News

Archiv

Handlungsempfehlungen für Unternehmen durch die DSK: Gemeinsame Verantwortlichkeit – Was muss jetzt getan werden?

Der Europäische Gerichtshof verkündete in seinem Urteil vom 5.Juni, dass Betreiber von Facebook-Seiten für eventuelle/potentielle Datenschutzerverstöße mit haften und mit verantwortlich gemacht werden (Hier geht’s zur Pressemitteilung des EuGH)
Das Urteil schlägt sehr hohe Wellen und verwirrt Unternehmen noch mehr, nachdem die allgemeine Unsicherheit durch die DSGVO über die letzten Wochen und Monate sowieso schon omnipräsent war. Das Urteil wird als radikale Zäsur im Datenschutzrecht gesehen und kann auf alle Social-Media-Anwendungen übertragen werden (Instagram, Youtube, Social Plugins, Tracking etc.)

DSK BEZIEHT STELLUNG ZUM EUGH-URTEIL

Die DSK begrüßt das Urteil des Europäischen Gerichtshofes und erklärt in Ihrer Stellungnahme, dass das Urteil ihre langjährige Rechtsauffassung bestätigt. Das Urteil des EuGH zur gemeinsamen Verantwortung von Facebook und den Betreibern einer Fanpage hat unmittelbare Auswirkungen auf die Seitenbetreiber. Diese können nicht mehr allein auf die datenschutzrechtliche Verantwortung von Facebook verweisen, sondern sind selbst mitverantwortlich für die Einhaltung des Datenschutzes gegenüber den Nutzenden ihrer Fanpage. Dabei müssen sie die Verpflichtungen aus den aktuell geltenden Regelungen der Datenschutz-Grundverordnung (DS-GVO) beachten. Zwar nimmt das Urteil Bezug auf die frühere Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten zum freien Datenverkehr, doch die vom EuGH festgestellte Mitverantwortung der Seitenbetreiber erstreckt sich auf das jeweils geltende Recht, insbesondere auf die in der DS-GVO festgeschriebenen Rechte der Betroffenen und Pflichten der Verarbeiter.
Betrachtet man die Aussagen der DSK, helfen diese den Unternehmen leider nicht wirklich weiter. Dr. Carlo Piltz eruiert in seinem Artikel, dass die Argumentation des DSK sehr offen und vage formuliert wurde. Es würden hier die rechtlichen Begründungen fehlen. Unternehmen könnten diese Aussagen nicht als Handlungshilfe nutzen und dürften nun noch mehr verunsichert sein, ob eine datenschutzkonforme Nutzung Ihre Facebook-Kanäle in Zukunft betrieben wird.

EMPFEHLUNGEN DER DSK UND WAS SOLLTE GETAN WERDEN

Die DSK lässt unter anderem Folgendes verlauten:

Wer eine Fanpage besucht, muss transparent und in verständlicher Form darüber informiert werden, welche Daten zu welchen Zwecken durch Facebook und die Fanpage-Betreiber verarbeitet werden. Dies gilt sowohl für Personen, die bei Facebook registriert sind, als auch für nicht registrierte Besucherinnen und Besucher des Netzwerks.

Hierbei handelt es sich um die Informationspflichten nach Art.12 Abs. 1 und Art.13 DSGVO die erfüllt werden müssen, um aufzuzeigen welche Daten durch Facebook und den Seiten-Betreiber verarbeitet werden. Laut Dr. Piltz sollten Unternehmen „daher überlegen, entweder eine eigen Fanpage Datenschutzerklärung vorzuhalten und zu verlinken oder auf die eigene, allgemeine Datenschutzerklärung zu verlinken und dort einen Fanpage Passus aufzunehmen.“ Auch erkennt Piltz die grundsätzliche Problemstellung: „Das Problem hierbei ist, dass der Betreiber faktisch gar nicht alle erforderlichen Informationen zur Datenverarbeitung erteilen kann. Unternehmen wissen im Zweifel nicht, welche Rechtsgrundlage für die Verarbeitung gilt (Pflicht nach Art. 13 Abs. 1 lit. c) DSGVO) oder wer die Kategorien von Empfängern der Daten sind (Pflicht nach Art. 13 Abs. 1 lit. e) DSGVO).“
Die DSK erkennt mit Ihren Aussagen auch diese Problematik:

Betreiber von Fanpages sollten sich selbst versichern, dass Facebook ihnen die Informationen zur Verfügung stellt, die zur Erfüllung der genannten Informationspflichten benötigt werden.

