Drücke „Enter”, um zum Inhalt zu springen.
Ausprobieren
Online Webseiten-Check
sofort das Ergebnis sehen
Auf meiner Webseite sind externe Links mit dem Symbol gekennzeichnet. Datenschutzhinweise · Wissensartikel

WhatsApp (Facebook): Hintergründe und Erkenntnisse zur Geldstrafe über 225 Millionen Euro durch die irische Datenschutzaufsicht

Veröffentlicht am 13. September 2021 von Dr. DSGVO · Zuletzt aktualisiert am 17. Februar 2022
0

Kategorien: Datenschutz, Recht und Urteile

WhatsApp erhielt ausgerechnet von der irischen Aufsichtsbehörde ein Bußgeld in Höhe von 225 Millionen Euro. Der irische Schriftsatz von der Autorin Helen Dixon mit 266 Seiten ist lesenswert und lehrreich. Er enthält neben einer fundierten Analyse von Vorgängen bei WhatsApp zahlreiche Schlussfolgerungen samt Herleitung zum Datenschutz.

Einleitung

Die folgenden Schilderungen und Textauszüge in Form von Screenshots beziehen sich auf den offiziellen Bericht der irischen Datenschutzbehörde vom 20.08.2021. Die Motivation für die Untersuchung des Schriftsatzes war insbesondere die Detailliertheit der Ausführungen. Zahlreiche Referenzen und Beschreibungen zeigen recht eindrucksvoll, wie der Weg der Untersuchung ablief. Die sich daraus ergebenden Erkenntnisse sind bemerkenswert. So geht es unter anderem um Fragen nach

  • Informationspflichten,
  • der Angabe von Empfängern von Daten,
  • der Verantwortlichkeit
  • der Identifizierbarkeit von Personen,
  • dem Personenbezug von Daten und
  • der Höhe des Bußgelds.

Wer wissen will, warum die irische Datenschutzaufsicht den Begriff piecemeal fashion verwendet und was er bedeutet, muss nur überlegen, in welcher Weise WhatsApp Informationen bereitstellt. So kommt man schnell auf „häppchenweise“, ein Wort, welches in der DSGVO nicht auftaucht und somit wohl auch nicht zulässig ist, wenn Informationspflichten zu erfüllen sind. Dieses scheibchenweise Servieren von Pflichtinformationen scheint neben Facebook auch Google als Taktik gewählt zu haben, um möglichst lange Gesetze umgehen zu können.

Recht häufig findet sich folgende Aussage in der Untersuchung von Helen Dixon aus Autorin des Dokuments, in dem die datenschutzrechtliche Bewertung von WhatsApp vorgenommen wurde.

It is clear that WhatsApp and I fundamentally disagree …

Häufig verwendete Aussage von Helen Dixon in Ihrem Bericht als Leiterin der irischen Datenschutzbehörde.

Die Autorin schreibt dies dann, wenn WhatsApp auf Fragen der Aufsichtsbehörde eine Antwort gab, die für die Chef-Ermittlerin nicht valide erscheint. Mittlerweile nennt sich Facebook bekanntermaßen Meta. Ich habe diese Namensänderung hier nicht nachgezogen.

Hash-Wert als personenbezogenes Datum?

Generell wird im Prozess gegen WhatsApp untersucht, wie Nutzer, die WhatsApp möglicherweise nicht nutzen, von WhatsApp datenschutzrechtlich angegangen werden. Registriert sich nämlich ein neuer Nutzer bei WhatsApp, werden die Kontakte in seinem Adressbuch darüber informiert. Dies passiert wohl nach Einwilligung, aber wohl nicht konform zu DSGVO. Diese Nutzer im Adressbuch eines neuen WhatsApp-Nutzers werden dort als Non-Users bezeichnet. Die Benachrichtigung findet dabei unsichtbar über eine Kommunikation mit der WhatsApp-App statt und nicht durch eine sichtbare Benachrichtigung auf Ebene des Betriebssystems, soweit ich weiß.

