Home / Aktuelles & Termine / it.sec blog

Mit Art. 3 Abs. 2 DSGVO tritt das Marktortprinzip in Kraft. Damit gilt die Datenschutzgrundverordnung (DSGVO) zwingend auch für jedes außereuropäische Unternehmen, wenn es Waren und Dienstleistungen betroffenen Personen innerhalb der EU anbietet. Die Zahlung eines Entgelts spielt dabei keine Rolle. Daher fallen auch Anbieter Sozialer Netzwerke (= Plattformbetreiber) hierunter (vgl. unter https://www.lda.bayern.de/media/dsk_kpnr_7_marktortprinzip.pdf).

Bisher ist unklar, inwieweit neben den Plattformbetreibern auch Unternehmen und Behörden (= Inhalteanbieter), die sich auf diesen Plattformen präsentieren und hierüber Inhalte anbieten, als Verantwortliche i.S.v. Art. 4 Nr. 7 DSGVO hinsichtlich der damit einhergehenden Datenverarbeitung anzusehen sind.

Die deutschen Aufsichtsbehörden haben bisher zumindest für öffentliche Stellen eine "datenschutzrechtliche Mitverantwortung" angenommen (vgl. unter https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2017/11/2017.11.02._Richtlinie-zur-Nutzung-sozialer-Netzwerke-durch-%C3%B6ff.-Stellen.pdf#). Denn auch die Inhalteanbieter leisten „einen wesentlichen Beitrag zur Realisierung des Geschäftsmodels" der Plattformbetreiber (vgl. unter https://www.datenschutzzentrum.de/artikel/983-.html).

Das Bundesverwaltungsgericht legte am 25.02.2016 dem EuGH in einem Verfahren, bei dem die Aufsichtsbehörde in Schleswig-Holstein beteiligt ist, u.a. die Frage zur diesbezüglichen datenschutzrechtlichen Verantwortung vor (vgl. unter https://www.datenschutzzentrum.de/artikel/1013-.html).

Der Generalanwalt hat in seinen Schlussanträgen zu dieser Rechtssache am 24.10.2017 festgestellt (vgl. unter https://www.datenschutzzentrum.de/artikel/1171-EuGH-Generalanwalt-Keine-Verantwortungsluecken-im-Datenschutz-bei-dem-Betrieb-von-Facebook-Fanpages.html), dass auch ein Inhalteanbieter, der solche Plattformen Sozialer Netzwerke nutzt, sich dabei nicht einfach „seinen Verpflichtungen im Bereich des Schutzes personenbezogener Daten (…) entziehen“ darf. Dies solle auch dann gelten, wenn der Inhalteanbieter selbst „keinen Zugang zu den Daten hat“ und auch die „Geschäftsbedingungen im Vorhinein vom [Plattformbetreiber] vorbereitet werden und nicht verhandelbar sind“.

Folgt der EuGH dieser Einschätzung, dann werden sich die Inhalteanbieter die Datenverarbeitungen durch die Plattformbetreiber, die in den wenigsten Fällen datenschutzrechtlichen Vorgaben entsprechen (so hatte bspw. die französische Aufsichtsbehörde im Mai 2017 ein Bußgeld gegen Facebook verhängt, https://www.cnil.fr/en/facebook-sanctioned-several-breaches-french-data-protection-act), zurechnen lassen müssen.

Angesichts der Bußgelder, die sich durch die Datenschutzgrundverordnung (DSGVO) drastisch erhöhen, würden Unternehmen mit der Nutzung solcher Plattformen ein hohes Risiko eingehen, wenn sie mit dem Plattformbetreiber als „gemeinsam für die Verarbeitung Verantwortliche“ auftreten. Daher bliebe wohl am Ende nur die Möglichkeit, sich gegen die Nutzung solcher Plattformen zu entscheiden, sofern die Plattformbetreiber ihre Datenverarbeitungen nicht an gesetzliche Vorgaben anpassen.

S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.

