< zurück zum Blog

Datenverarbeitung durch WhatsApp – Bußgeld in dreistelliger Millionenhöhe!

21.09.2021

Die Nutzung von WhatsApp in Unternehmen ist ein heiß umstrittenes Thema. Obwohl der betriebliche Einsatz von WhatsApp hohe datenschutzrechtlichen Risiken birgt, wollen viele Unternehmen nach wie vor nicht hierauf verzichten. Auch die irische Datenschutzbehörde hat diese datenschutzrechtlichen Gefahren durch die Nutzung von WhatsApp erkannt und gegen WhatsApp ein Bußgeld in Höhe von 225 Mio. EUR verhängt.

Hohe Risiken durch die Nutzung von WhatsApp

Das der Einsatz von WhatsApp aus datenschutzrechtlichen Gesichtspunkten sehr risikobehaftet ist, haben wir schon in unseren Blogbeiträgen WhatsApp im Unternehmen: Datenschutz! und Datenschutz bei WhatsApp beleuchtet. Generell ist WhatsApp nur für den privaten Gebrauch bestimmt und nicht für die Verwendung im geschäftlichen Verkehr ausgelegt.
Problematisch an WhatsApp ist insbesondere, dass WhatsApp auf alle im Handy gespeicherten Kontakte zugreifen kann und damit eine Datenübertragung an WhatsApp und somit in die USA ermöglicht wird.
Daneben besteht auch das Risiko einer Datenweitergabe an Facebook, dem Mutterkonzern von WhatsApp sowie einer Profilbildung durch Facebook. Für eine solche Datenweitergabe Ihrer Handykontakte bräuchten Sie, als Verantwortlicher, die Einwilligung sämtlicher Kontakte, die Sie wohl kaum erhalten werden.
Die gleichen Risiken bestehen im Übrigen für die Business Version von WhatsApp.

Entscheidung der irischen Datenschutzbehörde

Die irische Datenschutzbehörde (Data Protection Commission, kurz DPC), die bereits im Rahmen der Schrems-Urteile gegenüber Facebook Bekanntheit erlangte, untersuchte nun die Datenschutzkonformität des WhatsApp-Dienstes. Zuständig hierfür ist die irische Datenschutzbehörde, da WhatsApp als Konzerntochter von Facebook ihre Hauptniederlassung in Irland hat.

Besonderes Augenmerk legte die Datenschutzbehörde in ihrer Prüfung darauf, ob WhatsApp seinen Transparenzpflichten in Bezug auf die Bereitstellung von Informationen, insbesondere im Hinblick auf die Datenverarbeitung zwischen WhatsApp und anderen Facebook-Unternehmen, nachkommt.
Die Transparenzpflicht nach den Art. 12-14 DSGVO umfasst die Pflicht des Verantwortlichen, eine bestimmte Information gegenüber einer betroffenen Person bzw. gegenüber der Öffentlichkeit in präziser, leicht zugänglicher und verständlicher Form sowie in klarer und einfacher Sprache bereitzustellen. Das beinhaltet auch, dass ein Verantwortlicher transparent über eine bei ihm stattfindende Datenverarbeitung belehren muss.

Genau hiergegen hat WhatsApp nach Ansicht der irischen Datenschutzbehörde verstoßen, denn für einen WhatsApp-Nutzer ist nicht ohne Weiteres ersichtlich, dass die durch WhatsApp verarbeiteten Daten an den Facebook-Konzern weitergeleitet werden. WhatsApp selbst stützt diese Datenweitergabe auf ihr berechtigtes Interesse.
Über diese Datenverarbeitung wird nach Ansicht der Aufsichtsbehörde nicht transparent informiert. Infolgedessen veranschlagte sie ein Bußgeld i.H.v. 30 – 50 Mio. EUR gegen WhatsApp.

