brott mot skyddet av personuppgifter till en tillsynsmyndighet. En sådan rapportering skulle inte vara möjlig om de uppgifter som diskuteras inte utgör personuppgifter (Rn. 94). Dessutom konstateras att WhatsApp har kontrollen över designet av applikationen och kunde etablera säkra mekanismer, vilket nämns i Artikel 25 GDPR.

Det räcker att det finns möjligheter till identifiering av personer och är inte viktigt om en ansvarig kan eller vill använda sig av dessa möjligheter (Rn. 95). Sannolikheten för identifiering spelar därmed ingen roll.

Den här telefonnumret hanteringen för en Non-User sker i följande steg (Rn. 103):

  1. Tillgång till numret via WhatsApp
  2. Överföring av numret till WhatsApp-servrar
  3. Utbildning av en Lossy-Hash-värde från numret
  4. Oåterkallelig radering av numret

Trots att numret försvinner oåterkalleligt efter en mycket kort tid anses den som personbezogen. Att samla in (erheben) numret med möjlig kännedom betraktas som en viktig form av datahantering (to collect = erheben, Rn. 103). Om WhatsApp faktiskt raderar numret eller bara påstår det är en annan fråga.

Förekomsten av databehandling är inte beroende av tidsbegränsningar. Även uppgifter som endast är tillgängliga under en extremt kort tidsperiod behandlas de facto.

Enligt punkt 104 ibid.

Förutom detta utförs en Non-User som till en början är en icke närmare identifierad person från en grupp av många. Målet är dock att anslå den individuella Non-Useren och göra honom till Användare, vilket kräver en tidigare identifikation (Rn. 92).

Fröken Dixon accepterar att WhatsApp-funktionen för att identifiera kontakter i sin adressbok som också är WhatsApp-användare är användbar. Men hon noterar också att WhatsApp själv får nytta av det (Rn 93). Därav uppstår en ansvarighet.

Då blir det komplicerat, varför jag bara kommer in här på ett kort sätt. Eftersom WhatsApp säkerligen har gett nya uppgifter, sker en matchning av användare med hjälp av en ny hash-värde, Notification Hash, och inte med den tidigare diskuterade Lossy Hash. Irland och den europeiska dataskyddsmyndigheten var oense om frågan om personuppgiftsbehandling för en icke-användares telefonnummer efter hashing. Myndigheten uppmanade Irland, enligt Artikel 65 § 6 GDPR, att korrigera sin åsikt och anta att det är en personuppgift (Rn. 106ff).

Vad är en controller?

En ansvarighet följer av faktiska omständigheter och inte av formella omständigheter (Rn. 119f). Konceptet om den ansvarige är således ett funktionellt koncept. För att bestämma de medel som används måste både organisatoriska och tekniska frågor ställas, enligt Opinion 1/2010. Den som bestämmer mål är faktiskt ansvarig (Rn. 121). Detta gäller till exempel även för att bestämma hur länge data ska sparas eller vilka som har åtkomst.

Vem som är ansvarig kan också avgöras utifrån vem som initierade en process eller varför processen äger rum (punkt 122 c).

För att avgöra om ansvar föreligger kan en prövning göras utifrån olika kriterier. Detta är vad Helen Dixon föreslår.

Det som utmärker begreppet om en ansvarig persons roll är att det tilldelar ansvar (Rn. 116). Här hänvisas också till Opinion 1/2010 från Artikel 29 Gruppen (Rn. 118). Enligt detta uppstår ansvar när en instans har beslutat att behandla data för egna ändamål.

Viktiga frågor för att fastställa ansvar är (punkt 141):

  • Vilka uppgifter ska behandlas?
  • Hur länge kommer uppgifterna att lagras?
  • Vem ska ha tillgång till uppgifterna?

Dessa frågor är att besvara från perspektivet av berörda personer, en utvidgad synvinkel på ansvarligheten är lämplig (Rn. 139).

Bestämmer en position, där personuppgifter ska behandlas, ökar chansen att den positionen är ansvarig (jämför Rn 145 c).

Om ett organ inte anger eller inte anger exakt hur länge uppgifterna kommer att lagras ökar risken för att organet är personuppgiftsansvarigt (se punkt 145 d), eftersom den registrerade då inte har något betydande inflytande över detta och därför inte heller något ansvar för det.

Den som bestämmer vem som har tillgång till uppgifterna är ansvarig för dem eller ökar risken för att bli personuppgiftsansvarig för behandlingen av uppgifterna (se skäl 145 e).

Detsamma gäller för fastställandet av medlen (punkt 145 f).

Efter allt det och mer ser Helen Dixon WhatsApp som ansvarig och inte som uppgiftshanterare (Rn. 154).

