Bußgelder wegen unrechtmäßiger Datenverarbeitung

Personenbezogene Daten dürfen nach Art. 6 DS-GVO nur verarbeitet werden, wenn diese explizit von einer Rechtsgrundlage gestattet ist. Die meisten möglichen Rechtsgrundlagen sind in Art. 6 Abs. 1 S. 1 lit. a) bis f) DS-GVO aufgelistet. Hierzu gehören

• die Anbahnung eines Vertrags
• die Erfüllung einer vertraglichen Pflicht
• die Erfüllung einer gesetzlichen Pflicht
• der Schutz lebenswichtiger Interessen
• die Wahrnehmung öffentlich-rechtlicher Aufgaben
• das überwiegende berechtigte Interesse des Unternehmens oder eins Dritten
• die Einwilligung in die Datenverarbeitung

Für spezielle Daten oder Bereiche wie etwa nach Art. 9 DS-GVO besonders sensible Daten oder Datenverarbeitungen im Beschäftigungsverhältnis gibt es weitere Normen mit zusätzlichen Rechtsgrundlagen. Ist keine der Rechtsgrundlagen einschlägig oder sind die Anforderungen an die Rechtsgrundlage nicht erfüllt (z. B. weil nicht alle Voraussetzungen an eine wirksame Einwilligung erfüllt sind oder die Interessensabwägung zu Gunsten der Betroffenen ausging), ist die Verarbeitung der Daten unzulässig. Solch unrechtmäßige Verarbeitungen persönlicher Daten wurden bereits mehrfach von deutschen und anderen europäischen Aufsichtsbehörden sanktioniert.

Deutschland

Die Berliner Beauftragte für den Datenschutz und Informationsfreiheit (BInBDI) hat gegen ein Unternehmen Bußgelder mit einer Gesamtsumme von 215.000 Euro verhängt, nachdem sie durch Medienberichte und eine Beschwerde eines Betroffenen von einem Verstoß Kenntnis erlangt und diesen anschließend geprüft hatte. Eine Vorgesetzte führte auf Weisung der Geschäftsführung eine tabellarische Übersicht aller Beschäftigten in der Probezeit, um eventuelle Kündigungen vorzubereiten. In dieser Tabelle wurden alle Mitarbeiter in Probezeit aufgelistet. Bei Arbeitnehmern mit der Bewertung „kritisch“ bzw. „sehr kritisch“ erfolgten in einer Spalte mit dem Titel „Begründung“ Angaben zu persönlichen Äußerungen, gesundheitlichen und außerbetrieblichen Gründen, die gegen eine Schichtarbeit sprechen, ein mögliches Interesse an der Gründung eines Betriebsrates und die regelmäßige Teilnahme an einer Psychotherapie. Diese Informationen hatten die Mitarbeiter dem Unternehmen unter anderem für die Dienstplanung mitgeteilt, eine weitere Verarbeitung ihrer Daten war ihnen allerdings nicht bekannt.

Die BInBDI stellte fest, dass die Erhebung, Speicherung und Verwendung von Beschäftigtendaten stets im zulässigen Zusammenhang mit dem Beschäftigungsverhältnis erfolgen müssen. Dies war hier gerade nicht der Fall. Außerdem dürfen Arbeitgeber von Beschäftigten selbst mitgeteilte Informationen nicht einfach weiterverarbeiten. Sie müssen prüfen, ob die Verarbeitung erforderlich und angemessen ist. Für die Festsetzung der Höhe des Bußgelds bezog die BInBDI den Umsatz des Unternehmens und die Anzahl der betroffenen Mitarbeiter mit ein. Erschwerend kam hinzu, dass es sich bei der Verarbeitung von Gesundheitsdaten ohne Rechtsgrundlage um einen schwerwiegenden Verstoß handelt. 40.000 Euro des Bußgelds wurden verhängt, da der betriebliche Datenschutzbeauftragte bei der Erstellung der Liste nicht beteiligt wurde, es zu einer verspäteten Meldung einer Datenpanne kam und die Liste im Verarbeitungsverzeichnis nicht erwähnt wurde. Zur Minderung des Bußgelds wurde berücksichtigt, dass das Unternehmen umfassend kooperierte und den Verstoß aus eigenem Antrieb abgestellt hat.

