Drücke „Enter”, um zum Inhalt zu springen.
Hinweis zu diesem Datenschutz-Blog:
Anscheinend verwenden Sie einen Werbeblocker wie uBlock Origin oder Ghostery, oder einen Browser, der bestimmte Dienste blockiert.
Leider wird dadurch auch der Dienst von VG Wort blockiert. Online-Autoren haben einen gesetzlichen Anspruch auf eine Vergütung, wenn ihre Beiträge oft genug aufgerufen wurden. Um dies zu messen, muss vom Autor ein Dienst der VG Wort eingebunden werden. Ohne diesen Dienst geht der gesetzliche Anspruch für den Autor verloren.

Ich wäre Ihnen sehr verbunden, wenn Sie sich bei der VG Wort darüber beschweren, dass deren Dienst anscheinend so ausgeprägt ist, dass er von manchen als blockierungswürdig eingestuft wird. Dies führt ggf. dazu, dass ich Beiträge kostenpflichtig gestalten muss.

Durch Klick auf folgenden Button wird eine Mailvorlage geladen, die Sie inhaltlich gerne anpassen und an die VG Wort abschicken können.

Nachricht an VG WortMailtext anzeigen

Betreff: Datenschutzprobleme mit dem VG Wort Dienst(METIS)
Guten Tag,

als Besucher des Datenschutz-Blogs Dr. DSGVO ist mir aufgefallen, dass der VG Wort Dienst durch datenschutzfreundliche Browser (Brave, Mullvad...) sowie Werbeblocker (uBlock, Ghostery...) blockiert wird.
Damit gehen dem Autor der Online-Texte Einnahmen verloren, die ihm aber gesetzlich zustehen.

Bitte beheben Sie dieses Problem!

Diese Nachricht wurde von mir persönlich abgeschickt und lediglich aus einer Vorlage generiert.
Wenn der Klick auf den Button keine Mail öffnet, schreiben Sie bitte eine Mail an info@vgwort.de und weisen darauf hin, dass der VG Wort Dienst von datenschutzfreundlichen Browser blockiert wird und dass Online Autoren daher die gesetzlich garantierten Einnahmen verloren gehen.
Vielen Dank,

Ihr Klaus Meffert - Dr. DSGVO Datenschutz-Blog.

PS: Wenn Sie meine Beiträge oder meinen Online Website-Check gut finden, freue ich mich auch über Ihre Spende.
✓ Ausprobieren DSGVO Website-Check sofort DSGVO-Probleme finden

WhatsApp (Facebook): Baggrund og konklusioner om bøden på 225 millioner euro fra den irske databeskyttelsesmyndighed

0
Dr. DSGVO Newsletter detected: Extended functionality available
More articles · Website-Checks · Live Offline-AI
📄 Artikel som PDF
📄 Artikel som PDF (kun for abonnenter på nyhedsbrevet)
🔒 Premium-Funktion
Der aktuelle Beitrag kann in PDF-Form angesehen und heruntergeladen werden

📊 Download freischalten
Der Download ist nur für Abonnenten des Dr. DSGVO-Newsletters möglich

WhatsApp fik en bøde på 225 millioner euro fra den irske tilsynsmyndighed af alle steder. Den irske brief på 266 sider af forfatteren Helen Dixon er værd at læse og lærerig. Ud over en velbegrundet analyse af processerne hos WhatsApp indeholder den adskillige konklusioner, herunder en afledning om databeskyttelse.

Opdatering 08.09.2025

Whistleblower (tidligere WhatsApp-sikkerhedschef Attaullah Baig) sagsøger Meta for at ignorere sikkerhedssårbarheder.

Fordomme mod Kern efter Kilde:

  • Tusindvis af Meta/WhatsApp-medarbejdere har adgang til følsomme brugerdata (profilbilleder, placeringer, kontakter)
  • Over 100.000 konti hackes hver dag uden tilstrækkelige modforanstaltninger
  • Afvisning af foreslåede sikkerhedsrettelser
  • Gengældelse og afskedigelse efter advarsler til Meta-ledelsen

Baig hævder, at der er sket brud på FTC's privatlivsaftale fra 2019 og på værdipapirlovgivningen. Han har også underrettet FTC og SEC.

