"Stinkefinger": WhatsApp kommt bei Einwilligungstrick mit kleiner Strafe davon
WhatsApp soll laut der irischen Datenschutzbehörde 5,5 Millionen Euro für seine Praxis zur "Zwangseinwilligung" zahlen. Max Schrems beklagt Arbeitsverweigerung.
(Bild: BigTunaOnline/Shutterstock.com)
Nach Facebook und Instagram hat die irische Datenschutzbehörde jetzt auch WhatsApp für den Einwilligungstrick in eine breit gefasste Verarbeitung personenbezogener Informationen von Nutzern bestraft. Der Messaging-Anbieter, der wie die anderen beiden Plattformbetreiber zum US-Konzern Meta gehört, kommt dabei aber vergleichsweise glimpflich davon. Während Facebook 210 und Instagram 180 Millionen Euro zahlen sollen, was Kritiker bereits als viel zu niedrig ansehen, veranschlagten die Kontrolleure bei dem Dritten im Bunde nur 5,5 Millionen Euro.
Versteckte Zustimmung
Alle drei Fälle brachte der österreichische Datenschutzaktivist Max Schrems mit seiner Organisation Noyb in die Gänge. Diese reichte die Beschwerden gegen die den Nutzern abgeforderte "Zwangseinwilligung" im Mai 2018 direkt mit dem Greifen der Datenschutz-Grundverordnung (DSGVO) ein. Im Fall von WhatsApp agierte Noyb dabei im Namen eines deutschen Users. Der Kernvorwurf lautete jeweils, die Dienste hätten datenhungrige Services wie gezielte Werbung als Leistung für die Nutzer ausgegeben und die Zustimmung zum Online-Tracking einfach in die Allgemeinen Geschäftsbedingungen eingebaut.
Mit ihrer neuen Entscheidung bestätigt die Data Protection Commission (DPC), dass Meta WhatsApp-Nutzer nicht zwingen darf, die Verwendung ihrer Daten für "Serviceverbesserungen" und "Sicherheitsfunktionen" mit abzunicken. Den wesentlichen Punkt der Verarbeitung der persönlichen Informationen für "verhaltensbezogene Werbung, für Marketingzwecke sowie für die Bereitstellung von Statistiken an Dritte und den Austausch von Daten mit verbundenen Unternehmen" behandelte die Behörde aber gar nicht. Der Europäische Datenschutzausschuss (EDSA) als übergeordnetes Gremium hatte die DPC aber aufgefordert, auch diese Fragen mit zu untersuchen.
WhatsApp bietet selbst zwar keine personalisierte Werbung an. Noyb geht aber davon aus, dass der Anbieter Metadaten an Facebook und Instagram weitergebe, die wiederum dort für gezielte Reklame verwendet würden. Diese Verbindungs- und Standortdaten gäben viele Informationen über das Kommunikationsverhalten der Nutzer und ihr soziales Gefüge preis, etwa wer mit wem wann kommuniziert, wer die App wann, wie lange und wie oft nutzt. Im Gegensatz zu den ausgetauschten Inhalten sind die Metadaten unverschlüsselt.
Kritik an irischer Behörde
Schrems zeigte sich erstaunt, wie die DPC nach einem 4,5-jährigen Verfahren und den damit verknüpften Mehrkosten "den Kern des Falles einfach ignoriert". Auch die verbindliche Entscheidung des EDSA habe die Aufsichtsinstanz offensichtlich nicht beachtet. Man könnte glauben, dass die DPC endgültig alle Verbindungen zu den anderen EU-Behörden und zu den Anforderungen des EU- und des irischen Rechts kappe und außerdem den Partnern "endgültig den Stinkefinger" entgegenstrecke. Die vom EDSA in Auftrag gegebenen weitergehenden Untersuchungen lehnt die irische Behörde –genauso wie bei Facebook und Instagram – ab. Soweit das Gremium seine Befugnisse überschreiten könnte, hält sie es für angemessen, "eine Nichtigkeitsklage vor dem Europäischen Gerichtshof zu erheben".
WhatsApp beabsichtigt derweil, die Entscheidung der DPC anzufechten. "Wir sind der festen Überzeugung, dass die Art und Weise, wie der Dienst funktioniert, sowohl technisch als auch rechtlich konform ist", erklärte das Unternehmen. Der EDSA überstimmte in der Auseinandersetzung den Beschlussentwurf der irischen Aufsicht zum sechsten Mal in Folge und drängte auf Verschärfungen. Die DPC gilt seit Langem als "Flaschenhals" bei der DSGVO-Umsetzung in der ganzen EU.
- WhatsApp bei heise Download
(mho)