Die Benachrichtung der Non-Users findet derart statt, dass in einem Verzeichnis nachgesehen wird, ob diese User bereits benachrichtigt wurde. Um datenschonend vorzugehen, wird nicht deren Telefonnummer im Verzeichnis gespeichert, sondern ein Hash-Wert. Dieses Verfahren wird Lossy Hashing genannt. Wer wissen möchte, wie dieses Hash-Verfahren funktioniert, findet folgende Information.

Der WhatsApp Hashing-Algorithmus für Telefonnnummer (Rn. 34).

WhatsApp führt diesen Hash-Wert für Telefonnummern ein, um andere WhatsApp-Nutzer über das sogenannte Contact Feature zu benachrichtigen, wenn ein neuer Nutzer WhatsApp beitritt (Rn. 44h). Der Grund für den Hash-Ansatz wird ebenso thematisiert.

Rn 40.

Mit dem Hash-Wert ist es wohl nicht möglich, auf einen bestimmten Nutzer zu schließen. Vielmehr soll es nur noch möglich sein, auf eine Gruppe von 16 verschiedenen Nutzern schließen zu können.

Rn. 42

Hierzu sei von mir angemerkt, dass in einem Urteil des OGH (Österreich) vom 18. 02. 2021 (Az. 6 Ob 127/20z) auch Wahrscheinlichkeitsaussagen über Vorlieben von Personen als personenbezogene Daten angesehen wurden, sofern der Personenbezug vorliegt, bevor die Aussagen getroffen wurden.

Identifizierbarkeit einer Person

Interessant ist das Verständnis der von Frau Dixon zitierten Article 29 Working Party der EU, die sogar in Art. 94 DSGVO erwähnt ist. Diese Gruppe sieht es wie ich: Eine Person gilt als identifizierbar, wenn sie von einer Gruppe anderer Personen unterschieden werden kann. Dies wird in der sog. Opinion 4/2007 der Gruppe ausgedrückt.

Rn. 52 (Sekundärzitat, hier spare ich mir das Zitieren der Originalquelle, der "Opinion 4/207 der "Article 29 Data Protection Working Party").

Die Identifizierbarkeit als Kriterium für das Vorliegen personenbezogener Daten ist in Art. 4 Nr. 1 DSGVO genannt. Der Erwägungsgrund 26 nennt weiteres.

Es ist also nicht erforderlich, dass konkret auf eine Person zurückgeschlossen werden könnte, so dass beispielsweise ein „hartes“ personenbezogenes Datum wie die IP-Adresse, der Name, die Postadresse oder das KFZ-Kennzeichen vorliegt. Vielmehr reicht es demnach aus, dass eine Person als die eine Person erkannt werden kann und von anderen Personen unterschieden werden kann.

Das ist übrigens auch das Konzept des Web Tracking. Es interessiert Google & Co weniger, wer genau hinter dem Nutzer steckt, der gerade eine Webseite besucht. Vielmehr möchte Google bzw. ein Werbetreibender wissen, ob dieser Nutzer der Nutzer 4711 ist oder ein anderer, damit dessen Nutzerprofil genutzt werden kann. Denn zu Nutzer 4711 ist bekannt, dass er weiblich ist, Heavy Metal Musik hört und online gerne griechische Spezialitäten einkauft.

Auch wenn nicht direkt darauf geschlossen werden kann, dass eine bestimmte Person in einer Gruppe von Personen gemeint ist, kann eine Identifizierbarkeit der Person vorliegen. Dies drückt die Article 29 Working Party so aus.

Konkret heißt das nach meinem Verständnis, dass auch Zusatzinformationen, die nicht vorliegen müssen, aber beschafft werden könnten oder demnächst vorliegen könnten, zu berücksichtigen sind. Dies ist analog zum EuGH-Urteil zu IP-Adressen.

In Rn. 60 und 61 wird weiterhin ausgeführt, was der EuGH bereits feststellte. Dass nämlich Daten als personenbezogen gemäß Art. 4 Nr.1 DSGVO zu werten sind, auch wenn nicht direkt und nicht durch den Verantwortlichen auf die Person geschlossen werden kann.