Introduktion

Følgende beskrivelser og tekstudtræk i form af skærmbilleder henviser til den officielle rapport fra den irske dataskyddsmyndighed fra 20.08.2021. Motivationen bag undersøgelsen af skriftet var især detaljerligheden i beskrivelserne. Mange henvisninger og beskrivelser viser tydeligt, hvordan undersøgelsesprocessen gik frem. De opståede resultater er bemærkelsesværdige. Således drejer det sig blandt andet om spørgsmål efter

  • Pligt til at give oplysninger,
  • specifikation af modtagere af data,
  • ansvaret
  • Identificerbarheden af personer,
  • den personlige reference til data og
  • bødens størrelse.
Meta's synder: https://dr-dsgvo.de/meta

Den, der vil vide, hvorfor den irske dataskyddsaufsyn bruger begrebet piecemeal fashion og hvad det betyder, skal blot overveje, hvordan WhatsApp tilbyder informationer. Så kommer man hurtigt på „häppchenweise“, et ord, der ikke findes i GDPR og derfor sikkert også ikke er tilladt, hvis informationspligter skal opfyldes. Dette skibbenvisse servering af pligtinformationer synes at være blevet valgt både af Facebook og Google som en taktik til at undgå loven så længe som muligt.

Følgende udsagn kan findes ret ofte i undersøgelsen af Helen Dixon, forfatter til det dokument, hvor databeskyttelsesvurderingen af WhatsApp blev udført.

It is clear that WhatsApp and I fundamentally disagree …

Hyppigt anvendt udtalelse af Helen Dixon i hendes rapport som leder af den irske databeskyttelsesmyndighed.

Forfatteren skriver dette, da WhatsApp gav et svar på spørgsmål fra tilsynsmyndigheden, som ikke forekom chefefterforskeren at være gyldigt. Facebook er nu kendt som Meta. Jeg har ikke fulgt denne navneændring her.

Hash-værdi som persondata?

Generelt bliver i processen mod WhatsApp undersøgt, hvordan brugere, der måske ikke bruger WhatsApp, bliver tilgået af WhatsApp med hensyn til dataskydd. Når en ny bruger tilmelder sig på WhatsApp, informeres kontakterne i hans adressebog herom. Dette sker vel efter samtykke, men vel ikke i overensstemmelse med GDPR. Disse brugere i adressebogen hos en ny WhatsApp-bruger bliver derfor kaldt Ikke-brugere. Benegringen finder sted uigenkendeligt via en kommunikation med WhatsApp-app'en og ikke gennem en synlig benegring på niveau af operativsystem, så vidt jeg ved.

Meddelse til Non-Users foregår således, at der i en liste efterfølgende bliver tjekket, om disse brugere allerede er blevet meddelt. For at være dataskyldig, bliver ikke telefonnummeret af de ikke-brugere gemt i listen, men snarere et hash-værdi. Dette forfaringssystem kaldes Lossy Hashing. Hvis man ønsker at vide, hvordan dette hash-fremgangsmåden fungerer, kan man finde følgende information.

WhatsApp-hashingalgoritmen for telefonnumre (margin nr. 34).

WhatsApp indfører denne hash-værdi for telefonnumre, så andre WhatsApp-brugere bliver beskrevet ved hjælp af det såkaldte Contact Feature, når en ny bruger tilslutter sig WhatsApp (Rn. 44h). Grunden til hash-tilgangen bliver også diskuteret.

Rn 40.

Med hash-værdien er det sandsynligvis ikke muligt at drage konklusioner om en bestemt bruger. I stedet burde det kun være muligt at identificere en gruppe på 16 forskellige brugere.

Rn. 42

Til dette skal jeg bemærke, at i en afgørelse fra ØGH (Østrig) den 18. 02. 2021 (Sag nr. 6 Ob 127/20z) blev sandsynlighedsudsigelser om foretrukne ting hos personer også betragtet som persondata, hvis der var en personlig tilknytning før ud sigelserne blev truffet.