Schwierig ist nur wie und auf welchem Weg sich Unternehmen diesbezüglich absichern sollen. Eine genaue Empfehlung wie das getan werden kann, bleibt die DSK schuldig. Das Facebook auf E-Mail Anfrage jedem Betreiber diese Informationen zukommen lässt ist völlig utopisch.
Außerdem fordert die DSK:

Soweit Facebook Besucherinnen und Besucher einer Fanpage durch Erhebung personenbezogener Daten trackt, sei es durch den Einsatz von Cookies oder vergleichbarer Techniken oder durch die Speicherung der IP-Adresse, ist grundsätzlich eine Einwilligung der Nutzenden erforderlich, die die Anforderung der DS-GVO erfüllt.

Dr. Piltz weist hier auf einen wichtigen juristischen Einschub seitens der DSK hin. Auf den Ausdruck „grundsätzlich“: „Wenn Juristen (und das sind viele Mitarbeiter der Datenschutzbehörden und an der Entschließung beteiligte Personen) ‚grundsätzlich‘ schreiben, meinen sie, dass es stets Ausnahmen gibt. Man könnte auch ‚in der Regel‘ sagen. Das bedeutet, dass die DSK nicht zwingend eine Einwilligung für erforderlich hält, wenn Facebook Besucherinnen und Besucher einer Fanpage durch Erhebung personenbezogener Daten trackt. Man kann also, gerade auch Sicht des Betreibers der Fanpage, auch an andere Erlaubnistatbestände (z. B. die Interessenabwägung) denken. Leider ist die Entschließung der DSK in dieser Hinsicht einfach nicht klar und es fehlt eine rechtliche Begründung, warum hier ‚grundsätzlich‘ eine Einwilligung einzuholen wäre. Als Betreiber ist man nun leider auch nicht schlauer.“
Im letzten Punkt stützt die DSK sich auf Art.26 DSGVO:

Für die Bereiche der gemeinsamen Verantwortung von Facebook und FanpageBetreibern ist in einer Vereinbarung festzulegen, wer von ihnen welche Verpflichtung der DS-GVO erfüllt. Diese Vereinbarung muss in wesentlichen Punkten den Betroffenen zur Verfügung gestellt werden, damit diese ihre Betroffenenrechte wahrnehmen können.

Auch hier werden Sie mit eigenen Verträgen bei Facebook keine offenen Türen einrennen. Facebook hat auch in Bezug auf Auftragsverarbeitungsverträge etc. bisher niemals andere Vorlagen als die hauseigenen akzeptiert. Dies wird sich auch jetzt nicht ändern. Bis also Facebook sich dazu entschließt ein solches Vertragswerk auszuarbeiten und bereitzustellen, wird hier niemand einen solchen Vertrag mit dem Konzern abschließen können.

MÖGLICHKEITEN FÜR UNTERNEHMEN

Zur absoluten Risikominimierung steht natürlich die Möglichkeit im Raum seine Facebookseite komplett abzuschalten, um der Problematik erst bis zum finalen Urteil des Bundesverwaltungsgerichts aus dem Weg zu gehen und erst eine konforme Einbindung vorzunehmen, wenn hier klar Weisungen vorliegen. Diese Konsequenz ergibt sich jedoch nicht aus dem Urteil des EuGH und der Stellungnahme der DSK. Dr.Piltz nennt hierfür zwei Gründe: „Zum anderen, weil die DSK, wie auch der EuGH in seinem Urteil, ein gewisses Hintertürchen zur ‚abgespeckten‘ Pflichtenerfüllung offen lässt. Die DSK verweist darauf, dass ‚die Fanpage-Betreiber ihre datenschutzrechtlichen Verantwortung nur erfüllen können, wenn Facebook selbst an der Lösung mitwirkt‘. Der EuGH formuliert es so (Rz. 43 des Urteils): ‚Klarzustellen ist, dass das Bestehen einer gemeinsamen Verantwortlichkeit, …, aber nicht zwangsläufig eine gleichwertige Verantwortlichkeit der verschiedenen Akteure zur Folge hat, die von einer Verarbeitung personenbezogener Daten betroffen sind‘. Meines Erachtens kann man sowohl den EuGH, als auch nun den Hinweis der DSK auf die verschiedenen Verantwortlichkeitssphären so verstehen, dass Betreiber der Fanpage nur solche Pflichten erfüllen müssen, die sie auch faktisch erfüllen können.“
Daher sollten jetzt erstmal die Urteile der deutschen Verwaltungsgerichten abgewartet werden, bis hierzu ein genaues Vorgehen konstruiert werden kann.
 

Vorheriger Beitrag
DSK veröffentlicht weiteres Kurzpapier: Unterrichtung und Verpflichtung von Beschäftigten auf Beachtung der datenschutzrechtlichen Anforderungen nach der DS-GVO
Nächster Beitrag
Vorsicht vor falscher DS-GVO Beschwerdestelle