Der Erwägungsgrund 26 enthält einen risikobasierten Ansatz zur Beurteilung, ob Daten personenbezogen sind (Rn. 79). Dies wird auch im Breyer-Urteil des EuGH zu IP-Adressen gesehen (Rn. 85). Im Breyer-Urteil wird ausgeführt, dass ein Personenbezug an sich anzunehmen ist (sofern ein Identifizierer wie eine IP-Adresse oder etwas anderes verwendet wird), wenn das Risiko einer Identifizierung de facto nicht vernachlässigt werden kann (Rn. 46).

Im Erwägungsgrund 26 heißt es unter anderem:

Um festzustellen, ob eine natürliche Person identifizierbar ist, sollten alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren, wie beispielsweise das Aussondern.

Auszug aus Erwägungsgrund 26 der DSGVO.

Weiter heißt es dort, dass die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologische Entwicklungen zu berücksichtigen sind. In diesem Kontext wird WhatsApp unterstellt, dass mithilfe einer bekannten Telefonnummer eines Non-Users Suchen im Internet oder in sozialen Medien durchgeführt werden könnten, um dessen Identität festzustellen (Rn. 83 c).

Es wird ein Vergleich des WhatsApp Hash-Wertes von Non-Users mit dem EuGH-Urteil zu IP-Adressen gezogen (Rn. 70 und 95). Frau Dixon stellt fest, dass der Hash-Wert für einen Non-User zusammen mit dessen nur für sehr kurze Zeit im Speicher vorhandene Telefonnummer ein personenbezogenes Datum darstellt (Rn. 66 und 110). Die Telefonnummer wird von Ihr auch dann noch als personenbezogenes Datum angesehen, nachdem diese in einen Hash-Wert überführt wurde.

Sehr interessant ist der Ansatz, testweise davon auszugehen, dass die Telefonnummer eines Non-Users kein personenbezogenes Datum darstellt (Rn.89). Die Folge wäre, dass diese Telefonnummer ohne Einschränkung verarbeitet werden könnte. Dies erscheint abwegig und ist deswegen nicht anzunehmen, was den Personenbezug bejaht (Rn. 90f). Ein anderer Ansatz zu dieser Erkenntnis führt über Art. 33 DSGVO. Dort ist die Pflicht genannt, die Verletzung des Schutzes von personenbezogenen Daten an eine Aufsichtsbehörde zu melden. Eine solche Meldung wäre nicht möglich, wenn die in Frage stehenden Daten nicht personenbezogen wären (Rn. 94). Auch wird festgestellt, dass WhatsApp das Design der Anwendung selbst in der Hand hat und entsprechend sichere Mechanismen hätte etablieren können. Hier nenne ich den Art. 25 DSGVO als eine Referenz.

Es reicht aus, dass es Möglichkeiten zur Identifikation von Personen gibt und ist nicht wichtig, ob ein Verantwortlicher diese Möglichkeiten nutzen kann oder will (Rn. 95). Die Wahrscheinlichkeit einer Identifikation spielt demnach keine Rolle.

Die Datenverarbeitung einer Telefonnummer eines Non-Users findet in folgenden Schritten statt (Rn. 103):

  1. Zugriff auf die Nummer durch WhatsApp
  2. Übertragung der Nummer zu WhatsApp Servern
  3. Bildung eines Lossy-Hash Wertes aus der Nummer
  4. Unwiederbringliches Löschen der Nummer

Trotz des unwiederbringlichen Löschens der Nummer nach sehr kurzer Zeit gilt sie als personenbezogen. Das Erheben als Erhalt der Nummer mit möglicher Kenntnis wird als wichtige Art der Datenverarbeitung hervorgehoben (to collect = erheben, Rn. 103). Ob WhatsApp die Nummer tatsächlich löscht oder es nur behauptet, ist eine andere Frage.

Das Vorliegen einer Datenverarbeitung ist nicht abhängig von zeitlichen Einschränkungen. Auch Daten, die nur eine extrem kurze Zeit lang vorliegen, werden faktisch verarbeitet.

Gemäß Rn. 104 ebd.

