225 Millionen Euro DSGVO-Strafe für WhatsApp

Zuletzt aktualisiert am 1. April 2026

Hintergründe der Untersuchung

Die Untersuchung der irischen Datenschutzbehörde DPC gegen WhatsApp begann bereits im Dezember 2018, unmittelbar nach dem Inkrafttreten der DSGVO. Im Fokus standen die Transparenzpflichten von WhatsApp gegenüber seinen Nutzern in der Europäischen Union. Insbesondere wurde untersucht, ob WhatsApp seinen Informationspflichten nach Art. 13 und 14 DSGVO hinreichend nachgekommen ist.

Die DPC stellte in ihrem Beschluss fest, dass WhatsApp seine Nutzer nicht ausreichend darüber informiert hatte, wie deren personenbezogene Daten verarbeitet werden. Besonders kritisiert wurde die mangelnde Transparenz bezüglich der Datenweitergabe an andere Unternehmen des Facebook-Konzerns (heute Meta). Nutzer konnten aus den bereitgestellten Informationen nicht klar erkennen, welche Daten zu welchen Zwecken an welche Konzernunternehmen weitergegeben wurden.

Der Streit um die Bußgeldhöhe

Besonders bemerkenswert an diesem Fall ist der innereuropäische Streit um die Höhe des Bußgeldes. Die irische DPC hatte ursprünglich eine Strafe von lediglich 30 bis 50 Millionen Euro vorgesehen. Mehrere europäische Datenschutzbehörden, darunter die deutsche, die französische und die italienische Behörde, erhoben jedoch Einspruch gegen diese vergleichsweise milde Sanktion.

Der Europäische Datenschutzausschuss (EDSA) traf daraufhin im Juli 2021 eine verbindliche Entscheidung, die die DPC anwies, das Bußgeld deutlich zu erhöhen und die Verstöße schwerwiegender einzustufen. Dies war erst das zweite Mal, dass der EDSA von seinem Streitbeilegungsmechanismus nach Art. 65 DSGVO Gebrauch machte. Das Ergebnis war das endgültige Bußgeld von 225 Millionen Euro, das im September 2021 verhängt wurde.

Systematische Probleme bei der DSGVO-Durchsetzung

Der Fall WhatsApp offenbart ein grundlegendes Problem der DSGVO-Durchsetzung in Europa: das sogenannte One-Stop-Shop-Prinzip. Da viele große Technologiekonzerne ihren europäischen Hauptsitz in Irland haben, ist die irische DPC als federführende Aufsichtsbehörde für einen Großteil der bedeutenden Datenschutzverfahren zuständig. Kritiker werfen der Behörde vor, systematisch zu langsam und zu nachsichtig zu agieren.

Tatsächlich brauchte die DPC in vielen Fällen mehrere Jahre, um Untersuchungen abzuschließen. Dies liegt zum einen an der Komplexität der Fälle, zum anderen aber auch an personellen und organisatorischen Defiziten der Behörde. Für Unternehmen bedeutet dies, dass sie die Entwicklung der Rechtsprechung und Behördenpraxis aufmerksam verfolgen und ihre eigenen Datenschutzpraktiken regelmäßig überprüfen sollten. Ein erfahrener externer Datenschutzbeauftragter kann dabei wertvolle Unterstützung leisten.

Lehren für Unternehmen

Der Fall WhatsApp verdeutlicht, wie wichtig transparente Datenschutzerklärungen sind. Unternehmen müssen sicherstellen, dass ihre Datenschutzhinweise in klarer, verständlicher Sprache verfasst sind und alle erforderlichen Informationen nach Art. 13 und 14 DSGVO enthalten. Dazu gehören insbesondere die Zwecke der Datenverarbeitung, die Rechtsgrundlagen, die Empfänger der Daten und die Speicherdauer.

Besonders kritisch ist die Weitergabe von Daten innerhalb eines Konzerns. Auch wenn Daten nur an verbundene Unternehmen weitergegeben werden, handelt es sich datenschutzrechtlich um eine Übermittlung an Dritte, die einer eigenen Rechtsgrundlage bedarf. Unternehmen sollten ihre Datenweitergabepraktiken sorgfältig dokumentieren und im Verarbeitungsverzeichnis erfassen. Regelmäßige Datenschutz-Schulungen für alle Mitarbeiter tragen dazu bei, das Bewusstsein für diese Anforderungen zu schärfen.