Identificerbarhed af en person

Interessant er forståelsen af den fra fru Dixon citerede Article 29 Working Party i EU, der endda nævnes i Art. 94 GDPR. Denne gruppe ser det sådan ud: En person regnes som identificerbar, hvis hun kan adskilles fra en gruppe af andre personer. Det bliver udtalt i den såkaldte Opinion 4/2007 fra gruppen.

punkt 52 (sekundær henvisning, her sparer jeg mig selv for at henvise til den oprindelige kilde, "udtalelse 4/207 fra "Artikel 29-gruppen vedrørende databeskyttelse").

Identifikationsmuligheden som kriterium for, at der forekommer personlige oplysninger, nævnes i Art. 4 Nr. 1 GDPR. Erklæringen 26 nævner yderligere.

Det er derfor ikke nødvendigt, at en person kan identificeres på en bestemt måde, således at f.eks. et "hårdt" personligt dato som IP-adressen, navn, postadresse eller kørehænderkennetegn er til stede. I stedet er det nok, hvis en person kan anerkendes som den ene person og skilles fra andre personer.

Det er også det koncept, der kaldes Web Tracking. Det interesserer Google & Co mindre, hvem der præcis står bag den bruger, der netop besøger en hjemmeside. I stedet ønsker Google eller en annoncevirksomhed at vide, om denne bruger er bruger 4711 eller en anden, så dens brugerpofil kan anvendes. Fordi til bruger 4711 er kendt, at hun er kvinde, hører Heavy Metal-musik og køber online gerne græske specialiteter.

Selv om man ikke kan slå sig til med det, at en bestemt person i en gruppe af mennesker er menet, kan der være tale om en identifikation af personen. Dette udtrykker Article 29 Working Party sådan.

Konkret betyder det ifølge min forståelse, at også tilføjende oplysninger, der ikke er til rådighed, men kunne være tilgængelige eller snart vil være tilgængelige, skal tages i betragtning. Det er analogt med EuGH-aflønningen om IP-adresser.

I Rn. 60 og 61 fortsætter man med at gøre, hvad der allerede er blevet fastslettet af EU-domstolen. Dvs., at data skal betragtes som personrelaterede i henhold til artikel 4 nr. 1 GDPR, også selv om de ikke kan slås sammen direkte og ikke ved den ansvarlige på en given person.

Grund til at overveje 26 indeholder en risikobaseret tilgang til vurdering, om data er personrelaterede (Rn. 79). Dette ses også i Breyer-dommen fra EU-domstolen vedrørende IP-adresser (Rn. 85). I Breyer-dommen fremgår det af, at en personbehandling skal antages (medmindre en identifikator som en IP-adresse eller noget andet anvendes), hvis risikoen for identifikation i virkeligheden ikke kan nægtes (Rn. 46).

Betragtning 26 siger blandt andet:

For at afgøre, om en fysisk person er identificerbar, bør der tages hensyn til alle de midler, som den dataansvarlige eller en anden person sandsynligvis vil anvende til at identificere den fysiske person direkte eller indirekte, f.eks. udpegning.

Uddrag af betragtning 26 i GDPR.

Der fortgående tekst siger, at der skal tages hensyn til den teknologi og teknologiske udviklinger, som er til rådighed på tidspunktet for behandlingen. I dette sammanhæng bliver WhatsApp underlagt beskyldning om, at ved hjælp af en kendt telefonnummer til en Non-Users kunne søgeresultater i internettet eller sociale medier kunne foretages for at fastlægge hans identitet (Rn. 83 c).

Det bliver en sammenligning af WhatsApp-hash-værdien fra Non-Users med EuGH-aflønende dom over IP-adresser (Rn. 70 og 95). Frk. Dixon konkluderer, at hash-værdien for en Non-User sammen med dens kun tilbageholdte telefonnummer i kort tid i mindeholdt er et personligt dato (Rn. 66 og 110). Telefonnumrene bliver også af hende betragtet som personlige data, selv efter at disse er blevet omformuleret til en hash-værdien.