Ferner wird ausgeführt, dass ein Non-User zwar zunächst eine nicht näher identifizierte Person aus einer Gruppe von vielen ist. Das Ziel ist aber, den individuellen Non-User anzusprechen und ihn zum User zu machen, was eine vorige Identifikation voraussetzt (Rn. 92).

Frau Dixon akzeptiert, dass die WhatsApp Funktion zum Erkennen, welche Kontakte im eigenen Adressbuch auch WhatsApp Nutzer sind, nützlich ist. Umgekehrt stellt sie aber auch fest, dass WhatsApp selbst davon profitiert (Rn. 93). Daraus entsteht eine Verantwortlichkeit.

Dann wird es kompliziert, weshalb ich hierauf nur kurz eingehe. Aufgrund wohl neuer Angaben von WhatsApp findet ein Matching von Usern über einen neuen Hash-Wert statt, dem Notification Hash, und nicht über den vormals thematisierten Lossy Hash. Irland und der Europäische Datenschutzausschuss waren sich dann uneins über die Frage des Personenbezugs einer Non-User Telefonnummer nach dem Hashing. Der Ausschuss hat Irland gemäß Art. 65 Abs. 6 DSGVO aufgetragen, seine Meinung zu korrigieren und den Personenbezug anzunehmen (Rn. 106ff).

Was ist ein Verantwortlicher ("Controller")?

Eine Verantwortlichkeit ergibt sich aus faktischen Umständen und nicht aus formalen Umständen (Rn. 119f). Das Konzept des Verantwortlichen ist demnach ein funktionales Konzept. Zur Bestimmung der eingesetzten Mittel sind sowohl organisatorische als auch technische Fragen zu stellen, so postuliert es die Opinion 1/2010. Wer die Zwecke bestimmt, ist faktisch Verantwortlicher (Rn. 121). Dies gilt beispielsweise auch für die Bestimmung der Speicherdauer von Daten oder die Zugriffsmöglichkeiten.

Wer verantwortlich ist, kann auch daraus bestimmt werden, wer einen Prozess angestoßen hat oder warum der Prozess stattfindet (Rn. 122 c).

Zur Ermittlung, ob eine Verantwortlichkeit vorliegt, kann ein Test auf verschiedene Kriterien hin durchgeführt werden. Dies schlägt Helen Dixon vor.

Vornehmlich zeichnet sich das Konzept der Rolle eines Verantwortlichen dadurch aus, dass es Verantwortlichkeit zuweist (Rn. 116). Hier wird auch auf Opinion 1/2010 der Artikel 29 Gruppe verweisen (Rn. 118). Demnach entsteht Verantwortlichkeit, wenn eine Stelle entschieden hat, Daten zu eigenen Zwecken zu verarbeiten.

Wichtige Fragen zur Bestimmung einer Verantwortlichkeit sind (Rn. 141):

  • Welche Daten sollen verarbeitet werden?
  • Wie lange werden die Daten gespeichert?
  • Wer soll Zugriff auf die Daten haben?

Diese Fragen sind im Sinne betroffener Personen zu beantworten, eine ausgeweitete Sichtweise auf die Verantwortlichkeit ist hierfür angebracht (Rn. 139).

Bestimmt eine Stelle, welche personenbeziehbaren Daten verarbeitet werden sollen, erhöht dies die Chance, dass die Stelle verantwortliche Stelle ist (vgl. Rn. 145 c).

Gibt eine Stelle nicht oder nicht genau an, wie lange Daten gespeichert werden, erhöht dies die Chance, dass die Stelle verantwortliche Stelle ist (vgl. Rn. 145 d), denn die betroffene Person hat dann hierauf erst recht keinen wesentlichen Einfluss und somit dafür keine Verantwortlichkeit.

Wer bestimmt, wer Zugriff auf die Daten hat, ist dafür verantwortlich bzw. erhöht die Chance, Verantwortlicher für die Datenverarbeitung zu sein (vgl. Rn. 145 e).

Gleiches gilt für die Bestimmung der Mittel (Rn. 145 f).

Nach alldem und mehr, sieht Helen Dixon WhatsApp als Verantwortliche und nicht als Auftragsverarbeiter (Rn. 154).