Ansvariga personers informationsskyldighet

På grund av komplementariteten mellan Artikel 13 GDPR och Artikel 14 GDPR ser fru Dixon en särskild betydelse för informationsplikten för berörda personer genom ansvariga (Rn. 173). Hon ser till och med ännu tydligare och ser informationsplikterna, även på grund av Artikel 15 Abs. 1 och 2 GDPR som grund ("bedrock"), under vilken de andra berörda rättigheterna står (Rn. 174). Först då kan en berörd person förstå om och hur hans data har behandlats eller ska behandlas.

Påskyndade informationer om datapolitik som WhatsApp tillhandahöll, har beaktats i fråga om deras utbredning (Rn. 195). För detta bestämdes också ungefär omfattningen på DIN A4-sidor. Dessutom bestämdes andel av varje enskilt dokument (användarvillkor, sekretessinformationer etc.) i det totala omfattningen i procentvärden.

Det har konstaterats att en länk till ett viktigt dokument med en länktext som "Lär dig mer" inte är tillräckligt (Rn 196f). Formatet för de enskilda dokumenten har granskats kritiskt (Rn 198f) och jämförts med Artikel 12 § 1 GDPR. Likaså har behovet av scrollning av en längre text betraktats kritiskt (ungefär Rn 204). WhatsApp hade till utredningen sagt att det finns behov av förbättringar när det gäller tillgängliggörande av obligatoriska uppgifter (Rn 215f).

I Rn. 224 anmärks det att Marktgegebenheter eller för vissa marknadssegment specifika beteendemönster beträffande GDPR är irrelevanta. Argumentet "alla gör så" gäller inte. Detta skenargument mötte jag senast i ett försvarsskrivelse från en antragsmotståndare. Förfarandet, där jag som sakkunnig fick stödja vid domstol, pågår fortfarande.

En övermäktig tillgängliggöring av allmänna och otillräckliga tillgängliggöring av specifika uppgifter syns olämpligt enligt GDPR (Rn. 226).

Börjande med Rn. 329, förklarar fru Dixon vilka uppgifter WhatsApp tillhandahåller i vilken form och tar även hänsyn till länkar till ytterligare dokument. Från Rn. 332 kritiserar dokumenten struktur och sättet att tillhandahållas. Dessutom framhävs att innehållsrelaterade motsättningar finns och å andra sidan saknas exempel på vissa ställen eller är språket oklart. Som följd ses ett risk för förvirring och otydlighet (Rn. 336).

Det hela sammanfattas på följande sätt:

The user should not have to work hard to access the prescribed information; nor should he/she be left wondering if he/she has exhausted all available sources of information and nor should he/she have to try to reconcile discrepancies between the various pieces of information set out in different locations.

Rn. 337 ebd.

Denna tillvägagångssätt kan också överföras på de förvirrande många och opålitliga Google-dokument som uppstår vid användning av Google-verktyg som Google reCAPTCHA, Google Maps eller Google Tag Manager. Jag ser fram emot nästa större bötesbelopp, som jag hoppas att Google kommer att få. En anledning till detta kunde vara Chrome-webbläsaren. ([1]) ([2]) ([3]) ([4])

Ab Rn. 345 anges att WhatsApp tyvärr inte har tillräckligt värderat Kategorier av behandlade data.

I Rn. 355 används ordet "piecemeal":

The information has been furnished in a piecemeal fashion that requires the user to link in and out of various different sections of the Privacy Policy as well as the Terms of Service and a comprehensive FAQ entitled “How we work with the Facebook Companies” […].

punkt 355 ibid.

Det påpekades att WhatsApps dataskyddsinformationer är sådana att inget röd tråd kan urskiljas, inte ens en enda hel text (Rn. 356), och detta "The user should not have to work hard to access the prescribed information". Jag vill gärna framföra denna anklagelse till Google. Det blir nog lättare att gå mot ansvariga i Tyskland på grund av det iriska filialkontoret, men de kan inte annat än oreflekterat använda Googles tjänster eller förhoppningsvis har förstått Googles utläggningar och kan inom en månad (Art. 12 Abs. 3 GDPR) förklara detta för mig.

I alla sina recensioner av WhatsApp-uttalanden noterar Helen Dixon regelbundet att WhatsApp och hon "i grunden är oense". När allt kommer omkring är detta värt en böter för henne, om än inte en smärtsam för Facebook.

Specifikation av mottagare

Enligt artikeln 13 § 1 e GDPR och artikeln 14 § 1 e GDPR ska mottagare eller kategorier av mottagare av data namnges för att uppfylla informationsplikt enligt artikeln 12 GDPR. Artikel 29-gruppen citeras här av fru Dixon till (Rn. 426). ([1])

Gruppen skriver att namnen på mottagarna vanligtvis bör nämnas eftersom detta vanligtvis är den mest meningsfulla information som en registrerad har rätt till. Personen bör kunna veta vem som har mottagit eller kommer att motta dennes uppgifter.