Das Bußgeld wurde gegen eine Online Bank verhängt. Die Online Bank führte eine „schwarze Liste“ mit Daten von ehemaligen Kunden. Eine solche Liste ist jedoch nur zulässig, wenn es sich um Kunden handelt, die unter Geldwäscheverdacht stehen. Die auf der schwarzen Liste geführten Personen konnten so keine Konten mehr eröffnen.

Eine Modekette sammelte im großen Umfang private Informationen ihrer Mitarbeiter und speicherte diese in einem Dateiordner ab. Unter den Daten waren auch Angaben zu privaten Beziehungen und zum Gesundheitszustand der Mitarbeiter, die unter Art. 9 DS-GVO fallen und als besonders sensibl gelten. Trotz zahlreicher Abhilfemaßnahmen und einer Entschädigungszahlung an die betroffenen Mitarbeiter verhängte die Behörde aufgrund des massiven Verstoßes ein Bußgeld in zweistelliger Millionenhöhe.

 Belgien

Ein Telekommunikationsunternehmen produzierte regelmäßig ein eigenes öffentliches Telefonbuch. Der Betroffene wollte in diesem nicht mehr aufgeführt werden und widerrief seine Einwilligung zur Verarbeitung seiner personenbezogenen Daten. Das Unternehmen kam seiner Zusicherung, die Datenverarbeitung einzustellen und andere Herausgeber über den Widerruf zu unterrichten, nicht nach.

Die Daten fanden sich später sowohl im eigenen Verzeichnis des Unternehmens als auch in denen der anderen Herausgeber wieder.

Italien

Die italienische Aufsichtsbehörde ermittelte nach einem Hinweis der Gewerkschaft gegen die Region Latium wegen Überwachung der E-Mail-Konten von Beschäftigten der Rechtsabteilung. Im Rahmen der Untersuchung stellte sich heraus, dass die Region die Überwachung eingeleitet hatte, weil der Verdacht einer Weitergabe von Informationen an Dritte bestand, die durch das Amtsgeheimnis geschützt sind. Hierbei wurden Daten der Beschäftigten 180 Tage lang gespeichert und analysiert, die nicht nur arbeitsbezogene Informationen, sondern auch personenbezogene Daten über die Privatsphäre betrafen. Die Aufsichtsbehörde stellt fest, dass die Region zum betreffenden Zeitpunkt keine gültige Rechtsgrundlage für eine so umfangreiche Erhebung personenbezogener Daten hatte.

Ein Unternehmen dokumentierte in einem Produktivitätsmanagementsystem (PPMS) Performance-Daten von Beschäftigten. Die Informationen sollten der Bewertung von Arbeitsfortschritten sowie der Identifikation etwaiger  Sicherheits-, Qualitäts- oder Logistikprobleme dienen und wurden auf unbestimmte Zeit gespeichert. Allerdings konnte durch die Zusammenführung mit anderen Verzeichnissen und Protokollen Rückschlüsse auch die Beschäftigten gezogen werden. Über diese Verarbeitung wurden die Beschäftigten nicht ordnungsgemäß informiert. Die Aufsichtsbehörde sah darin Verstöße gegen die Prinzipien der Rechtmäßigkeit, Transparenz und Speicherbegrenzung.

Ein italienisches Unternehmen hatte den E-Mail-Account eines ehemaligen Mitarbeiters nach Ende des Beschäftigungsverhältnisses weiter aktiv gehalten und konnte auf die gesamte Kommunikation des Betroffenen zugreifen. Dem betreffenden ehemalige Mitarbeiter wurde allerdings mitgeteilt, dass das Postfach und die Inhalte nach 60 Tagen gelöscht werden, wenn das Arbeitsverhältnis beendet wurde. Über den Weiterbetrieb wurde er nicht informiert.