Informationspflichten von Verantwortlichen

Aufgrund der Komplementarität von Art. 13 DSGVO und Art. 14 DSGVO sieht Frau Dixon eine besondere Signifikanz für die Informationspflicht betroffener Personen durch Verantwortliche (Rn. 173). Sie wird sogar noch deutlicher und sieht die Informationspflichten, auch aufgrund von Art. 15 Abs. 1 und 2 DSGVO als Fundament ("bedrock"), auf dem die anderen Betroffenenrechte sitzen (Rn. 174). Denn nur dann kann ein Betroffener verstehen, ob und wie seine Daten verarbeitet wurden oder werden sollen.

Die Pflichtinformationen zur Datenverarbeitung, die WhatsApp bereitstellt, wurden hinsichtlich ihres Umfangs berücksichtigt (Rn. 195). Dafür wurde sogar der ungefähre Umfang in DIN A4-Seiten ermittelt. Auch wurde der Anteil jedes einzelnen Dokuments (Nutzungsbedingungen, Datenschutzhinweise etc.) am Gesamtumfang in Prozentwerten ermittelt.

Es wurde festgestellt, dass eine Verlinkung auf ein wichtiges Dokument mit einem Linktext wie „Learn More“ nicht ausreichend erscheint (Rn. 196f). Das Format der einzelnen Dokumente wurde kritisch gewürdigt (Rn. 198f) und mit Art. 12 Abs. 1 DSGVO ins Verhältnis gesetzt. Ebenso wurde die Notwendigkeit des Scrollens eines längeren Textes kritisch betrachtet (etwa Rn. 204). WhatsApp hatte auf die Untersuchung hin sogar zugegeben, dass Verbesserungsbedarf bei der Bereitstellung von Pflichtinformationen besteht (Rn. 215f).

In Rn. 224 wird angemerkt, dass Marktgegebenheiten oder für bestimmte Marktsegmente spezifische Verhaltensweisen bezüglich der DSGVO irrelevant sind. Das Argument „alle machen es so“ gilt eben nicht. Dieses Scheinargument begegnete mir zuletzt in einem Verteidigungsschreiben einer Antragsgegnerin. Das Verfahren, in dem ich als Sachkundiger vor Gericht unterstützen durfte, läuft noch.

Eine übermäßige Bereitstellung allgemeiner und nicht ausreichende Bereitstellung konkreter Informationen erscheint widrig zur DSGVO (Rn. 226).

Beginnend mit Rn. 329, führt Frau Dixon aus, welche Informationen WhatsApp in welcher Form bereitstellt und betrachtet dabei auch Verlinkungen auf weitere Dokumente. Ab Rn. 332 werden die Dokumente in ihrer Struktur und Art der Bereitstellung kritisiert. Auch wird hervorgehoben, dass inhaltliche Dopplungen existieren und andererseits an manchen Stellen Beispiele fehlen oder die Sprache unklar ist. Als Folge wird ein Risiko der Verwirrung und Undurchsichtigkeit gesehen (Rn. 336).

Zusammengefasst wird das ganze wie folgt:

The user should not have to work hard to access the prescribed information; nor should he/she be left wondering if he/she has exhausted all available sources of information and nor should he/she have to try to reconcile discrepancies between the various pieces of information set out in different locations.

Rn. 337 ebd.

Dieser Ansatz lässt sich auch auf die verwirrend vielen und intransparenten Google-Dokumente übertragen, die beim Nutzen von Google Tools wie Google reCAPTCHA, Google Maps oder dem Google Tag Manager relevant werden. Ich freue mich auf das nächste größere Bußgeld, welches Google hoffentlich erhalten wird. Ein Anlass wäre der Chrome Browser.

Ab Rn. 345 wird festgestellt, dass WhatsApp leider die Kategorien von verarbeiteten Daten nicht ausreichend gewürdigt hat.

In Rn. 355 wird das ganz oben in meinem Beitrag als Cliffhanger verwendete Wort "piecemeal" verwendet:

The information has been furnished in a piecemeal fashion that requires the user to link in and out of various different sections of the Privacy Policy as well as the Terms of Service and a comprehensive FAQ entitled “How we work with the Facebook Companies” […].