Weitere Rekordstrafen im Vergleich

Die WhatsApp-Strafe von 225 Millionen Euro reiht sich in eine Serie immer höherer DSGVO-Bußgelder ein. Die höchste jemals verhängte Strafe traf Amazon im Juli 2021 mit 746 Millionen Euro durch die luxemburgische Datenschutzbehörde CNPD. Google wurde von der französischen CNIL insgesamt mehrfach mit hohen Bußgeldern belegt, darunter 150 Millionen Euro im Jahr 2022 und 90 Millionen Euro für YouTube. Meta selbst erhielt im Mai 2023 eine Rekordstrafe von 1,2 Milliarden Euro wegen der unrechtmäßigen Übertragung europäischer Nutzerdaten in die USA.

Diese Entwicklung zeigt, dass europäische Datenschutzbehörden zunehmend bereit sind, das volle Sanktionspotenzial der DSGVO auszuschöpfen. Für Unternehmen jeder Größe bedeutet dies, dass Datenschutzverstöße erhebliche finanzielle Risiken bergen. Während die Milliardenstrafen vor allem Großkonzerne betreffen, verhängen Aufsichtsbehörden auch gegen kleine und mittlere Unternehmen regelmäßig Bußgelder im fünf- bis sechsstelligen Bereich. Eine proaktive Datenschutzstrategie ist daher für jedes Unternehmen wirtschaftlich sinnvoll.

Transparenzpflichten nach der DSGVO

Der Kern des WhatsApp-Falls betrifft die Transparenzpflichten nach Art. 12 bis 14 DSGVO. Diese Vorschriften verpflichten Verantwortliche, betroffene Personen in präziser, transparenter, verständlicher und leicht zugänglicher Form über die Verarbeitung ihrer Daten zu informieren. Die Informationen müssen in klarer und einfacher Sprache bereitgestellt werden, insbesondere wenn sie sich an Kinder richten.

In der Praxis scheitern viele Unternehmen an diesen Anforderungen. Datenschutzerklärungen sind häufig zu lang, zu juristisch formuliert oder verstecken wichtige Informationen in unübersichtlichen Textblöcken. Die Aufsichtsbehörden erwarten jedoch, dass die wesentlichen Informationen auf einen Blick erkennbar sind. Ein mehrschichtiger Ansatz, bei dem die wichtigsten Informationen auf einer ersten Ebene dargestellt und detailliertere Erläuterungen auf einer zweiten Ebene bereitgestellt werden, wird von den Datenschutzbehörden als Best Practice empfohlen.

Auswirkungen auf die Messenger-Nutzung in Unternehmen

Die hohe Strafe gegen WhatsApp hat auch Auswirkungen auf die Nutzung von Messenger-Diensten in Unternehmen. Viele Arbeitgeber setzen WhatsApp für die interne Kommunikation oder den Kontakt mit Kunden ein, ohne die datenschutzrechtlichen Risiken ausreichend zu berücksichtigen. Bei der Nutzung von WhatsApp im geschäftlichen Kontext werden automatisch die Kontaktdaten aus dem Adressbuch des Smartphones an WhatsApp bzw. Meta übermittelt, was ohne Einwilligung der betroffenen Kontaktpersonen einen Verstoß gegen die DSGVO darstellt.

Unternehmen sollten daher prüfen, ob der Einsatz von WhatsApp für geschäftliche Zwecke datenschutzkonform gestaltet werden kann oder ob auf alternative Messenger-Dienste umgestiegen werden sollte. Lösungen wie Threema Work, Signal oder Matrix bieten eine höhere Datenschutzkonformität und ermöglichen eine klare Trennung von privater und geschäftlicher Kommunikation. Die Entscheidung für einen bestimmten Messenger sollte in enger Abstimmung mit dem Datenschutzbeauftragten getroffen und im Verarbeitungsverzeichnis dokumentiert werden.

Datenschutz-Compliance als Unternehmenskultur

Der Fall WhatsApp zeigt exemplarisch, dass Datenschutz-Compliance mehr ist als die bloße Erfüllung gesetzlicher Pflichten. Sie muss als fester Bestandteil der Unternehmenskultur verankert werden, um nachhaltig wirksam zu sein. Unternehmen, die Datenschutz lediglich als lästige Pflichtübung betrachten, laufen Gefahr, ähnliche Fehler wie WhatsApp zu begehen und sich damit erheblichen rechtlichen und finanziellen Risiken auszusetzen.

Ein ganzheitlicher Datenschutzansatz umfasst neben technischen Maßnahmen auch organisatorische Prozesse, regelmäßige Audits und vor allem die Sensibilisierung aller Mitarbeiter. Datenschutz beginnt bei der Geschäftsführung, die eine Vorbildfunktion einnehmen muss, und durchdringt idealerweise alle Ebenen und Abteilungen des Unternehmens. Nur so können Datenschutzverstöße wie die von WhatsApp begangenen wirksam verhindert werden.