Ein Mitarbeiter der Stadt Neapel beschwerte sich bei der zuständigen Datenschutzaufsichtsbehörde, da sein Arbeitgeber den Bericht zur Vorbereitung eines Disziplinarverfahrens in das Computerportal der Stadt eingestellt hatte, wo er auch von unbefugten Kollegen eingesehen werden konnte. Darüber hinaus wurde das Dokument per E-Mail und WhatsApp weiteren Personen geschickt.

Ein Callcenter-Betreiber hatte es seinen Mitarbeitern im Rahmen der „Clean Desk Policy“ untersagt, private Gegenstände auf dem Tisch zu haben. Medikamente, die Arbeitnehmer während der Arbeitszeit einnehmen mussten, waren hiervon nur insoweit ausgenommen, dass diese in den Pausen aus dem Spind geholt werden mussten. Sie durften nur am Arbeitsplatz gelagert werden, wenn dies zwingend erforderlich war, der Arbeitgeber informiert wurde und die Notwendigkeit vom Betriebsarzt bestätigt wurde. Die Aufsichtsbehörde stellte fest, dass keine Einwilligung für die Verarbeitung von Gesundheitsdaten vorlag und die Mitarbeiter nicht über die Verarbeitung informiert wurden. Zudem verstoße das Vorgehen gegen den Grundsatz der Datenminimierung.

Zur Neukundenakquise beauftragte ein Unternehmen ein Callcenter, für ein drittes Unternehmen neue Kunden zu akquirieren. Zur Akquise nutze das Callcenter seine eigenen Kontakte. Hatten die Angerufenen Interesse am Abschluss eines Vertrags, wurden ihre Daten an das Unternehmen weitergeleitet. Das beauftragende Unternehmen als verantwortliche Stelle wurde dabei nirgends erwähnt und alle Vorgänge erfolgten, ohne die Betroffenen über die Datenverarbeitung zu informieren und sie über ihre Rechte aufzuklären Zudem lag keine schriftliche Einwilligung der angerufenen Personen vor, die für die telefonische Kaltakquise zwingend erforderlich gewesen wäre. Die Behörde stellte 78 Verstöße wegen unrechtmäßiger Datensammlung und 155 Verstöße wegen unzulässiger Datenverarbeitung fest.

Ein Supermarktbetreiber veröffentlichte die Kündigung gegenüber seinem Mitarbeiter für alle Kunden und Mitarbeiter sichtbar am schwarzen Brett des Marktes. Die Behörde kam zu dem Ergebnis, dass diese Veröffentlichung ohne Rechtsgrund erfolgte und zudem gegen den Grundsatz der Verhältnismäßigkeit verstieß.

Ein Mobilfunkunternehmen verarbeitete personenbezogene Daten zu Werbezwecken ohne (wirksame) Einwilligung der Betroffenen. Zudem verstießen Geschäftspraktiken gegen die Vertraulichkeit und Integrität von Daten oder waren nicht mit den datenschutzrechtlichen Grundsätzen vereinbar. Das Unternehmen wollte unter anderem Verträge abschließen, in dem der Betroffene auf Video aufgezeichnet wird, während er erklärt, den Vertrag abschließen zu wollen. Hinzu kommt, dass bei der Speicherung und Verarbeitung von Telefon- und Telematikverkehrsdaten kein angemessenes Schutzniveau gewährleistet war.

Der Verantwortliche eines italienischen Theaters veröffentlichte ein Dokument auf der Website des Theaters, welches neben den Namen der Mitarbeiter auch sensible Gesundheitsdaten enthielten. So konnte man durch die auf dem Dokument angegebenen Daten Rückschlüsse auf die Gesundheit der Mitarbeiter ziehen.