Sehr interessant er finder tilgangen, testmæssigt at gå ud fra, at en telefonnummer af en Non-User ikke repræsenterer et personligt dato (Rn.89). Følgen ville være, at denne telefonnummer uden begrænsning kunne behandles. Dette synes absurd og er derfor ikke til at antage, hvad der bekræfter personbevisningen (Rn. 90f). En anden tilgang til denne erkendelse føre over Art. 33 GDPR. Der nævnes pligt at melde overtrædelsen af beskyttelsen af personlige data til en tilsynsmyndighed. En sådan melding ville ikke være mulig, hvis de i spørgsmålet stillede data ikke var personbevisende (Rn. 94). Det bliver også fastsat, at WhatsApp har designet applikationen selv og kunne etablere sikre mekanismer tilsvarende. Her nævner jeg Art. 25 GDPR som en referens.

Det er tilstrækkeligt, at der findes muligheder for identifikation af personer og det er ikke vigtigt, om en ansvarlig kan eller vil benytte disse muligheder (Rn. 95). Sandsynligheden for identifikation spiller dermed ingen rolle.

Behandlingen af en telefonnummer til en Non-User foregår i følgende trin (Rn. 103):

  1. Adgang til nummeret via WhatsApp
  2. Overførsel af nummeret til WhatsApp-servere
  3. Udformning af en Lossy-Hash værdi fra nummeren
  4. Uigenkaldelig sletning af nummeret

Trotz des unwiederbringlichen Löschens der Nummer nach sehr kurzer Zeit gilt sie als personenbezogen. Das Erheben als Erhalt der Nummer mit möglicher Kenntnis wird als wichtige Art der data processing hervorgehoben (to collect = erheben, Rn. 103). Ob WhatsApp die Nummer tatsächlich löscht or es nur behauptet, is eine andere Frage.

Eksistensen af databehandling er ikke afhængig af tidsbegrænsninger. Selv data, der kun er tilgængelige i en ekstremt kort periode, bliver de facto behandlet.

Ifølge paragraf 104 ibid.

Yderligere fremgår af, at en Non-User er i første omgang en ikke nærmere identificeret person fra en gruppe af mange. Målet er dog at tiltales den individuelle Non-User og gøre ham til Bruger, hvilket kræver en foregående identifikation (Rn. 92).

Frau Dixon accepterer, at WhatsApp-funktionen til at opdage, hvilke kontakter i eget adressebog også er WhatsApp-brugere, er nyttig. Imidlertid konkluderer hun også, at WhatsApp selv har profitet (Rn. 93) af dette. Derved opstår en ansvarlighed.

Dann bliver det kompliseret, hvorfor jeg kun kommer ind på dette kort. Efter nye oplysninger fra WhatsApp finder en matching af brugere sted ved hjælp af en ny hash-værdi, den Notification Hash, og ikke ved hjælp af den tidligere diskuterede Lossy Hash. Irland og Den Europæiske Datatilsynsmyndighed var uenige omkring spørgsmålet om personbehandling af en Non-User telefonnummer efter hashing. Datatilsynsmyndigheden har Irland ifølge Artikel 65 § 6 GDPR pålagt at korrigere sin mening og antage, at der er tale om personbehandling (Rn. 106ff).

Hvad er en controller?

En ansvarlighed følger af faktiske omstændigheder og ikke af formelle omstændigheder (Rn. 119f). Konceptet af den ansvarlige er dermed et funktionelt koncept. Til bestemmelse af de anvendte midler skal både organisatoriske og tekniske spørgsmål stilles, så postulerer det Opinion 1/2010. Hvem bestemmer formålene, er faktisk ansvarlig (Rn. 121). Dette gælder f.eks også for bestemmelse af opbevaringstiden for data eller tilgangsmuligheder.

Hvem der er ansvarlig, kan også afgøres ud fra, hvem der satte en proces i gang, eller hvorfor processen finder sted (para. 122 c).

For at afgøre, om der er tale om et ansvar, kan man teste forskellige kriterier. Det er, hvad Helen Dixon foreslår.

