SiDIT Logo
    Zurück zum Blog
    Datenschutz15. September 2021

    WhatsApp-Datenverarbeitung: Millionenbußgeld und hohe Risiken

    WhatsApp-Datenverarbeitung: Millionenbußgeld und hohe Risiken

    Datenverarbeitung durch WhatsApp: Bußgeld in dreistelliger Millionenhöhe!

    Die Nutzung von WhatsApp in Unternehmen ist ein heiß umstrittenes Thema. Obwohl der betriebliche Einsatz von WhatsApp hohe datenschutzrechtliche Risiken birgt, wollen viele Unternehmen nach wie vor nicht darauf verzichten. Auch die irische Datenschutzbehörde hat diese datenschutzrechtlichen Gefahren durch die Nutzung von WhatsApp erkannt und gegen WhatsApp ein Bußgeld in Höhe von 225 Millionen Euro verhängt.

    Hohe Risiken durch die Nutzung von WhatsApp

    Dass der Einsatz von WhatsApp aus datenschutzrechtlicher Sicht sehr risikobehaftet ist, haben wir bereits in unseren Blogbeiträgen WhatsApp im Unternehmen: Datenschutz! und Datenschutz bei WhatsApp beleuchtet. Generell ist WhatsApp nur für den privaten Gebrauch bestimmt und nicht für die Verwendung im geschäftlichen Verkehr ausgelegt.

    Problematisch an WhatsApp ist insbesondere, dass die Anwendung auf alle im Handy gespeicherten Kontakte zugreifen kann und damit eine Datenübertragung an WhatsApp und somit in die USA ermöglicht wird. Daneben besteht auch das Risiko einer Datenweitergabe an Facebook, den Mutterkonzern von WhatsApp, sowie einer Profilbildung durch Facebook. Für eine solche Datenweitergabe Ihrer Handykontakte bräuchten Sie als Verantwortlicher die Einwilligung sämtlicher Kontakte, die Sie wohl kaum erhalten werden. Die gleichen Risiken bestehen übrigens für die Business-Version von WhatsApp.

    Entscheidung der irischen Datenschutzbehörde zur WhatsApp-Datenverarbeitung

    Die irische Datenschutzbehörde (Data Protection Commission, kurz DPC), die bereits im Rahmen der Schrems-Urteile gegenüber Facebook Bekanntheit erlangte, untersuchte nun die Datenschutzkonformität des WhatsApp-Dienstes. Zuständig hierfür ist die irische Datenschutzbehörde, da WhatsApp als Konzerntochter von Facebook ihre Hauptniederlassung in Irland hat.

    Besonderes Augenmerk legte die Datenschutzbehörde in ihrer Prüfung darauf, ob WhatsApp seinen Transparenzpflichten in Bezug auf die Bereitstellung von Informationen, insbesondere im Hinblick auf die Datenverarbeitung zwischen WhatsApp und anderen Facebook-Unternehmen, nachkommt. Die Transparenzpflicht nach den Art. 12–14 DSGVO umfasst die Pflicht des Verantwortlichen, bestimmte Informationen gegenüber einer betroffenen Person bzw. gegenüber der Öffentlichkeit in präziser, leicht zugänglicher und verständlicher Form sowie in klarer und einfacher Sprache bereitzustellen. Das beinhaltet auch, dass ein Verantwortlicher transparent über eine bei ihm stattfindende Datenverarbeitung belehren muss.

    Genau hiergegen hat WhatsApp nach Ansicht der irischen Datenschutzbehörde verstoßen, denn für einen WhatsApp-Nutzer ist nicht ohne Weiteres ersichtlich, dass die durch WhatsApp verarbeiteten Daten an den Facebook-Konzern weitergeleitet werden. WhatsApp selbst stützt diese Datenweitergabe auf sein berechtigtes Interesse. Über diese Datenverarbeitung wird nach Ansicht der Aufsichtsbehörde nicht transparent informiert. Infolgedessen veranschlagte sie zunächst ein Bußgeld in Höhe von 30–50 Millionen Euro gegen WhatsApp.

    Stellungnahmen der anderen Aufsichtsbehörden und Entschluss des EDSA

    Gegen diesen Bußgeldvorschlag wandten sich die Aufsichtsbehörden anderer Länder. Denn der Beschlussvorschlag der irischen Behörde habe nicht alle Verstöße von WhatsApp ausreichend beleuchtet, und das Bußgeld sei damit zu niedrig angesetzt.