Rn. 355 ebd.

Es wird darauf hingewiesen, dass die WhatsApp Datenschutzhinweise derart vorliegen, dass kein roter Faden erkennbar ist, geschweige denn ein einzelner Gesamttext (Rn. 356), hierzu auch "The user should not have to work hard to access the prescribed information". Diesen Vorwurf würde ich gerne an Google herantragen. Einfacher wird es wegen des irischen Filialsitzes aber wohl eher, gegen Verantwortliche aus Deutschland vorzugehen, die nicht anders können, als unreflektiert Dienste von Google einzusetzen, oder idealerweise Google's Ausführungen verstanden haben und mir innerhalb eines Monats erklären können (Art. 12 Abs. 3 DSGVO).

Helen Dixon stellt bei all Ihren Betrachtungen der WhatsApp-Statements regelmäßig fest, dass WhatsApp und sie „fundamentally disagree“. Immerhin ist ihr das ein Bußgeld wert, wenngleich eines in für Facebook eher nicht schmerzhafter Höhe.

Angabe der Empfänger

Gemäß Art. 13 Abs. 1 e DSGVO und Art. 14 Abs. 1 e DSGVO sind die Empfänger oder Kategorien von Empfängern von Daten zu benennen, um Informationspflichten gemäß Art. 12 DSGVO zu erfüllen. Die Artikel 29 Gruppe wird von Frau Dixon hierzu zitiert (Rn. 426).

Die Gruppe schreibt, dass für gewöhnlich die Namen von Empfängern zu nennen sind, weil das für gewöhnlich die bedeutungsvollste Auskunft darstellt, die einer betroffenen Person zusteht. Die Person soll eben gerade wissen können, wer deren Daten erhalten hat oder soll.

Wenn Kategorien von Empfängern benannt werden, sollte dies so präzise wie möglich erfolgen. Hierzu gehört auch die Benennung der Tätigkeiten jeder Empfängerkategorie.

Ich persönlich bin der Meinung, dass spätestens bei einem Auskunftsersuchen nach Art. 15 Abs. 1 c DSGVO die konkreten Empfänger zu benennen sind. Insbesondere gilt dies m. E., wenn die betroffene Person dies explizit wünscht. Diese Empfänger müssen dem Verantwortlichen schließlich bekannt sein. Dem konkreten Auskunftsersuchen kann wohl nur entgegenstehen, dass valide Gründe die Nichtnennung einzelner Empfänger rechtfertigen. Außer einer Geheimhaltungsvereinbarung o. ä. kann ich mir hierzu nicht viele Möglichkeiten vorstellen. Im eben verlinkten Artikel 15 habe ich einige Quellen angegeben, die meine Meinung unterstützen.

Angabe der Speicherdauer

Gemäß Art. 5 Abs. 1 c und e DSGVO gelten die Prinzipien der Datenminimierung und Speicherbegrenzung. In diesem Zusammenhang müssen Informationspflichten erfüllt werden (Art. 13 Abs. 2 a DSGVO). Insbesondere zur Beurteilung, ob ein berechtigtes Interesse vorliegt, ist die Speicherdauer von Daten eine wichtige Information. Die Article 29 Working Party wird dazu wie folgt zitiert:

It is not sufficient for the data controller to generically state that personal data will be kept as long as necessary for the legitimate purposes of the processing. Where relevant, the different storage periods should be stipulated for different categories of personal data and/or different processing purposes, including where appropriate, archiving periods.

Auszug aus Rn. 468.

Demnach müssen Angaben zur Speicherdauer so präzise wie möglich sein. In Rn. 469 wird darauf hingewiesen, dass es sich bei diesen Angaben um bedeutungsvolle Informationen ("meaningful information") handeln muss, mit denen der Leser also etwas anfangen kann.

