Brüssel, 2. September – Am 28. Juli erließ der EDSA einen Streitbeilegungsbeschluss auf der Grundlage von Artikel 65 DSGVO. Mit dem verbindlichen Beschluss soll die Streitigkeit über einen Beschlussentwurf der irischen Aufsichtsbehörde als federführende Aufsichtsbehörde in Bezug auf WhatsApp Ireland Ltd. (WhatsApp IE) und die anschließenden Einsprüche einiger betroffener Aufsichtsbehörden beigelegt werden. Im Einklang mit der DSGVO ist der verbindliche Beschluss des EDSA nun veröffentlicht worden, nachdem der endgültige, von der irischen Aufsichtsbehörde erlassene, Beschluss dem Unternehmen mitgeteilt wurde.
Nach seiner Bewertung kam der EDSA zu dem Schluss, die irische Aufsichtsbehörde solle ihren Beschlussentwurf zu Verstößen gegen die Transparenz, zur Berechnung der Geldbuße und zur Frist für die Umsetzung der Anweisung ändern.
Was die Transparenz betrifft, so führt der Beschlussentwurf der irischen Aufsichtsbehörde bereits einen schwerwiegenden Verstoß gegen die Artikel 12, 13 und 14 DSGVO an. Der EDSA hat in den bereitgestellten Informationen zusätzliche Mängel festgestellt, die den Benutzern das Verständnis des verfolgten berechtigten Interesses erschweren. Daher hat der EDSA die irische Aufsichtsbehörde ersucht, die Feststellung eines Verstoßes gegen Artikel 13 Absatz 1 Buchstabe d DSGVO in ihren Beschluss aufzunehmen.
Außerdem hat der EDSA klargestellt, dass zwar nicht jeder Verstoß gegen die Artikel 12-14 DSGVO einen Verstoß im Sinne von Artikel 5 Absatz 1 Buchstabe a DSGVO darstellt, in diesem Fall jedoch angesichts der Schwere, des umfassenden Charakters sowie der Auswirkungen der Verstöße ein Verstoß gegen den in Artikel 5 Absatz 1 Buchstabe a DSGVO verankerten Transparenzgrundsatz vorliegt.
Was die Erhebung von Daten von Nichtbenutzern durch WhatsApp IE angeht – wenn Benutzer von dem Kontakt-Feature Gebrauch machen – hat der EDSA festgestellt, dass im vorliegenden Fall das von WhatsApp IE verwendete Verfahren zu keiner Anonymisierung der erhobenen personenbezogenen Daten führt.
In Bezug auf die verhängte Geldbuße und deren Berechnung kam der EDSA zu dem Schluss, dass gemäß Artikel 83 Absätze 4 bis 6 DSGVO nicht ausschließlich der Umsatz eines Unternehmens für die Festlegung der maximalen Höhe der Geldbuße relevant ist, sondern gegebenenfalls auch für die Berechnung der Geldbuße selbst, um sicherzustellen, dass sie wirksam, verhältnismäßig und abschreckend im Sinne von Artikel 83 Absatz 1 DSGVO ist. In diesem Fall ist der EDSA der Ansicht, dass der konsolidierte Umsatz der Muttergesellschaft (Facebook Inc.) in die Berechnung des Umsatzes einbezogen werden muss.
Außerdem lieferte der EDSA erstmals eine Erläuterung zur Auslegung von Artikel 83 Absatz 3 DSGVO. Bei mehreren Verstößen wegen der gleichen oder miteinander verbundenen Verarbeitungsvorgängen sind zur Berechnung der Höhe der Geldbuße alle Verstöße in Betracht zu ziehen. Dies gilt unbeschadet der Verpflichtung der Aufsichtsbehörden, die Verhältnismäßigkeit der Geldbuße und die von der DSGVO festgelegte maximale Höhe der Geldbuße zu berücksichtigen.
Der Beschlussentwurf der irischen Aufsichtsbehörde enthielt ferner eine Anweisung, die Verarbeitungstätigkeiten innerhalb von sechs Monaten in Einklang mit der DSGVO zu bringen. Der EDSA hielt es für äußerst wichtig, die Transparenzverpflichtungen so schnell wie möglich zu erfüllen. Vor diesem Hintergrund wurde die irische Aufsichtsbehörde ersucht, die sechsmonatige Frist für die Einhaltung auf drei Monate zu verkürzen.
Dieser verbindliche Beschluss wurde den betroffenen Aufsichtsbehörden zugeleitet, und die irische Aufsichtsbehörde hat als federführende Aufsichtsbehörde ihren nationalen Beschluss aufgrund des EDSA-Beschlusses angepasst. WhatsApp IE wurde der nationale Beschluss mitgeteilt, dem der Beschluss des EDSA als Anlage beigefügt wurde.
Dieser aktuelle Beschluss greift etwaigen Beurteilungen, die der EDSA in anderen Fällen, auch mit denselben Parteien, vornehmen muss, nicht vor.
Weitere Informationen zum Verfahren nach Artikel 65 DSGVO finden Sie unter Häufig gestellte Fragen