Det karakteriserende ved begrebet om en persons rolle som ansvarlig er, at det tildeles ansvar (Rn. 116). Her henvises også til Opinion 1/2010 fra Artikel 29 Gruppen (Rn. 118). Ifølge dette opstår ansvar, når en enhed har besluttet at behandle data til egen brug.

Vigtige spørgsmål til bestemmelse af ansvar er (para. 141):

  • Hvilke data skal behandles?
  • Hvor længe vil dataene blive opbevaret?
  • Hvem skal have adgang til dataene?

Disse spørgsmål skal besvares fra den berørte persons synspunkt, en udvidet synsvinkel på ansvarligheden er herfor til at gøre (Rn. 139).

Bestem en stilling, hvor personlige oplysninger skal behandles, øger chancen for, at stillingen er ansvarlig (se Rn. 145 c).

Hvis et organ ikke specificerer eller ikke specificerer nøjagtigt, hvor længe data vil blive opbevaret, øger dette chancen for, at organet er den dataansvarlige (se punkt 145 d), fordi den registrerede så ikke har nogen væsentlig indflydelse på dette og derfor ikke har noget ansvar for det.

Den, der bestemmer, hvem der har adgang til dataene, er ansvarlig for dem eller øger chancen for at være ansvarlig for databehandlingen (se betragtning 145 e).

Det samme gælder for fastsættelsen af midlerne (§ 145 f).

Efter alt dette og mere, ser Helen Dixon WhatsApp som ansvarlig og ikke som underleverandør (Rn. 154).

Informationsforpligtelser for de ansvarlige

Pga. komplementariteten mellem Artikel 13 GDPR og Artikel 14 GDPR ser fru Dixon en særlig betydning for informationspligt til berørte personer ved ansvarlige (Rn. 173). Hun gør endda tydeligere og ser informationspligtene, også på grund af Artikel 15 Abs. 1 og 2 GDPR, som grundlag ("bedrock"), hvor de andre berørte rettigheder sidder (Rn. 174). For kun da kan en berørt person forstå, om og hvordan hans data er blevet eller skal blive behandlet.

Pflichtinformationerne til behandling af data, som WhatsApp tilbyder, blev taget i betragtning med hensyn til deres omfang (Rn. 195). Dertil blev også den ungefærdige omfang på DIN A4-sider bestemt. Derudover blev den andel af hver enkelt dokument (brugerbetingelser, privatlivsinformationer osv.) til det samlede omfang i procenttal bestemt.

Det blev konstateret, at en link til et vigtigt dokument med en linktekst som "Lær mere" ikke er tilstrækkelig (Rn. 196f). Formatet for de enkelte dokumenter blev kritisk vurderet (Rn. 198f) og sammenlignet med Artikel 12, stk. 1 GDPR. Ligeledes blev behovet for scrollen af en længere tekst kritisk set på (omkring Rn. 204). WhatsApp havde faktisk indrømmet efter undersøgelsen, at der er brug for forbedring ved tilbydelse af obligatoriske oplysninger (Rn. 215f).

I Rn. 224 bliver det bemærket, at Marktgegebenheder eller for bestemte markedssegmenter specifikke adfærdsmønstre vedrørende GDPR er irrelevant. Argumentet "alle gør det så" gælder ikke. Detne argument mødte mig sidst i et forsvarsskrift fra en antragsgegnerinde. Den procedure, hvor jeg som ekspert kunne støtte ved domstolen, løber stadig.

En overmåde tilgængelighed af almindelige og ikke tilstrækkelig tilgængelighed af konkrete oplysninger fremstår som uønsket over for GDPR (Rn. 226).

Fra Rn. 329 begynder fru Dixon med at beskrive, hvilke oplysninger WhatsApp tilbyder og hvordan disse oplysninger er fremstillet, samt at hun også ser på henvisninger til yderligere dokumenter. Fra Rn. 332 bliver de dokumenter kritiseret i deres struktur og art af tilbud. Derudover bliver det hævet, at der findes indholdsmæssige modsætninger og anderledes mangler eksempler eller er sproget uklar. Som følge deraf ses et risiko for forvirring og uskønhed (Rn. 336).

