Irlands Datenschützer haben eine Strafe in Höhe von 225 Millionen Euro gegen WhatsApp verhängt. Der Vorwurf: fehlende Transparenz bei der Weitergabe persönlicher Nutzerdaten. WhatsApp hat angekündigt in Berufung zu gehen.

Die Ermittlungen in diesem Fall wurden bereits im Dezember 2018 aufgenommen. WhatsApp wurde vorgeworfen, nicht den Bestimmungen der DSGVO zu folgen und die Erfassung und Weitergabe persönlicher Nutzerdaten nicht transparent zu machen. Im Besonderen ging es dabei um den Datenaustausch zwischen WhatsApp und anderen Unternehmen der Facebook-Gruppe, zu der seit 2014 auch WhatsApp gehört.

WhatsApp und Facebook immer wieder in der Kritik

WhatsApp steht schon lange in der Kritik, Daten an den Mutterkonzern Facebook weiterzuleiten.
Bereits 2017 wurde Facebook zu einer Strafe von 110 Millionen verurteilt, weil das Unternehmen 2014 behauptet hatte, es sei nicht möglich Nutzerdaten von WhatsApp mit anderen Diensten der Facebook-Gruppe zusammenzuführen – dies später aber doch gemacht hatte.

Ein Blick in die aktuelle Datenschutzrichtlinie zeigt deutlich, dass auch weiterhin sehr wohl Daten ausgetauscht werden:

„Als Teil der Facebook-Unternehmen erhält WhatsApp Informationen von anderen Facebook-Unternehmen und teilt auch Informationen mit anderen Facebook-Unternehmen […]“ WhatsApp – Datenschutzrichtlinie

„WhatsApp arbeitet auch mit den anderen Facebook-Unternehmen zusammen und teilt Informationen mit diesen […]“ WhatsApp – Datenschutzrichtlinie

Als Zweck dieses Datentransfers wird in der Datenschutzrichtlinie das Fördern von Sicherheit und Integrität der Dienste bzw. das Verbessern, Betreiben, Anpassen und Vermarkten der Dienste angegeben.

Und Facebook liest doch mit!

Was die Inhalte der Chats betrifft, so verweist WhatsApp auf seine Ende-zu-Ende Verschlüsselung. Heißt: Die Nachricht wird auf dem Gerät des Senders verschlüsselt und erst auf dem Gerät des Empfängers wieder entschlüsselt. Niemand – auch nicht das Unternehmen selbst – könne die Nachrichten einsehen.

„Die Ende-zu-Ende-Verschlüsselung stellt sicher, dass nur du und die Person, mit der du kommunizierst, lesen bzw. hören könnt, was gesendet wurde – und niemand dazwischen, nicht einmal WhatsApp“ WhatsApp – Sicherheit und Datenschutz

Das Investigative Journalistennetzwerk ProPublika beschreibt in einem Beitrag „How Facebook Undermines Privacy Protections for Its 2 Billion WhatsApp Users“, wie Facebook das Versprechen umgeht: Nachrichten die über den „Report“-Button als vermeintliche Verstöße gegen die Nutzungsbedingungen gemeldet werden, werden unverschlüsselt an des Unternehmen gesendet.

„WhatsApp erhält die neuesten Nachrichten, die du von dem gemeldeten Benutzer oder der gemeldeten Gruppe empfangen hast, sowie Informationen zu deinen neuesten Interaktionen mit diesem Benutzer oder dieser Gruppe.“ WhatsApp – Sicherheit und Datenschutz

Wird eine Nachricht gemeldet, so werden laut ProPublika die entsprechende Nachricht, sowie die vier Vorherigen des Absenders inklusive aller Bilder und Videos in unverschlüsselter Form an WhatsApp geleitet. Diese Nachrichten werden von Mitarbeitern – mehr als tausend davon soll es laut ProPublica für diese Aufgabe geben – schließlich bezüglich der gemeldeten Verstöße geprüft.

Metadaten abgegriffen

WhatsApp könne zumindest in dieser Hinsicht nicht komplett alle Nachrichten mitlesen, aber das Prozedere über die Meldefunktion sei letztendlich auch nur ein Teil einer breiter angelegten Überwachung. Zusätzlich würden automatisiert die unverschlüsselten Daten der Nutzer erfasst und mit verdächtigen Kontoinformationen und Nachrichtenmustern abgeglichen. Teil dieser Daten seien Name, Profilbild, Statusnachricht, Telefonnummer, IP-Adresse, Telefon-ID und Facebook- und Instagram Konten des Nutzers. Diese Daten ließen sich mit anderen Inhalten verknüpfen.

Entsprechende Vorwürfe kratzen weiterhin am Bild des sicheren Messengers, das der Konzern selbst gerne zeichnet. Dass WhatsApp – anders als Facebook und Instagram – keine entsprechenden Transparenz-Reports, die eine prüfende und moderierende Tätigkeit der Mitarbeiter offenlegen, herausgibt, ist ebenfalls Anlass zur Kritik.

Max Schrems zum Urteil

Der Datenschützer Max Schrems von Noyb hat sich zum Urteil zu Wort gemeldet, seine Organisation begrüße die erste Entscheidung der irischen Aufsichtsbehörde. Er relativiert aber auch, die 225 Millionen Euro entsprächen lediglich 0,08 Prozent des Umsatzes der Facebook Gruppe, die DSGVO sehe aber Geldbußen von bis zu vier Prozent des Umsatzes vor. Zudem habe die DPC von anderen europäischen Datenschutzbehörden erst gezwungen werden müssen, die Strafe von ursprünglich 50 Millionen Euro auf 225 Millionen Euro zu erhöhen. Das zeige, dass die irische Datenschutzbehörde immer noch extrem dysfunktional sei.

Die Irische Datenschutzbehörde DPC (Data Protection Commission) spielt häufig eine Schlüsselrolle bei Verfahren gegen internationale Tech Unternehmen, die aus steuerlichen Gründen ihre Hauptsitze für den Europäischen Raum gerne nach Irland verlegen.

WhatsApp hat Berufung angekündigt

WhatsApp bezeichnet die Strafe als „vollkommen unangemessen“ und will in Berufung gehen. Laut Schrems zeigt sich hier ein weiteres Problem: „Im irischen Gerichtssystem bedeutet das, dass es Jahre dauern wird, bis die Strafe tatsächlich gezahlt wird.“ Er könne sich vorstellen, dass die DPC einfach nicht zu viele Ressourcen in den Fall stecken oder sich mit WhatsApp in Irland irgendwann „einigen“ werde. Gleichzeitig kündigt Schrems auch an: „Wir werden diesen Fall genau beobachten, um sicherzustellen, dass die Datenschutzbehörde diese Entscheidung auch wirklich umsetzt.“