In Rn. 482 wird immerhin bestätigt, dass es WhatsApp an einzelnen Stellen gelungen ist, die Vorgaben aus Art. 13 DSGVO zu erfüllen, nämlich bei der Erklärung des Rechts auf Auskunft. Allerdings wird bei weniger leicht einzuhaltenden Vorschriften, wie den Bedingungen für eine Einwilligung, dann wieder etwas Negatives festgestellt (Rn. 496).

Eine automatisierte Entscheidungsfindung nach Art. 13 Abs. 2 f findet gemäß Rn. 524 bei WhatsApp nicht statt.

Datenaustausch mit anderen Facebook Unternehmen

In Teil 3 des Dokuments wird die Frage nach der Transparenz des Teilens von Nutzerdaten zwischen WhatsApp und den anderen Facebook Unternehmen betrachtet. Minutiös werden einzelne Textpassagen aus den Datenschutzhinweisen von WhatsApp auf Konformität mit der DSGVO hin untersucht. Das Zitieren dieser Passagen ist mitunter ein Grund für die Länge des Gesamtdokuments von Frau Dixon, wenngleich zur Länge zahlreiche Erörterungen beitragen.

Frau Dixon stellt fest, dass die Facebook Unternehmen, mit denen WhatsApp Daten teilt, nicht ausreichend benannt sind (Rn. 577). WhatsApp findet das OK, weil die DSGVO dies nicht erfordern würde (Rn. 581) bzw. es ausreichend wäre, wenn diese Angaben irgendwo anders in beliebigen öffentlich verfügbaren Quellen zu finden wären.

In Rn. 591f wird offiziell festgestellt, dass WhatsApp versagt hat, den Datenaustausch mit anderen Facebook Unternehmen ausreichend darzustellen. Zusätzlich ermutigt Frau Dixon WhatsApp, fragliche Datenschutzhinweise zu streichen, sofern WhatsApp nicht beabsichtigt, Daten mit anderen Facebook Firmen auszutauschen.

Transparenz der Verarbeitung

In Teil 4 des Dokuments werden Fragen zur Transparenz der Datenverarbeitung erörtert (Rn. 593ff). Dabei ging es vor allem um das von Frau Dixon bezeichnete Transparenzkonzept aus Art. 5 Abs. 1 DSGVO und die Informationspflichten aus den Artikeln 12, 13 und 14 DSGVO.

Der EDPB sieht dieses Transparenzkonzept so nicht in der DSGVO definiert, aber dennoch gegeben (Rn. 188). Irland wurde von Europa überstimmt und musste WhatsApp wegen eines Verstoßes gegen Art. 5 Abs. 1 DSGVO in die Pflicht nehmen.

Ermittlung des Bußgelds

Den Part aus Teil 5, der die Möglichkeit des Anbringens eines Bußgelds thematisiert, spare ich hier im Detail aus. Er erstreckt sich zu meiner Überraschung über erheblich viele Seiten. Am Ende fordert der EDPB die irische Behörde auf, eine höhere Strafe zu erlassen als angedacht (Rn. 807).

Die irische Datenschutzbehörde wollte erst nur 50 Millionen Euro als Bußgeld erlassen. Ein Einspruch anderer europäischer Länderbehörden, unter anderem aus Deutschland, führte zu 225 Millionen Euro. Möglicherweise wurden die 50 Millionen Euro von Irland deswegen vergeben, weil die französische Datenschutzaufsicht CNIL ein gleich hohes Bußgeld gegen Google wegen der französischen Suchmaschine google.fr verhängte (Rn. 809ff).

Wer wissen will, wie viel Umsatz Facebook (USA) und WhatsApp (Irland) erwirtschaftet hat, findet die Antwort hier:

Rn. 881 ebd.

Immerhin war der Umsatz so hoch, dass das Bußgeld nicht höher als 2 oder 4 % dieser Summe war. Hier eine (neuere) Statistik, die hilft, den Umsatz abzuschätzen:

Quelle: https://de.statista.com/themen/1995/whatsapp/.

Die Summe des Bußgelds setzt sich aus mehreren Teilsummen zusammen, die wie folgt begründet wurden.

Rn. 888 c

Art. 5 Abs. 1 a DSGVO bedingt die Verarbeitung personenbezogener Daten „auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise“. Dies scheint WhatsApp nicht hinbekommen zu haben.