Stellungnahmen der anderen Aufsichtsbehörden und Entschluss des EDSA

Gegen diesen Bußgeldvorschlag wandten sich die Aufsichtsbehörden anderer Länder. Denn der Beschlussvorschlag der irischen Behörde habe nicht alle Verstöße von WhatsApp ausreichend beleuchtet und das Bußgeld sei damit zu niedrig angesetzt.

Insbesondere die Aufsichtsbehörde Deutschlands kritisierte, dass die Datenweitergabe an den Facebook-Konzern auf Grund berechtigten Interesse nicht transparent und damit nicht verständlich genug dargelegt sei. Zum einen gehe aus der Datenschutzerklärung von WhatsApp nicht genau hervor, welche Unternehmenspartner zum Teil Informationen erhalten, zum anderen sei das berechtige Interesse an sich nicht ausreichend dargelegt.
Hierdurch sei die Geltendmachung von Betroffenenrechten maßgeblich erschwert und gleichzeitig liege ein Verstoß gegen das Transparenzgebot vor.

Ein weiterer datenschutzrechtlicher Verstoß gegen die Informationspflichten liege in der Verarbeitung sog. Hash-Werte durch WhatsApp. Denn wie bereits dargestellt, hat WhatsApp Zugriff auf sämtliche Handykontakte, soweit man dies technisch nicht unterbindet.
In diesem Zuge erstellt WhatsApp sog. Hash-Werte. Sobald sich ein Nutzer bei WhatsApp registriert, erhalten seine Handykontakte, die auch WhatsApp nutzen, hierüber eine Benachrichtigung.
Handykontakte, die nicht WhatsApp nutzen, werden durch eine sog. „Lossy Hashing procedure“ als Nicht-Nutzer mit einem sog. Hash-Wert klassifiziert und gespeichert. Dies stellt eine Verarbeitung personenbezogenen Daten dieser Nicht-Nutzer dar.

So sah das auch der Europäische Datenschutzausschuss, der schlussendlich einen verbindlichen Entschluss über das Bußgeld fassen musste und dieses mit 225 Mio. EUR festsetzte.
Die Höhe des Bußgeldes, das nach Art. 83 Abs.6 DSGVO mit bis zu vier Prozent des Unternehmensjahresumsatzes festgelegt werden kann und dabei angemessen sowie abschreckend sein muss, wurde mit der Schwere der Verstöße gegen die Informationspflichten sowie den massiven Auswirkungen auf die Datenverarbeitungen durch WhatsApp begründet.
Dabei wurde nicht nur auf den schwersten Verstoß, sondern auf die Gesamtheit der Verstöße abgestellt.
Ob WhatsApp dieses Bußgeld zahlen wird, bleibt abzuwarten. Rechtsmittel wurden von Seiten WhatsApps bereits eingelegt.

Sie sehen also, dass länderübergreifend die Datenverarbeitung durch WhatsApp von den Behörden als durchaus kritisch und intransparent bewertet werden. Wir raten Ihnen daher nach wie vor dringend von der Nutzung von WhatsApp ab. Wenn Sie trotzdem auf die Nutzung von WhatsApp nicht verzichten möchten, müssen Sie den Zugriff auf die Handykontakte durch WhatsApp unterbinden und eine Einwilligung der Kunden, mit denen Sie über WhatsApp kommunizieren möchten, einholen sowie diese darüber belehren.

Sie haben noch Fragen in diesem Bereich, benötigen einen Datenschutzbeauftragten oder datenschutzrechtliche Beratung, kontaktieren Sie uns gerne unter 0931-780 877-0 oder info@sidit.de.

Zum Aktivieren der eingebetteten Karte bitte auf den Link klicken. Durch das Aktivieren werden Daten an den jeweiligen Anbieter übermittelt. Weitere Informationen können unserer Datenschutzerklärung entnommen werden

Inhalt anzeigen

Ihr direkter Kontakt zu uns

SiDIT GmbH
Langgasse 20
97261 Güntersleben

Bürozeiten:
Montag bis Freitag von 8-16 Uhr.