Det hele kan opsummeres på følgende måde:

The user should not have to work hard to access the prescribed information; nor should he/she be left wondering if he/she has exhausted all available sources of information and nor should he/she have to try to reconcile discrepancies between the various pieces of information set out in different locations.

Rn. 337 ebd.

Denne tilgang kan også overføres til de mange og uigennemskerlige Google-dokumenter, der bliver relevant ved brug af Google-tilgange som Google reCAPTCHA, Google Maps eller den Google Tag Manager. Jeg glæder mig til næste større bøde, som jeg håber Google vil få. En anledning ville være den Chrome Browser. ([1]) ([2]) ([3]) ([4])

Ab Rn. 345 bliver det konstateret, at WhatsApp desværre ikke har værdigkendt Kategorier af behandlet data nok.

I Rn. 355 bliver ordet, som jeg i mit indlæg har benyttet til at beskrive en cliffhanger, brugt:

The information has been furnished in a piecemeal fashion that requires the user to link in and out of various different sections of the Privacy Policy as well as the Terms of Service and a comprehensive FAQ entitled “How we work with the Facebook Companies” […].

para. 355 ibid.

Det skal opmærksomt gøres på, at WhatsApp's privatpolitiske informationer således fremgår, at der ikke er en rød tråd tilkendegives, alene en enkelt tekst (Rn. 356), herunder også "The user should not have to work hard to access the prescribed information". Jeg ville gerne rette denne anklage mod Google. Det bliver sandsynligvis nemmere, da det er et irsk filial, men i stedet for at gå efter ansvarlige fra Tyskland, som ikke kan gøre andet end at bruge Googles tjenester uden overvejelse, eller ønskeligt kunne forstå Googles udtalelser og inden en måned forklare mig (Art. 12 Abs. 3 GDPR).

I alle sine anmeldelser af WhatsApp-udtalelser bemærker Helen Dixon jævnligt, at WhatsApp og hun er "fundamentalt uenige". Det er trods alt en bøde værd for hende, selv om det ikke er smertefuldt for Facebook.

Specifikation af modtagere

I følge Art. 13 § 1 e GDPR og Art. 14 § 1 e GDPR skal modtager eller kategorier af modtagere af data navngøres, for at opfylde informationspligtigheder i henhold til Art. 12 GDPR. Artikel 29 gruppen bliver citert herfra (Rn. 426). ([1])

Gruppen skriver, at navnene på modtagerne normalt bør nævnes, fordi det normalt er den mest meningsfulde information, som den registrerede har ret til. Personen bør være i stand til at vide, hvem der har modtaget eller skal modtage deres data.

Hvis der nævnes kategorier af modtagere, skal det gøres så præcist som muligt. Dette omfatter også navngivning af aktiviteterne for hver kategori af modtagere.

Jeg synes personligt, at mindst ved en Anmodning om information efter Art. 15 Abs. 1 c GDPR skal være nødvendigt at navngøre de konkrete modtagere. Især gælder dette for mig, hvis den pårørende person ønsker det udtrykkeligt. Disse modtagere må være kendt af ansvarlig person. Det konkrete Auskunftsersuchen kan kun modsætte sig ved, at der er gyldige grunde til ikke at navngøre enkelte modtagere. Ud over en hemmeligholdelsesafgift o.s.v. kan jeg ikke tænke mig mange muligheder herfor. I ovenstående artikel 15 har jeg angivet nogle kilder, der understøtter min mening.

Specifikation af opbevaringsperioden

I Gemäß Artikel 5 § 1 c og e GDPR gælder principperne om Minimering af data og Speicherbegrenzung. I dette sammanhæng må oplysningstilbuddet være opfyldt (Artikel 13 § 2 a GDPR). Især for at afgøre, om der er et berettiget interesse, er den lagretid af data en vigtig information. Den Article 29 Working Party bliver citeret til følge:

It is not sufficient for the data controller to generically state that personal data will be kept as long as necessary for the legitimate purposes of the processing. Where relevant, the different storage periods should be stipulated for different categories of personal data and/or different processing purposes, including where appropriate, archiving periods.