Lettland

Ein lettisches Unternehmen hatte eine Rundmail an alle Mitarbeiter versendet, um diese über den Gesundheitszustand eines Kollegen zu informieren, bei dem zuvor eine Infektionskrankheit diagnostiziert wurde. Bei der Bemessung der Bußgeldhöhe berücksichtigte die Aufsichtsbehörde positiv, dass es sich um einen Einzelfall handelte.

 Niederlande

Ein niederländisches Unternehmen erfragte und speicherte bei der Erfassung von Krankheitstagen auch Krankheitsursachen, spezifische Beschwerden sowie Schmerzen der betroffenen Beschäftigten. Die Aufsichtsbehörde betonte, dass bereits die Frage nach Gründen und Ursachen unzulässig ist, soweit dies nicht für das Beschäftigungsverhältnis bzw. für Gefahrensituationen relevant ist (z. B. Epilepsie). Eine solch umfangreiche Dokumentation sei nicht erforderlich. Außerdem wurden bei dem Online-Formular, über das Beschäftigte Krankheitstage melden konnten, nur unzureichende Sicherheitsmaßnehmen getroffen. Der Zugriff erfolgte mittels einfachen Logins.

Ein niederländisches Unternehmen führte im Jahr 2017 unangekündigt ein Zeiterfassungssystem ein, bei dem die Mitarbeiter ihre Zeiten über einen Fingerabdruckscan erfassen mussten. Dadurch sollte ein missbräuchlicher Gebrauch verhindert werden. Der Verantwortliche konnte allerdings keine wirksame Einwilligung der Beschäftigten nachweisen. Eine Ausnahmeregelung zum Einwilligungserfordernis lag nach Ansicht der Aufsichtsbehörde nicht vor, der Fingerabdruckscan sei weder erforderlich noch verhältnismäßig. Zudem waren die Daten neben dem Zeiterfassungssystem auch in einem anderen Dateisystem gespeichert. Unter den gespeicherten Informationen befanden sich auch biometrische Daten von bereits ausgeschiedenen Mitarbeitern.

Österreich

Der Betreiber eines Kundenbindungsprogramms erstellte im Rahmen des Profilings individuelle Kundenprofile, wofür die Einwilligung der betroffenen Personen erforderlich ist. Die benötigten Zustimmungen wurden zwar augenscheinlich eingeholt, allerdings waren die Erklärungen versteckt und damit unwirksam. Die Informationen über die Datenverarbeitung waren so positioniert und formuliert, dass die Einwilligung zum Profiling effektiv verschleiert wurde, da sie für die betroffenen nicht erkennbar war. Damit waren die Anforderungen an eine wirksame Einwilligung nicht erfüllt und das Profiling der rund 2,3 Millionen betroffenen Nutzer unrechtmäßig.

Die Aufsichtsbehörde ermittelte bereits im Vorfeld gegen das Unternehmen, woraufhin der Prozess umgestellt, sodass die Einwilligungen ab dann ordnungsgemäß eingeholt wurden. Die Verarbeitung der bereits erhobenen Daten, für die keine wirksame Zustimmung vorlag, wurde allerding fortgesetzt. Daraufhin  verhängte die österreichische Datenschutzaufsicht ein Bußgeld in Höhe von 2 Millionen Euro, wobei dich die eher schlechte wirtschaftliche Situation aufgrund der COVID-19-Pandemie mildernd berücksichtigt wurde.

 Polen

Die Geldbuße betraf das Verfahren im Zusammenhang mit der Tätigkeit eines Unternehmens, das die Daten der betroffenen Personen aus öffentlich zugänglichen Quellen verarbeitete und die Daten für kommerzielle Zwecke nutzte. Das Unternehmen hat aus Kostengründen ausschließlich die Betroffenen informiert, deren E-Mail-Adressen bekannt waren. Die Übrigen wurden nicht direkt in Kenntnis gesetzt, sondern nur über eine Informationsklausel auf der Website. Dies reicht nach Ansicht der polnischen Aufsichtsbehörde nicht aus.

