WhatsApp hat am Montag (17. Juli) seine Datenschutzrichtlinien aktualisiert und hat die Rechtsgrundlage für die Verarbeitung von Daten abgeändert, nachdem der irische Datenschutzbeauftragte im Januar eine Sanktion verhängt hatte.
Die Datenschutz-Grundverordnung (DSGVO), der EU-Rahmen für den Schutz der Privatsphäre, verlangt, dass Organisationen, die personenbezogene Daten verarbeiten, über eine Rechtsgrundlage verfügen, auf der sie dies tun können. Im Januar entschied die irische Datenschutzbehörde, dass die Rechtsgrundlage von WhatsApp nicht ausreichend sei und forderte den Betreiber auf, eine neue zu finden.
Der irische Datenschutzbeauftragte ist die führende Behörde für mehrere grenzüberschreitende Fälle, da die meisten Big-Tech-Unternehmen ihren europäischen Hauptsitz in Irland haben. Die Entscheidung der Aufsichtsbehörde folgte einer Reihe von Beschwerden der NGO für digitale Rechte NOYB, die von dem österreichischen Aktivisten Max Schrems geleitet wird.
NOYB stellte die „vertragliche“ Rechtsgrundlage von WhatsApps Muttergesellschaft Meta in Frage. Bevor die Europäische Datenschutz-Grundverordnung in Kraft trat, änderte jede Plattform, die Meta gehört, ihre Geschäftsbedingungen dahingehend, dass die Nutzer bereits durch die Nutzung des Dienstes der Verarbeitung ihrer persönlichen Daten zustimmten.
Die irische Datenschutzaufsichtsbehörde stellte sich zunächst auf die Seite von Meta, wurde aber vom Europäischen Datenschutzausschuss, in dem alle EU-Datenschutzbehörden vertreten sind, überstimmt. Infolgedessen wurde WhatsApp zu einer Geldstrafe von 5,5 Millionen Euro verurteilt, während Facebook und Instagram 210 Millionen Euro beziehungsweise 180 Millionen Euro zahlen mussten.
Übergang zu „berechtigte Interessen“
WhatsApp hat zusammen mit den anderen Meta-Diensten gegen die Entscheidung Berufung eingelegt, muss sich aber in der Zwischenzeit fügen und auf eine neue Rechtsgrundlage umstellen, die auf der Idee des „berechtigten Interesses“ beruhen soll.
Laut WhatsApp können die Nutzer im Rahmen des berechtigten Interesses weiterhin der Verwendung ihrer Daten widersprechen.
Präzedenzfälle deuten jedoch darauf hin, dass diese Rechtsgrundlage ebenfalls fragwürdig sein könnte. Letztes Jahr warnten italienische Behörden vor der Verwendung der Rechtsgrundlage des berechtigten Interesses für die Bereitstellung personalisierter Werbung.
Darüber hinaus hat der Europäische Gerichtshof (EuGH) vor kurzem entschieden, dass die Verwendung personenbezogener Daten durch Facebook für Online-Werbung ohne die explizite Zustimmung der Nutzer nicht gerechtfertigt werden kann.
„Wie von der irischen Datenschutzkommission angeordnet, haben wir die Rechtsgrundlage, auf die wir uns zur Verbesserung unserer Dienste und zu Sicherheitszwecken in der Europäischen Region stützen, aktualisiert. Dies ändert nichts an unserem Engagement für den Schutz der Privatsphäre der Nutzer, und die Aktualisierungen der Datenschutzrichtlinie für die Europäische Region ändern nichts an der Art und Weise, wie wir mit Nutzerdaten umgehen“, sagte ein Sprecher von WhatsApp gegenüber EURACTIV.
Der Sprecher fügte hinzu, dass „wo auch immer Sie sich auf der Welt befinden, wir alle persönlichen Nachrichten mit einer Ende-zu-Ende-Verschlüsselung schützen, was bedeutet, dass niemand, nicht einmal WhatsApp, sie lesen oder abhören kann.“
Das Unternehmen stellte klar, dass die Änderungen keine Auswirkungen auf die Nutzer, die Verschlüsselung oder die gemeinsame Nutzung von Daten mit anderen Meta-eigenen Plattformen haben werden.
Policy Updates
In der Vergangenheit stand WhatsApp auch im Visier der Verbraucherschutzbehörden, nachdem das Unternehmen im Januar 2021 seine Datenschutzrichtlinien und Geschäftsbedingungen aktualisiert hatte.
Mehrere Verbraucherorganisationen hatten sich darüber beschwert, dass das Unternehmen Nutzer in unzulässiger Weise unter Druck gesetzt habe, die Änderungen zu akzeptieren, ohne deren Auswirkungen ordnungsgemäß zu erläutern; diese Beschwerden wurden von den zuständigen Behörden als begründet erachtet.
Die App wurde daraufhin aufgefordert, einige Abhilfemaßnahmen zu ergreifen. So sollten die Änderungen und ihre Auswirkungen auf die Rechte der Nutzer erklärt werden. Ebenfalls sollte den Nutzern die Möglichkeit gegeben werden, die Aktualisierung ebenso deutlich abzulehnen wie zu akzeptieren, und es sollte sichergestellt werden, dass die Nutzer ihre Entscheidung aufschieben können, ohne durch wiederkehrende Benachrichtigungen unter Druck gesetzt zu werden.
EURACTIV geht davon aus, dass WhatsApp nach diesen Maßnahmen seine Datenschutzbestimmungen einige Male aktualisiert hat, ohne dass es zu ähnlichen Problemen kam.
[Bearbeitet von Luca Bertuzzi/Nathalie Weatherald/Kjeld Neubert]