Uddrag af paragraf 468.

Demnach må oplysninger om lagringsdøgnet være så præcise som muligt. I § 469 henvises til, at disse oplysninger skal være vigtige oplysninger ("meaningful information"), med hvilke læseren kan gøre noget.

I Rn. 482 bekræftes dog, at det er lykkedes WhatsApp at opfylde kravene i art. 13 GDPR på visse punkter, nemlig ved at forklare retten til adgang. Men der bliver fundet noget negativt igen (Rn. 496), når man kommer til Betingelser for tilladelse, som er lidt sværere at følge.

En automatiske beslutningsførelse efter Artikel 13 § 2 f finder ikke sted på WhatsApp, ifølge Rn. 524.

Dataudveksling med andre Facebook-virksomheder

Del 3 af dokumentet ser på spørgsmålet om gennemsigtighed i delingen af brugerdata mellem WhatsApp og de andre Facebook-virksomheder. Individual tekstpassager fra WhatsApps privatlivspolitik analyseres minutiøst for overholdelse af GDPR. Citatet af disse passager er en af grundene til længden af fru Dixons samlede dokument, selv om mange diskussioner bidrager til dets længde.

Dixon bemærker, at de Facebook-virksomheder, som WhatsApp deler data med, ikke er tilstrækkeligt navngivet (afsnit 577). WhatsApp mener, at dette er OK, fordi GDPR ikke kræver dette (para. 581), eller det ville være tilstrækkeligt, hvis disse oplysninger kunne findes et andet sted i offentligt tilgængelige kilder.

I Rn. 591f fastsættes officielt, at WhatsApp har mislykkes med at beskrive datadelingen til andre Facebook-selskaber tilstrækkeligt. Desuden opmuntres fru Dixon WhatsApp til at slette tvivlsomme persondatopolicy, hvis WhatsApp ikke har intentioner om at dele data med andre Facebook-firmer.

Gennemsigtighed i behandlingen

I del 4 af dokumentet diskuteres spørgsmål om dataudviklingens gennemsigtighed (Rn. 593ff). Der var især tale om det transparencekoncept, som fru Dixon har kaldt Artikel 5 § 1 GDPR og de informationspligter fra artiklerne 12, 13 og 14 GDPR.

EDPB ser ikke dette transparencekoncept defineret i GDPR, men alligevel givet (Rn. 188). Irland blev overstemt af Europa og måtte tage WhatsApp til regnskab på grund af en overtrædelse af artikel 5 § 1 GDPR.

Fastsættelse af bøden

Fra del 5, som behandler muligheden for at pålægge en bøde, vil jeg her ikke gå i detaljer. Den strækker sig over meget flere sider end jeg havde ventet. I sidste ende kræver EDPB den irske myndighed om at udskrive en højere bøde end hvad der var forestillet (Rn. 807).

Den irske dataskyddsmyndighed ville først kun tildele en bøde på 50 millioner euro. En anke fra andre europæiske landes myndigheder, herunder fra Tyskland, førte til en bøde på 225 millioner euro. Måske blev de 50 millioner euro tildelet af Irland fordi den franske dataskyddsmyndighed CNIL udsted et lignende bøde mod Google på grund af den franske søgemaskine google.fr (Rn. 809ff).

Hvis du gerne vil vide, hvor stor en omsætning Facebook (USA) og WhatsApp (Irland) har genereret, kan du finde svaret her:

Rn. 881 ebd.

Omsætningen var trods alt så høj, at bøden ikke var højere end 2 eller 4 % af dette beløb. Her er en (nyere) statistik, der hjælper med at estimere omsætningen:

Kilde: https://de.statista.com/themen/1995/whatsapp/. (billedet blev automatisk oversat).

Bødebeløbet er sammensat af flere rater, som blev begrundet som følger.

Rn. 888 c

Art. 5 § 1 a GDPR betinger den behandling af personlige oplysninger " i overensstemmelse med loven, i god tro og på en måde, der er tilgængelig for den berørte person". Det synes WhatsApp ikke at være lykkes med.

