Die irische Datenschutzkommission (DPC) hat am Donnerstag erneut eine Geldstrafe in Höhe von 5,5 Millionen Euro gegen Metas WhatsApp verhängt, weil das Unternehmen bei der Verarbeitung personenbezogener Daten seiner Nutzer/innen gegen Datenschutzgesetze verstoßen hat.
Im Mittelpunkt des Urteils steht eine Aktualisierung der Nutzungsbedingungen der Messaging-Plattform, die in den Tagen vor dem Inkrafttreten der Allgemeinen Datenschutzverordnung(DSGVO) im Mai 2018 in Kraft getreten ist und verlangt, dass die Nutzer/innen den geänderten Bedingungen zustimmen, um den Dienst weiter nutzen zu können oder den Zugang zu verlieren.
In der Beschwerde, die von der gemeinnützigen Organisation NOYB eingereicht wurde, wird behauptet, dass WhatsApp gegen die Verordnung verstößt, indem es seine Nutzer/innen dazu zwingt, „der Verarbeitung ihrer personenbezogenen Daten zur Verbesserung des Dienstes und der Sicherheit zuzustimmen“, indem es „die Zugänglichkeit seiner Dienste davon abhängig macht, dass die Nutzer/innen die aktualisierten Nutzungsbedingungen akzeptieren“.
„WhatsApp Irland ist nicht berechtigt, sich auf die vertragliche Rechtsgrundlage für die Bereitstellung von Serviceverbesserungen und Sicherheit zu berufen“, erklärte die Datenschutzbehörde in einer Erklärung und fügte hinzu, dass die bisher erhobenen Daten einen Verstoß gegen die DSGVO darstellen.
Abgesehen von der Geldstrafe wurde die Messaging-Anwendung auch aufgefordert, innerhalb von sechs Monaten die Vorschriften einzuhalten. Es ist erwähnenswert, dass Meta seinen europäischen Hauptsitz in Dublin hat.
Die Datenschutzbehörde stellte jedoch fest, dass sie nicht beabsichtigt, zu untersuchen, ob WhatsApp Metadaten der Nutzer/innen für Werbung verarbeitet, und nannte dies „ergebnisoffen und spekulativ“. In einer Antwort kritisierte NOYB die Behörde für ihre Weigerung, darauf zu reagieren.
„WhatsApp sagt, dass es verschlüsselt ist, aber das gilt nur für den Inhalt der Chats – nicht für die Metadaten“, sagte Max Schrems von NOYB. „WhatsApp weiß immer noch, mit wem du am meisten chattest und zu welcher Zeit. Das ermöglicht Meta, das soziale Gefüge um dich herum sehr genau zu verstehen.“
„Meta nutzt diese Informationen, um z. B. gezielt Werbung zu schalten, für die sich deine Freunde bereits interessiert haben“, so Schrems weiter. Es scheint, dass die Datenschutzbehörde sich jetzt einfach geweigert hat, in dieser Angelegenheit zu entscheiden, trotz 4,5 Jahre andauernder Untersuchungen.“
WhatsApp erhielt Anfang 2021 viel Kritik, als es ein ähnliches Update seiner Datenschutzrichtlinien ankündigte, bei dem die Nutzer/innen die Änderungen akzeptieren mussten, um den Dienst weiter nutzen zu können.
Die Kommission forderte das Unternehmen auf, die Verbraucher „klar über sein Geschäftsmodell zu informieren“. „Insbesondere wird WhatsApp aufgefordert, darzulegen, wie es künftige Aktualisierungen seiner Nutzungsbedingungen kommunizieren will, und zwar so, dass die Verbraucher die Auswirkungen solcher Aktualisierungen leicht verstehen und frei entscheiden können, ob sie WhatsApp nach diesen Aktualisierungen weiter nutzen wollen“, erklärte die Kommission im Juni 2022.
Darüber hinaus ist WhatsApp bereits in der Vergangenheit in die Kritik geraten, weil es eine Kehrtwende bei der Weitergabe von Daten an den Mutterkonzern Meta (damals Facebook) für das Ad Targeting vollzogen hat. Im Jahr 2017 verhängte die EU eine Geldstrafe in Höhe von 110 Millionen Euro gegen den Social-Media-Riesen, weil er bei der Untersuchung der Fusion „falsche oder irreführende Angaben“ gemacht hatte.
Die jüngste Strafe kommt zwei Wochen, nachdem die Datenschutzbehörde Meta wegen des Umgangs mit Nutzerdaten für personalisierte Werbung auf Facebook und Instagram mit einer Geldstrafe in Höhe von 390 Millionen Euro belegt hatte und dem Unternehmen drei Monate Zeit gab, eine gültige Rechtsgrundlage für die Verarbeitung personenbezogener Daten für verhaltensbezogene Werbung zu finden.
NOYB hat seinerseits an den Europäischen Datenschutzausschuss (EDPB) geschrieben und erklärt, dass die Aufsichtsbehörde „bei der Berechnung der Geldbuße die Einnahmen aus der Verletzung der DSGVO außer Acht gelassen hat“ und dass „Meta durch das Manöver der Datenschutzbehörde fast 4 Milliarden Euro gespart hat“.