DSGVO: Irische Datenschutzbehörde knöpft sich Twitter und WhatsApp vor

Die irische Datenschutzaufsicht verkündet erste größere Fortschritte in ihren "Big Tech"-Verfahren auf Basis der DSGVO. Zunächst soll Twitter bestraft werden.

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 78 Beiträge

(Bild: mixmagic/Shutterstock.com)

Von

Vor allem deutsche Datenschutzbeauftragte warten seit Langem auf umfangreiche Entscheidungen gegen die "großen Datenkraken" aus den USA auf Grundlage der Datenschutz-Grundverordnung (DSGVO). Die für die großen Tech-Konzerne in der Regel zuständige irische Datenschutzbehörde hat am Freitag nun angekündigt, einen ersten einschlägigen Fall zu einer nicht näher spezifizierten Datenpanne bei Twitter beschlussreif zu haben.

heise online daily Newsletter

Keine News verpassen! Mit unserem täglichen Newsletter erhalten Sie jeden Morgen alle Nachrichten von heise online der vergangenen 24 Stunden.

In der Auseinandersetzung geht es vor allem um die Frage, ob der Betreiber des sozialen Netzwerks das Leck rechtzeitig binnen 72 Stunden gemeldet und den Verstoß sowie die ergriffenen Abhilfemaßnahmen hinreichend dokumentiert hat.

Die in Dublin sitzende "Data Protection Commission" (DPC) hat nach eigenen Angaben einen Entwurf für die Entscheidung an den Europäischen Datenschutzausschuss (EDSA) geschickt, um ihn in den Gremien mit den Aufsichtsbehörden der anderen EU-Mitgliedsstaaten abzustimmen. Auf Twitter könnte so schon bald eine hohe Strafe zukommen: Die DSGVO sieht Bußgelder bis zu 20 Millionen Euro beziehungsweise vier Prozent des Jahresumsatzes eines Unternehmens vor.

Ferner habe man in dieser Woche einen vorläufigen Entscheidungsentwurf an WhatsApp geschickt, erklärte der stellvertretende irische Datenschutzbeauftragte Graham Doyle. Der Anbieter des Messenger-Dienstes habe damit noch die Möglichkeit, zu den Vorwürfen Stellung zu nehmen. Das Feedback werde die DPC in ihrem finalen Vorschlag berücksichtigen und dann ebenfalls den EDSA informieren.

Bei dem zu Facebook gehörenden WhatsApp untersucht die Behörde, ob sich der Konzern an die breiten Informationspflichten aus den Artikeln 12 bis 14 DSGVO gehalten hat. Teil des Falls ist die Frage, ob WhatsApp Nutzer ausreichend transparent darüber aufgeklärt hat, welche Daten an die Konzernmutter fließen.

Die DPC hat ihrer Mitteilung zufolge auch eine Untersuchung abgeschlossen, wie Facebook persönliche Daten verarbeitet. Hier sei die Phase der Entscheidungsfindung gestartet. Darüber hinaus habe sie in einem anderen Fall zu WhatsApp und einem weiteren zu Instagram, das ebenfalls zu Facebook gehört, Entwürfe für Untersuchungsberichte an die Beschwerdeführer und die betroffenen Unternehmen geschickt.

Die Ankündigungen erfolgten kurz vor dem Stichtag am Montag, an dem die DSGVO seit zwei Jahren gilt. Am Donnerstag hatte die DPC bereits bekannt gegeben, ihre erste Sanktion auf Basis der DSGVO verhängt zu haben. Diese traf aber keinen Technologiekonzern, sondern die nationale Kinder- und Familienbehörde Tusla.

Der Bundesdatenschutzbeauftragte Ulrich Kelber und einige seiner Kollegen versuchen seit Längerem, die Iren auch bei Facebook & Co. zum Jagen zu tragen. Die DPC entscheidet über Datenschutzverletzungen vieler US-Internetkonzerne, da diese ihren europäischen Hauptsitz in Irland haben. Sie gilt aber als chronisch unterbesetzt und kommt in den von ihr eingeleiteten Verfahren nur recht langsam voran. Der EDSA hatte im Februar gefordert, dass die Zusammenarbeit in diesem Bereich dringend verbessert werden müsse.

Seit die DSGVO in Kraft getreten ist, sind erst zwei Strafen gegen große Internetkonzerne ergangen: Der Hamburger Kontrolleur Johannes Caspar belegte die deutsche Facebook-Tochter mit einem Bußgeld in Höhe von 51.000 Euro, weil sie ihn nicht über den Wechsel ihres Datenschutzbeauftragten informiert hatte. Die französische Datenschutzbehörde CNIL verdonnerte Google zudem dazu, 50 Millionen Euro zu zahlen, da es an der wirksamen Einwilligung und der Transparenz gehapert habe.

(bme)