Art. 12 DSGVO enthält Vorgaben zu den Pflichten einer transparenten Information an betroffenen Personen, die anscheinend durch WhatsApp sträflich verletzt wurden.

Art. 13 DSGVO betrifft Informationen für die Verarbeitung von Daten, die bei der betroffenen Person verarbeitet wurden. Hier gab es bei WhatsApp ebenfalls Lücken.

Art. 14 DSGVO ist analog zu Art. 13 DSGVO, nur dass es hier um Daten geht, die nicht bei der betroffenen Person verarbeitet wurden. Hier ist insbesondere der Vorgang der Benachrichtigung von Non-Users zu nennen, der mit einem anscheinend nicht datenschutzkonformen Hash-Verfahren implementiert wurde.

Die Höhe des Bußgelds wurde mehrfach kritisiert, denn für Facebook erscheint der Betrag wohl ziemlich gering. Ich vermute, dass der wirtschaftliche Nutzen für Facebook der durch die festgestellten Verstöße gekennzeichneten Datenverarbeitungen weit höher war. Immerhin ist es Marketing-technisch quasi Gold wert, wenn die Registrierung eines neuen Nutzers dazu führt, dass alle Nutzer in seinem Adressbuch faktisch ausgebeutet werden können.

Schlussbemerkungen

Die im Dokument von Helen Dixon genannten Herleitungen und Begründungen sind sicher lesenswert. Sie führen zu interessanten Einsichten und Erkenntnissen. Mindestens zeigen sie aber, wie eine behördliche Prüfung ablaufen kann. So werden Untersuchungen der eigenen Behörde aufgeführt, auf die WhatsApp entgegnete. Daraus leiteten sich dann Folgerungen eines Mitarbeiters ("Decision Maker)" ab, die wiederum die Chef-Aufklärerin selbst analysiert und hierzu auch die Antworten von WhatsApp berücksichtigt.

Helen Dixons Argumentation basiert auf einer, wie ich finde, an sich schlüssigen Herleitung. Ob die jeweilige Beurteilung konkret gut oder schlecht, richtig oder falsch, angemessen oder voreingenommen ist, ist eine andere Frage.

Jedenfalls orientiert sich die Argumentation sehr an einschlägigen Vorgaben und Meinungen, wie denen der Article 29 Working Group, dem Vorgänger des EDPB.

In einem wichtigen Punkt stimme ich mit Helen Dixon überein: Eine Person gilt als identifizierbar, sofern sie von anderen Personen abgegrenzt werden kann. Dies entspricht der Meinung der Artikel 29 Gruppe.

Auch interessant

Wer schreibt hier?
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. In IT & Datenschutz bin ich auch als Sachverständiger tätig. Mir sind juristische Gegebenheiten nicht fremd. Meine Ergebnisse gewinne ich durch Betrachtung von Technik und Recht. Das scheint mir absolut notwendig, wenn es um digitalen Datenschutz geht. Über Ihre Unterstützung für meine Arbeit würde ich mich besonders freuen. Als Geschäftsführer der IT Logic GmbH berate ich Kunden und biete Webseiten-Checks an.
Bitte nutzen Sie bei Verwendung meiner Ergebnisse die Quellenangabe oder verlinken Sie gut wahrnehmbar auf diesen Artikel:
Quelle: Klaus Meffert, Dr. DSGVO Blog, Link: https://dr-dsgvo.de/whatsapp-facebook-die-hintergruende-zur-geldstrafe-ueber-225-millionen-euro-durch-die-irische-datenschutzaufsicht
Einen Kurzlink oder eine Bestätigung für Ihre Quellenangabe erhalten Sie kurzfristig auf Anfrage. Ein Teilen oder Verteilen dieses Beitrags ist natürlich ohne weiteres möglich und gewünscht.
Schlagworte zu diesem Artikel:

Schreiben Sie einen Kommentar

Ihre Mail-Adresse wird nicht veröffentlicht.

Nächster Beitrag

Vertragsdokumente und Datenschutztexte dürfen von Nichtanwälten erstellt werden