Art. 12 GDPR indeholder bestemmelser om forpligtelsen til at give gennemsigtige oplysninger til de registrerede, som ser ud til at være blevet overtrådt af WhatsApp.

Art. 13 GDPR vedrører oplysninger om behandling af data, der er blevet behandlet hos den registrerede. Der var også huller her hos WhatsApp.

Art. 14 GDPR er analog til Art. 13 GDPR, men her drejer det sig om data, der ikke blev behandlet hos den pårørte person. Her skal især nævnes proceduren for at informere Non-Users, hvilken har været implementeret med et synligt ikke dataskyddskonforme hash-fordeling. ([1])

Højden af bøden blev flere gange kritiseret, fordi Facebook synes at mene, at beløbet er ret lavt. Jeg antager, at den økonomiske fordel for Facebook ved de pågældende overtrædelser var meget større. I hvert fald er det markedsføringsmæssigt næsten værdeløst, hvis registreringen af en ny bruger medfører, at alle brugere i hans adressebog faktisk kan udnyttes.

Afsluttende bemærkninger

Udledningerne og begrundelserne i Helen Dixons dokument er bestemt værd at læse. De fører til interessante indsigter og resultater. Men i det mindste viser de, hvordan en officiel undersøgelse kan forløbe. For eksempel nævnes myndighedernes egne undersøgelser, som WhatsApp reagerede på. Det førte så til konklusioner fra en medarbejder ("beslutningstager"), som igen blev analyseret af chefefterforskeren selv, som også tog WhatsApps svar i betragtning.

Helen Dixons argument er baseret på, hvad jeg synes er en sammenhængende udledning. Om den pågældende dom er specifikt god eller dårlig, rigtig eller forkert, passende eller forudindtaget, er et andet spørgsmål.

Under alle omstændigheder er argumentationen i høj grad orienteret mod relevante retningslinjer og udtalelser, f.eks. fra Artikel 29-arbejdsgruppen, forgængeren for EDPB.

Jeg er enig med Helen Dixon på et vigtigt punkt: En person anses for at være identificerbar, hvis den kan skelnes fra andre mennesker. Det er Artikel 29-gruppens holdning.

Også interessant

  • Norsk databeskyttelsesmyndighed mod Grindr. Brevet fra nordmændene, der forklarer deres beslutning om at pålægge en bøde i millionklassen, fylder 68 sider. Skrivestilen og strukturen er helt anderledes end i WhatsApp-dokumentet.

Nøglebudskaber i denne artikel

WhatsApp fik en bøde på 225 millioner euro for at have overtrådt databeskyttelsesreglerne, især når de delte brugerdata med andre virksomheder.

Selv om en hashværdi ikke direkte identificerer en person, kan den stadig betragtes som persondata, hvis den bruges til at identificere en person inden for en gruppe af personer.

Selv om et telefonnummer ikke er direkte knyttet til en person, kan det stadig betragtes som en personoplysning, fordi det er muligt at identificere en person ved hjælp af det.

WhatsApp behandler telefonnumre, selv om de skal slettes, for at kunne identificere brugere og vise dem reklamer.

Den, der behandler data og bestemmer, hvem der har adgang til dem, er ansvarlig for at overholde den generelle forordning om databeskyttelse (GDPR).

WhatsApps og Googles privatlivspolitikker er forvirrende og svære at forstå for brugerne.

WhatsApp skal være mere gennemsigtig med hensyn til, hvilke data der videregives til hvem, og hvor længe de opbevares.

WhatsApp fik en bøde på 225 millioner euro for manglende gennemsigtighed i brugen og overførslen af data til andre Facebook-virksomheder.

Tilsynsmyndigheden for databeskyttelse kritiserer Facebook (WhatsApp) for ikke at overholde databeskyttelsespraksis, når de underretter ikke-brugere, og mener, at bøden er for lav.

Om disse centrale udsagn

About the author on dr-dsgvo.de
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.

Vertragsdokumente und Datenschutztexte dürfen von Nichtanwälten erstellt werden