Abmahnung Abmahnungen ADCERT Angemessenheitsbeschluss Anwendbarkeit Arbeitsrecht Art. 17 DSGVO Art. 25 DSGVO Art. 26 DSGVO Art. 32 DSGVO Art. 37 DSGVO Art. 4 Nr. 12 DSGVO Art. 45 DSGVO Art. 8 MRK Art. 9 DSGVO Audit Aufsichtsbehörde Auftragsverarbeitung Auskunftei Auskunftsrecht Automatisierte Einzelentscheidung Autsch BAG BDSG-Neu Begrifflichkeiten Beherbergungsstätten Benachrichtigungspflicht Beschäftigtendatenschutz besondere Kategorien personenbezogener Daten betrieblicher E-Mail-Account betrieblicher Internetzugang Betroffenenrechte BfDI BGH biometrische Daten Biometrische und genetische Daten Bitkom Bonitätsprüfung Brexit Bundesarbeitsgericht Bußgeld BVG Cloud CNIL Compliance Cookie Custom Audience Dashcam Datenlöschung Datenminimierung Datenpanne Datenschutz Datenschutz Grundverordnung Datenschutz-Schulungen Datenschutzbeauftragter Datenschutzerklärung Datenschutzgrundsätze Datenschutzgrundverordnung Datenschutzprinzipien Datenschutzverletzung Datensicherheit Datenübermittlung Datenübermittlung an Dritte Datenübermittlung in Drittstaaten Datenverarbeitung Do not track-Funktion Donald Trump Dritter Drittstaat ohne angemessenes Datenschutzniveau DSAnpUG-EU DSGVO DSK dynamische IP-Adresse e-Privacy-Verordnung eCall-Technologie EES EFAIL Einwilligung Einwilligungserklärung Einwilligungserklärungen Entsorgung Erhebung personenbezogener Daten Erwägungsgrund 48 der DSGVO eSafety-Initiative ETIAS EU-Datenschutz-Grundverordnung EuGH Facebook Facebook-Pixel Fahrzeugdaten Fahrzeuge Fanpage Fernmeldegeheimnis FlugDaG Fluggastdaten Funkmäuse Funktastaturen Gemeinsam Verantwortliche Google Google Analytics Home Office Immobilienmakler Informationspflichten Informationssicherheit Inhalteanbieter IP-Adresse Irland ISO/IEC 27001 IT Governance IT GRC IT-Forensik IT-forensische Untersuchung IT-Sicherheit Joint Control Kanada Konzern konzerninterner Datentransfer Leistungs- und Verhaltenskontrolle Löschung personenbezogener Daten Marktortprinzip Meldepflicht Meldescheine Meltdown Microsoft MouseJack-Angriffe NIST One Stop Shop Passenger Name Records Passwort Passwörter Passwörter. 2016 Passwortregeln Passwortschutz Personalausweiskopien personenbezogene Daten Persönlichkeitsrechte Plattformbetreiber PNR-Daten PNR-Instrumente Privacy by Default Privacy by Design Privacy Shield private Handynummer private Mobilfunknummer Privatnutzung Privatnutzungsverbot Profiling Recht auf Achtung des Privat- und Familienlebens Recht auf Berichtigung Recht auf Datenübertragbarkeit Recht auf Einschränkung Recht auf Löschung Rechte der betroffenen Person Reichweitenanalyse Risiko Risikomanagement Risk & Compliance Management Sicherheitsvorfälle kritische Infrastrukturen IT-Sicherheitsbeauftragten ISMS Siegel Skype Software-Entwicklung Sony PSN Soziale Netzwerke Spectre Standardvertragsklauseln Technische & organisatorische Maßnahmen technische & organisatorische Maßnahmen Telemediendienst Telemediengesetz TKG TMG Tracking Tracking Tools Twitter Übermittlung personenbezogener Daten Überwachungssoftware Umfrage Umsetzungsfrist unpersonalisierter Benutzer-Account Unternehmensgruppe USA UWG Verantwortlicher Vereinbarung Vernichtung von Datenträgern Verordnung (EU) 2015/758 Verschlüsselte E-Mails Vertrag zur Auftragsverarbeitung Verwaltungsakt Verwaltungsgericht Karlsruhe Videoüberwachung Vorteile Webseite Webseiten Webtracking Webtrecking Werbung Wettbewerbsrecht wettbewerbsrechtliche Abmahnung WhatsApp Widerruf Widerrufsrecht Widerspruchsrecht Zertifikat Zertifizierung Zulässigkeit § 15 TMG § 26 BDSG-Neu § 32 BDSG § 32 DSGVO § 35 BDSG-Neu § 38 BDSG-Neu § 42a BDSG § 42b BDSG § 88 TKG

An dieser Stelle wollen wir von Zeit zu Zeit unsere Web-Logs ("blogs") pflegen und unsere Meinung zu bestimmten Themen kundtun.

Die einzelnen Posts stellen jeweils die Meinung des Autors dar und nicht zwangsläufig jene der it.sec. Die Inhalte sind stellen keine Beratung dar und übernehmen für die Inhalte keine Haftung.

Tags

Mo Di Mi Do Fr Sa So
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31