Rumänien

Ein rumänisches Unternehmen verschickte eine Rundmail mit offenem Verteiler an 295 Bewerber. Dadurch wurden die E-Mail-Adressen der Betroffenen unbefugten Dritten offengelegt und die Vertraulichkeit der Daten verletzt.

 Spanien

Ein Betroffener füllte zur Geltendmachung von Verbraucheransprüchen wegen zu lauter Musik in einem Restaurant ein entsprechendes Formular aus. Der Verantwortliche erhielt eine Kopie dieses Formulars, welche er vervielfältigte. Mitarbeiter des Restaurants verteilten die Kopien wiederum an weitere Gäste, die bei dem betreffenden Vorfall ebenfalls anwesend waren. Nach Angaben war der Fehler unbeabsichtigt, es sollten lediglich Kontaktdaten von Zeugen aufgenommen werden.

Ein spanischer Sportklub veröffentlichte Foto- und Videoaufnahmen von einem Training auf dem sozialen Netzwerk „Instagram“. Darauf zu sehen waren unter anderem auch die zehn und zwölf Jahre alten Töchter einer Mutter, die dem Sportklub explizit untersagte, Aufnahmen anzufertigen und zu veröffentlichen. Sie legte deshalb Beschwerde bei der Datenschutzaufsicht ein, die den Verstoß des Clubs mit einer Geldbuße in Höhe von 5.000 Euro ahndete.

Ein Unternehmen hatte den Betroffenen unzulässigerweise an ein Kreditauskunftsverzeichnis gemeldet. Zwar hatte dieser tatsächlich Schulden bei dem Unternehmen, die beiden Parteien befanden sich allerdings noch in Schlichtungsverhandlungen vor der Verbraucherschlichtungsstelle Asturien. Damit fehlte es einer Berechtigung für die Datenweitergabe. Das Bußgeld wurde wegen sofortiger Zahlung auf 20.000 Euro reduziert.

Ein Energieunternehmen hatte im Rahmen eines Anbieterwechsels Kundendaten von einem anderen Energieversorger erhalten, gesammelt und unter anderem für die Rechnungserstellung verwendet. Für den Anbieterwechsel und die damit verbundene Weitergabe der Kundendaten fehlte es allerdings an der Einwilligung des Betroffenen.

Ein Betroffener hatte nach Ende des Vertrages mit Vodafone Spanien weiterhin Rechnungen per E-Mail erhalten, obwohl keine Zahlungen mehr ausstanden. Zudem hatte er gegen den Versand mehrfach Widerspruch erhoben und forderte das Unternehmen auf, seine Daten zu löschen – ohne Erfolg. Bei der Bemessung der Bußgeldhöhe kam besonders erschwerend hinzu, dass gegen Vodafone wegen der gleichen Sache bereits zwei Bußgelder verhängt wurden. Nach Schuldanerkenntnis und aufgrund sofortiger Zahlung wurde das Bußgeld von 200.000 Euro auf 120.000 Euro reduziert.

Da es die Mitarbeiter einer Filiale eines Telekommunikationsdienstleisters unterließen, die Identität eines vermeintlichen Kunden zu authentifizieren, wurde die Rufnummer eines betroffenen Kindes fälschlicherweise auf einen unberechtigten Dritten umgeschrieben. Dieser erhielt unter Vorgabe falscher Tatsachen eine Ersatz-SIM-Karte und die Karte des Betroffenen wurde gesperrt.

Eine Bank hatte ihren Kunden keine Möglichkeit eingeräumt, beim Akzeptieren der Datenschutzbestimmungen die Einwilligung für die Übermittlung der Daten an andere Mitglieder der Unternehmensgruppe zu verweigern. Zudem entsprachen die Datenschutzinformationen für Kunden nicht den Anforderungen an die Transparenz.