Om kategorier av mottagare namnges bör detta göras så exakt som möjligt. Detta inkluderar även att namnge aktiviteterna för varje kategori av mottagare.

Jag tycker personligen att man minst sagt ska Begäran om information enligt artikel 15 § 1 c GDPR ska innehålla konkreta mottagare som namnges. Särskilt gäller detta, om den berörda personen begär det uttryckligen. Mottagarna måste i alla fall vara kända för ansvariga. Det konkreta Auskunftsersuchen kan nog bara motsägas av giltiga skäl som motiverar att enskilda mottagare inte ska nämnas. Utanför en sekretessöverenskommelse o.s.v. kan jag inte tänka mig många möjligheter till detta. I den länkade artikeln 15 har jag angivit några källor som stöder min åsikt.

Specifikation av lagringsperioden

Enligt artikel 5 § 1 c och e GDPR gäller principerna för minimering av data och begränsning av lagring. I detta sammanhang måste informationsplikt uppfyllas (artikel 13 § 2 a GDPR). Särskilt vid bedömningen om ett berättigat intresse föreligger, är datalagrets längd en viktig information. Article 29 Working Party hänvisar till detta på följande sätt:

It is not sufficient for the data controller to generically state that personal data will be kept as long as necessary for the legitimate purposes of the processing. Where relevant, the different storage periods should be stipulated for different categories of personal data and/or different processing purposes, including where appropriate, archiving periods.

Utdrag ur punkt 468.

Enligt detta måste uppgifterna om lagringsdelen vara så precisa som möjligt. I Rn 469 påpekas att dessa uppgifter utgör viktiga informationer ("meaningful information") som läsaren kan förstå något av.

I Rn. 482 bekräftas åtminstone att WhatsApp har lyckats uppfylla kraven i artikeln 13 i GDPR vid tillfälle av information om rätten till insyn. Dock noteras något negativt vid mindre lättgående bestämmelser, såsom villkoren för en samtyckande, då (Rn. 496).

En automatiserad beslutsfattning enligt Artikel 13 §2 f sker inte enligt Rn. 524 på WhatsApp.

Datautbyte med andra Facebook-företag

I del 3 av dokumentet behandlas frågan om transparens i delningen av användardata mellan WhatsApp och de andra Facebook-företagen. Enskilda textavsnitt från WhatsApps integritetspolicy analyseras noggrant med avseende på efterlevnaden av GDPR. Citatet av dessa avsnitt är en av orsakerna till längden på Dixons övergripande dokument, även om många diskussioner bidrar till dess längd.

Dixon noterar att de Facebook-företag som WhatsApp delar uppgifter med inte namnges i tillräcklig utsträckning (punkt 577). WhatsApp anser att detta är OK eftersom GDPR inte skulle kräva detta (punkt 581) eller att det skulle vara tillräckligt om denna information kunde hittas någon annanstans i allmänt tillgängliga källor.

I Rn. 591f fastställs officiellt att WhatsApp misslyckats med att tillräckligt tydliggöra datatransaktioner med andra Facebook-företag. Dessutom uppmuntras fru Dixon WhatsApp att ta bort tvivelaktiga dataprotektionsmeddelanden, så länge WhatsApp inte avser att utbyta data med andra Facebook-företag.

Öppenhet i behandlingen

I del 4 av dokumentet diskuteras frågor om transparens vid datahantering (Rn. 593ff). Det gick i första hand ut på det transparenskoncept som Frau Dixon kallade Artikel 5 § 1 GDPR och de informationspliktigheter som föreskrivs i artiklarna 12, 13 och 14 GDPR.

EDPB ser på detta transparenskoncept inte definierat i GDPR, men ändå givet (Rn. 188). Irland blev överröstad av Europa och tvingades ta till WhatsApp för att ha brutit mot artikeln 5 § 1 GDPR.

Fastställande av böter

Jag sparar detaljerna från del 5 av parten om möjligheten att föreskriva en bötesavgift för tillfället, som sträcker sig över ett betydande antal sidor. I slutändan kräver EDPB den iriska myndigheten på att utdöma en högre straff än vad som var tänkt (Rn. 807).

Den iriska dataskyddmyndigheten ville först bara utdöma en böter på 50 miljoner euro. Ett överklagande från andra europeiska myndigheter, bland annat från Tyskland, ledde till att bötesbeloppet steg till 225 miljoner euro. Möjligen gavs de 50 miljonerna till Irland för att den franska dataskyddmyndigheten CNIL utdömde ett lika högt bötesbelopp mot Google på grund av den franska sökmotorn google.fr (Rn. 809ff).

