Es hat länger gedauert als erwartet oder auch als nötig, aber nun hat die Irische Datenschutzkommission nach dreijähriger Prüfung gegen die Facebook-Tochter WhatsApp eine Geldbuße in Höhe von 225 Millionen Euro verhängt, weil das Unternehmen eklatant gegen die Datenschutz-Grundverordnung verstoßen hat. Das ist die zweithöchste Geldbuße, die eine europäische Aufsichtsbehörde bisher gegen ein Unternehmen verhängt hat (die höchste in Höhe von 746 Millionen wurde in Luxemburg gegen Amazon verhängt). Die WhatsApp-Entscheidung hat eine (zu) lange Vorgeschichte, aber der Fall belegt entgegen manchen Unkenrufen, dass das mit der Grundverordnung neu eingeführte System der Koordination zwischen den Datenschutzbehörden in Europa funktioniert. Zunächst hatte es den Anschein, dass die irische Behörde WhatsApp mit seinen unzureichenden Informationen für die Nutzer verhältnismäßig billig davon kommen lassen wollte. Auch in anderen Fällen ist die irische Datenschutzkommission nicht für besondere Strenge gegenüber den zahlreichen US-Unternehmen mit europäischer Hauptniederlassung in Irland bekannt. Teilweise wurden die Verfahren geradezu dilatorisch betrieben. In einem anderen Facebook betreffenden Fall hatte der frühere Hamburgische Datenschutzbeauftragte vergeblich versucht, über eine Eilanordnung für die Nutzer in Deutschland den Datenschutz zumindest vorläufig zu gewährleisten. Der Europäische Datenschutzausschuss, in dem alle Aufsichtsbehörden der Union vertreten sind, lehnte dies allerdings ab. Nun aber hat der Ausschuss im Fall WhatsApp vor allem dank der Intervention des deutschen Bundesbeauftragten für den Datenschutz, aber auch anderer Aufsichtsbehörden, in seiner ersten verbindlichen Entscheidung seit Inkrafttreten der Grundverordnung der irischen Datenschutzkommission detailliert ins Stammbuch geschrieben, weshalb ihre Auslegung des europäischen Datenschutzgesetzes fehlerhaft war <https://edpb.europa.eu/our-work-tools/our-documents/binding-decision-board-art-65/binding-decision-12021-dispute-arisen_en>. Das betrifft sowohl die Interpretation der Vorschriften über die nötige Transparenz als auch die Höhe des Bußgelds. Auch wenn dieses noch unter dem in der Grundverordnung vorgesehenen Höchstbetrag liegt (der hätte bei 4% des in 2020 erwarteten Jahresumsatzes des Facebook-Konzerns von knapp 81 Milliarden Dollar gelegen, das entspricht rd. 2,7 Milliarden Euro), so ist jetzt doch deutlich, dass Sanktionen für Datenschutzverstöße nicht mehr aus der Portokasse beglichen werden können. Auch ist zu hoffen, dass künftig nicht jede Entscheidung der für viele Internet-Unternehmen zuständigen irischen Behörde erst vom Europäischen Datenschutzausschuss in einem langwierigen Verfahren korrigiert werden muss.
Alexander Dix