Der Verantwortliche hat per WhatsApp ein Dokument an einen Dritten geschickt, das Vor- und Nachname sowie Personalausweisnummer (DNI) einer Mutter und ihrer zwei Kinder enthielt. Er hatte die Betroffenen weder informiert noch deren Einwilligung eingeholt.

Eine Bank kontaktierte einen ehemaligen Kunden im Zusammenhang mit einer Rechtsangelegenheit. Dieser hatte allerdings bereits seit 16 Jahren weder eine geschäftliche noch vertragliche eine Beziehung zu der Bank mehr. Die Bank konnte auch nicht darlegen, weshalb die Kundendaten über einen derart langen Zeitraum gespeichert wurden.

Ein Telekommunikationsanbieter führte bei dem Datensatz eines Kunden eine Adress- und Namensänderung durch, ohne den Kunden in aus, ohne die Informationen ausreichend zu verifizieren. Dies führte dazu, dass die Informationen mit Daten eines Dritten verknüpft wurden. Dieser Vorgang stellte nach Ansicht der Behörde eine Datenverarbeitung ohne Einwilligung des Betroffenen dar, für den aber keine andere Rechtsgrundlage vorliegt.

 Ungarn

Die Geldbuße wurde gegen das Bürgermeisteramt der Stadt Kecskemét verhängt, nachdem das Amt den Namen eines Whistleblowers offengelegt hatte. Ein Mitarbeiter einer von ihr beaufsichtigten Organisation hatte eine Beschwerde gegen seinen Arbeitgeber eingereicht. Nachdem die Organisation von der Beschwerde erfahren hatte, bat sie um Einzelheiten, um Nachforschungen anzustellen zu können. Dabei gab die örtliche Regierung versehentlich den Namen des Beschwerdeführers bekannt. Erschwerend kam hinzu, dass der betreffende Mitarbeiter im Anschluss entlassen wurde.

Ein Unternehmen verwendete aus Sicht der Aufsichtsbehörde eine falsche Rechtsgrundlage für die Verarbeitung personenbezogener Daten (Art. 6. Abs. 1 lit. b) DS-GVO) für die Abtretung von Ansprüchen und verstieß damit gegen den Grundsatz der Transparenz.

Ein ungarisches Unternehmen führte zur Fehleranalyse und -behebung eine Testdatenbank, in der über neun Jahre hinweg durchgehend personenbezogene Daten gespeichert wurden. Nach Ansicht der Aufsichtsbehörde fehle es sowohl für die Erhebung als auch für die Verarbeitung der Daten an einem zulässigen Zweck. Zudem waren die technischen und organisatorischen Maßnahmen nicht ausreichend, was eine große Gefahr von Missbrauch und Hacking mit sich brachte.

Die Höhe des Bußgeldes orientiert sich an der langen Dauer der unrechtmäßigen Datenerhebung sowie an dem Ausmaß der Datenbank.

Irland

Mit der Verhängung eines Rekordbußgelds in Höhe von 1.2 Milliarden Euro schloss die irische Datenschutzkommission ihre Untersuchungen zu Meta Platforms Ireland Ltd. am 12. Mai 2023 ab. Meta Ireland übermittelt im Rahmen der Bereitstellung der Plattform Facebook personenbezogene Daten aus der EU/dem EWR in die USA. Dabei wird kein ausreichender Schutz gegen die damit verbundenen Risiken für die Grundrechte und -freiheiten der Betroffenen gewährleistet. Dass sehr wohl Risiken bei der Datenübermittlung in die USA bestehen, wurde vom EuGH in einem vorherigen Urteil gegen Facebook Ireland Limited bekräftigt.

