Die irische Datenschutzbehörde hat WhatsApp Ireland Ltd. mit einer Geldstrafe belegt, weil sie den Nutzern keine transparenten Informationen darüber bereitstellt, wie ihre Daten verarbeitet und geteilt werden, insbesondere mit verwandten Unternehmen aus der Meta Platforms Inc.-Familie. Die Geldstrafe, die gemäß der Datenschutz-Grundverordnung der Europäischen Union (DSGVO) verhängt wurde, spiegelt Mängel bei der Offenlegung an Nutzer wider, die bei der Anmeldung des Nachrichtendienstes gemacht werden.
Die Strafe wurde von der Irischen Datenschutzkommission verhängt, die als leitende Regulierungsbehörde für Metas Dienste in der EU fungiert. Die Behörde erklärte, dass WhatsApps Datenschutzhinweise nicht klar erklärten, wie Nutzerdaten verarbeitet, gespeichert und mit anderen Unternehmen der Meta-Gruppe geteilt werden, einschließlich für operative und Marketingzwecke. Die Regulierungsbehörden stellten fest, dass die den Nutzern bereitgestellten Informationen fragmentiert und schwer verständlich waren.
Nach der DSGVO müssen Unternehmen den Nutzern klar und prägnant erklären, welche personenbezogenen Daten sie sammeln und wie diese verwendet werden. Die Aufsichtsbehörde erklärte, dass WhatsApps Offenlegungen diesem Standard nicht entsprachen, da sie zu komplex seien und es den Nutzern nicht ermöglichten, das Ausmaß der Datenströme zu verwandten Diensten vollständig zu erfassen. Die irische Behörde erklärte, dass dieser Mangel an Klarheit die Fähigkeit der Nutzer untergrube, fundierte Entscheidungen über ihre Privatsphäre zu treffen.
WhatsApp Ireland Ltd. wurde zur Zahlung einer Geldstrafe verurteilt, die auf der Schwere des Verstoßes und der Anzahl der betroffenen Nutzer in der EU berechnet wurde. Der Betrag spiegelt sowohl die Reichweite der WhatsApp-Dienste als auch die Notwendigkeit wider, einheitliche Datenschutzstandards in den Mitgliedstaaten durchzusetzen. Die Aufsichtsbehörde erklärte, sie werde weitere Details zur Geldstrafe und zu den als nicht konform befundenen Aspekten von WhatsApps Offenlegung veröffentlichen.
WhatsApp erklärte, es stimme den Schlussfolgerungen der Aufsichtsbehörde nicht zu und plane, gegen die Entscheidung Berufung einzulegen. Das Unternehmen erklärte, es strebe nach Transparenz gegenüber den Nutzern und überprüfe regelmäßig seine Datenschutzpraktiken. Sie fügte hinzu, dass ihre globalen Datenschutzrichtlinien bereits Informationen zur Datenverarbeitung und -weitergabe innerhalb der Meta-Gruppe enthalten, aber im Rahmen des Berufungsverfahrens mit den Behörden zusammenarbeiten werden.
Die Entscheidung der irischen Datenschutzkommission folgt auf andere Maßnahmen zur Durchsetzung der DSGVO gegen große Technologieunternehmen, die von den Regulierungsbehörden als unklar genug klare Datenschutzhinweise bezeichnet wurden. Die DSGVO verlangt, dass Datenverantwortliche “transparente” Informationen in einer Sprache bereitstellen, die für gewöhnliche Nutzer zugänglich ist, und dass sie Aufzeichnungen führen, die die Einhaltung von Transparenzpflichten belegen.
Datenschutzbefürworter begrüßten das Vorgehen der Aufsichtsbehörde und erklärten, dass Klarheit über den Datenaustausch grundlegend für die Kontrolle der Nutzer über persönliche Informationen sei. Sie stellten fest, dass Messaging-Dienste mit großen Nutzerbasen eine erhöhte Verpflichtung haben, zu kommunizieren, wie Daten zwischen den Diensten fließen, insbesondere wenn solche Daten für Profilierung oder personalisierte Funktionen genutzt werden können.
Das Ergebnis könnte beeinflussen, wie andere Technologieunternehmen ihre Datenschutzkommunikation in der EU anpassen. Maßnahmen zur Durchsetzung der DSGVO führen häufig zu Überarbeitungen von Online-Datenschutzhinweisen, da Unternehmen versuchen, ihre Offenlegungen an die Erwartungen der Regulierungsbehörden anzupassen und zukünftige Sanktionen zu vermeiden. Regulierungsbehörden in anderen Mitgliedstaaten überwachen solche Entscheidungen, um eine harmonisierte Anwendung des Gesetzes im gesamten Block zu fördern.