    Insbesondere die Aufsichtsbehörde Deutschlands kritisierte, dass die Datenweitergabe an den Facebook-Konzern aufgrund berechtigten Interesses nicht transparent und damit nicht verständlich genug dargelegt sei. Zum einen gehe aus der Datenschutzerklärung von WhatsApp nicht genau hervor, welche Unternehmenspartner zum Teil Informationen erhalten, zum anderen sei das berechtigte Interesse an sich nicht ausreichend dargelegt. Hierdurch sei die Geltendmachung von Betroffenenrechten maßgeblich erschwert, und gleichzeitig liege ein Verstoß gegen das Transparenzgebot vor.

    Ein weiterer datenschutzrechtlicher Verstoß gegen die Informationspflichten liege in der Verarbeitung sogenannter Hash-Werte durch WhatsApp. Denn wie bereits dargestellt, hat WhatsApp Zugriff auf sämtliche Handykontakte, sofern man dies technisch nicht unterbindet. In diesem Zuge erstellt WhatsApp sogenannte Hash-Werte. Sobald sich ein Nutzer bei WhatsApp registriert, erhalten seine Handykontakte, die auch WhatsApp nutzen, hierüber eine Benachrichtigung. Handykontakte, die nicht WhatsApp nutzen, werden durch eine sogenannte „Lossy Hashing procedure“ als Nicht-Nutzer mit einem sogenannten Hash-Wert klassifiziert und gespeichert. Dies stellt eine Verarbeitung personenbezogener Daten dieser Nicht-Nutzer dar.

    So sah das auch der Europäische Datenschutzausschuss (EDSA), der schlussendlich einen verbindlichen Entschluss über das Bußgeld fassen musste und dieses mit 225 Millionen Euro festsetzte. Die Höhe des Bußgeldes, das nach Art. 83 Abs. 6 DSGVO mit bis zu vier Prozent des Unternehmensjahresumsatzes festgelegt werden kann und dabei angemessen sowie abschreckend sein muss, wurde mit der Schwere der Verstöße gegen die Informationspflichten sowie den massiven Auswirkungen auf die Datenverarbeitungen durch WhatsApp begründet. Dabei wurde nicht nur auf den schwersten Verstoß, sondern auf die Gesamtheit der Verstöße abgestellt. Ob WhatsApp dieses Bußgeld zahlen wird, bleibt abzuwarten. Rechtsmittel wurden vonseiten WhatsApps bereits eingelegt.

    Sie sehen also, dass länderübergreifend die Datenverarbeitung durch WhatsApp von den Behörden als durchaus kritisch und intransparent bewertet wird. Wir raten Ihnen daher nach wie vor dringend von der Nutzung von WhatsApp ab. Wenn Sie trotzdem auf die Nutzung von WhatsApp nicht verzichten möchten, müssen Sie den Zugriff auf die Handykontakte durch WhatsApp unterbinden und eine Einwilligung der Kunden, mit denen Sie über WhatsApp kommunizieren möchten, einholen sowie diese darüber belehren.

    Sie haben noch Fragen in diesem Bereich, benötigen einen Datenschutzbeauftragten oder datenschutzrechtliche Beratung? Kontaktieren Sie uns gerne unter 0931-780 877-0 oder info@sidit.de.

    Haben Sie Fragen zu diesem Thema?

    Jetzt Kontakt aufnehmen

    Verwandte Beiträge

    Datenschutzpostfach: 15.000 € Bußgeld
    Datenschutz21. Juli 2025

    Datenschutzpostfach: 15.000 € Bußgeld

    Wegen einer nicht erreichbaren Datenschutz-E-Mail-Adresse verhängte ein Gericht ein Bußgeld von 15.000 €. Das Datenschutzpostfach ist keine Formalie.

    Weiterlesen
    Datenschutz: Kontrolle der Sub-Sub-Sub-Unternehmer in der Auftragsverarbeitung
    Datenschutz13. Nov. 2024

    Datenschutz: Kontrolle der Sub-Sub-Sub-Unternehmer in der Auftragsverarbeitung

    Ein Urteil des OLG Dresden und eine Stellungnahme des EDSA betonen die Pflicht zur lückenlosen Kontrolle der gesamten Auftragsverarbeitungskette. Erfahren Sie, wie Unternehmen Haftungsrisiken minimieren und DSGVO-Anforderungen erfüllen.

    Weiterlesen
    Online-Meetings aufzeichnen: KI, Datenschutz und § 201 StGB
    Datenschutz15. Okt. 2024

    Online-Meetings aufzeichnen: KI, Datenschutz und § 201 StGB

    Die Aufzeichnung von Online-Meetings und der Einsatz von KI für Transkripte werfen datenschutzrechtliche Fragen auf. Erfahren Sie, was § 201 StGB bedeutet und wann Einwilligungen nötig sind.

    Weiterlesen