Vor der Entscheidung war ein Kooperationsverfahren durchgeführt worden, in dem der Entscheidungsentwurf der Datenschutzkommission den anderen Aufsichtsbehörden der EU/EWR vorgelegt wurde. Da nur einige der Behörden die Verhängung eines Bußgeldes forderten, konnte kein Konsens erzielt werden. Daraufhin traf der Europäische Datenschutzausschuss (EDSA) die endgültige Entscheidung. Mit dieser Entscheidung wurde angeordnet, dass Meta Ireland jede künftige Übermittlung personenbezogener Daten an die Vereinigten Staaten unterlassen und die Verarbeitung, einschließlich der Speicherung, der bereits in die USA übermittelten Daten innerhalb von sechs Monaten einstellen muss.

Die weiteren Entwicklungen nach dem Angemessenheitsbeschluss für die USA vom 10.07.2023 müssen abgewartet werden.

Die Verhängung des Bußgeldes stellt den Abschluss einer Untersuchung der irischen Aufsichtsbehörde gegen Meta Platforms Ireland Ltd. dar, die nach zwei Beschwerden betroffener Personen am 25.05.2018 eingeleitet wurde. Im Vorfeld hatte der Anbieter der Dienste Facebook und Instagram seine Nutzungsbedingungen aktualisiert. Nach Ansicht von Meta Ireland würde mit der Annahme der aktualisierten Nutzungsbedingungen ein Vertrag zwischen dem Anbieter und dem User zustande kommen, der die Rechtsgrundlage für die Datenverarbeitung darstelle – einschließlich der Verarbeitung von Daten zur Bereitstellung personalisierter Dienste und verhaltensbezogener Werbung.

Die irische Datenschutzbehörde kam bei ihren Untersuchungen zu dem Schluss, dass Meta Ireland die Datenverarbeitung zur Bereitstellung personalisierter Dienste und verhaltensbezogener Werbung nicht auf die Vertragserfüllung als Rechtsgrundlage stützen kann. Die bisherige Datenverarbeitung auf Basis dieser Rechtsgrundlage stellt daher einen Verstoß gegen Art. 6 Abs. 1 DS-GVO dar. Die Aufsichtsbehörde verhängte deshalb ein Bußgeld i. H. v. 210 Mio. Euro für Datenschutzverstöße in Bezug auf den Dienst Facebook und 180 Mio. Euro für den Dienst Instagram.

Die Verhängung des Bußgeldes stellt den Abschluss einer Untersuchung der irischen Aufsichtsbehörde gegen WhatsApp Ireland Ltd. dar, die nach einer Beschwerde eines deutschen Betroffenen am 25.05.2018 eingeleitet wurde. Im Vorfeld hatte der Anbieter des Messenger-Dienstes seine Nutzungsbedingungen aktualisiert und die Verwendung des Messengers an die Annahme der Bedingungen geknüpft. Nach Ansicht von WhatsApp würde mit der Annahme der aktualisierten Nutzungsbedingungen ein Vertrag zwischen dem Anbieter und dem User zustande kommen, der die Rechtsgrundlage für die Datenverarbeitung darstelle – einschließlich der Verarbeitung von Nutzerdaten zur Bereitstellung von Dienstverbesserungs- und Sicherheitsfunktionen.

Die irische Datenschutzbehörde kam bei ihren Untersuchungen zu dem Schluss, dass WhatsApp die Datenverarbeitung zur Bereitstellung von Dienstverbesserungs- und Sicherheitsfunktionen nicht auf die Vertragserfüllung als Rechtsgrundlage stützen kann. Die bisherige Datenerhebung auf Basis dieser Rechtsgrundlage stellt daher einen Verstoß gegen Art. 6 Abs. 1 DS-GVO dar. Die Aufsichtsbehörde verhängte deshalb ein Bußgeld i. H. v. 5.500.000 Euro und ordnete an, dass der Anbieter des Messenger-Dienstes seine Verarbeitungsvorgänge innerhalb einer Frist von sechs Monaten mit den Datenschutzvorgaben in Einklang bringen muss.