Om du vill veta hur mycket intäkter Facebook (USA) och WhatsApp (Irland) genererade kan du hitta svaret här:

Rn. 881 ebd.

Omsättningen var trots allt så hög att böterna inte blev högre än 2 eller 4 % av denna summa. Här är en (nyare) statistik som hjälper till att uppskatta omsättningen:

Source: https://de.statista.com/themen/1995/whatsapp/. (bilden översattes automatiskt).

Bötesbeloppet består av flera delbetalningar, vilka motiverades enligt följande.

Rn. 888 c

Artikel 5, avsnitt 1 a i GDPR föranleder behandlingen av personuppgifter " på laglig väg, med sanningsenlighet och i enlighet med vad som är tillräckligt för den berörda personen att förstå". Detta tycks WhatsApp inte ha lyckats med.

Artikel 12 i GDPR innehåller bestämmelser om skyldigheten att tillhandahålla transparent information till registrerade, vilka verkar ha överträtts av WhatsApp.

Art. 13 GDPR gäller information för behandling av uppgifter som har behandlats hos den registrerade. Det fanns också luckor här på WhatsApp.

Artikel 14 GDPR är analog till artikel 13 GDPR, men här handlar det om data som inte har behandlats hos den berörda personen. Här ska särskilt nämnas processen att informera Non-Users, vilken implementerats med ett uppenbart icke dataskyddslagstiftskonformat hash-förfarande.

Höhe des Bußgelds har kritiserats flera gånger, eftersom Facebook tydligen ser det som ett ganska lågt belopp. Jag antar att den ekonomiska vinsten för Facebook från de upptäckta överträdelserna av dataskyddslagen är betydligt högre. I varje fall är det marknadsföringsmässigt nästan värt guld om registreringen av en ny användare gör att alla användare i hans adressbok faktiskt kan utnyttjas.

Avslutande anmärkningar

De härledningar och resonemang som förs i Helen Dixons dokument är verkligen läsvärda. De leder till intressanta insikter och insikter. Åtminstone visar de dock hur en officiell utredning kan gå till. Till exempel listas utredningar av myndigheterna själva, som WhatsApp svarade på. Detta ledde sedan till slutsatser från en anställd ("beslutsfattare"), som i sin tur analyserades av chefsutredaren själv, som också tog hänsyn till WhatsApps svar.

Helen Dixons argument bygger på vad jag tycker är en sammanhängande härledning. Huruvida respektive omdöme är specifikt bra eller dåligt, rätt eller fel, lämpligt eller partiskt är en annan fråga.

I vilket fall som helst är argumentationen i hög grad inriktad på relevanta riktlinjer och yttranden, t.ex. från artikel 29-arbetsgruppen, EDPB:s föregångare.

Jag håller med Helen Dixon på en viktig punkt: En person anses vara identifierbar om den kan särskiljas från andra människor. Detta är artikel 29-gruppens åsikt.

Också intressant

  • Norska dataskyddsmyndigheten mot Grindr. Brevet från norrmännen som förklarar sitt beslut att utdöma böter i miljonklassen är 68 sidor långt. Skrivstilen och strukturen skiljer sig helt från WhatsApp-dokumentet.

Viktiga budskap i denna artikel

WhatsApp fick böta 225 miljoner euro för att ha brutit mot dataskyddsbestämmelserna, särskilt när de delade användardata med andra företag.

Även om ett hashvärde inte direkt identifierar en person kan det ändå betraktas som en personuppgift om det används för att identifiera en person inom en grupp av personer.

Även om ett telefonnummer inte är direkt kopplat till en person kan det ändå betraktas som en personuppgift eftersom det är möjligt att identifiera någon med hjälp av det.

WhatsApp behandlar telefonnummer, även om de ska raderas, för att kunna identifiera användare och visa dem annonser.

Den som behandlar uppgifter och bestämmer vem som har tillgång till dem är ansvarig för att följa den allmänna dataskyddsförordningen (GDPR).

WhatsApps och Googles integritetspolicyer är förvirrande och svåra för användarna att förstå.

WhatsApp måste vara mer transparent när det gäller vilka uppgifter som lämnas vidare till vem och hur länge de lagras.

WhatsApp bötfälldes med 225 miljoner euro för bristande transparens i användningen och överföringen av data till andra Facebook-företag.

Datainspektionen kritiserar Facebook (WhatsApp) för bristande efterlevnad av dataskyddsreglerna när icke-användare underrättas och anser att bötesbeloppet är för lågt.

Om dessa grundläggande uttalanden
About the author on dr-dsgvo.de
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.

Vertragsdokumente und Datenschutztexte dürfen von Nichtanwälten erstellt werden