Der Europäische Gerichtshof hat heute Morgen die Datenschutzvereinbarung „Privacy Shield“ zwischen der EU und den USA gekippt. Dies war die informelle Absprache auf dem Gebiet des Datenschutzrechts, die zwischen der Europäischen Union und der USA ausgehandelt wurde. Die Absprache regelte den Schutz personenbezogener Daten, die aus einem Mitgliedsstaat der Europäischen Union in die USA übertragen wurden. Eine Datenübertragung in die USA und andere Staaten ist aber weiterhin auf Grundlage der sog. EU-Standardvertragsklauseln möglich. Diese bieten Garantien dafür, dass bei der Übermittlung von Daten das europäische Datenschutzniveau eingehalten wird.
Auch das „Privacy Shield“ hat Standards für den Umgang mit europäischen Daten in den USA festgelegt. Die Unternehmen, die ihre Datenübertragung darauf gestützt haben, stehen jedoch nun vor dem Problem, dass diese mit dem Wegfall des Privacy Shields unzulässig geworden ist. Diese Unternehmen müssen jetzt also nach Alternativen suchen. In Betracht kommt entweder die Nutzung von o.g. EU- Standardvertragsklauseln oder der Wechsel zu Dienstleistern und Rechenzentren ausschließlich in Europa oder in Staaten mit einem angemessenen Datenschutzniveau. Bei Verstößen gegen die DSGVO kann es jedenfalls teuer werden, wie einige Fälle bereits gezeigt haben. Es drohen Geldbußen von bis zu 20 Millionen Euro oder bis zu 4% des gesamten weltweit erzielten Jahresumsatzes eines Unternehmens, wenn man Daten ohne angemessenes Datenschutzniveau in ein Drittland übermittelt.
Der österreichische Datenschutzaktivist Max Schrems hatte in diesem Fall beanstandet, dass Facebook Irland seine Daten an den Mutterkonzern in den USA weiterleitet. Denn dort ist Facebook dazu verpflichtet, den US-Behörden (z.B. FBI, NSA) Zugang zu den Daten zu gewähren – und das ohne richterlichen Beschluss oder die Möglichkeit der betroffenen Personen dagegen vorzugehen. Der Rechtsschutz ist für die betroffenen Personen daher unzureichend. Aufgrund dieser Zugriffsmöglichkeiten ist nach Ansicht der Luxemburger Richter der Datenschutz nicht gewährleistet und erklärte dem EU-US Privacy Shield eine Absage.
Unternehmen müssen nun dringend handeln und entweder die Datenverarbeitung mit ehemals Privacy Shield zertifizierten Unternehmen einstellen oder mit diesen unverzüglich EU-Standardvertragsklauseln schließen.
Julia Eisenacher
Juristin (Univ.)
Consultant für Datenschutz
EU-US-Datenschutzvereinbarung „Privacy Shield“ ungültig
Der BGH bestätigte vorläufig die Auffassung des Bundeskartellamts, wonach Facebook missbräuchlich seine marktbeherrschende Stellung ausnutzt (Beschluss vom 23.06.2020, Az. KVR 69/19).
Die Nutzungsbedingungen von Facebook sehen auch die Verarbeitung und Verwendung von Nutzerdaten vor. Dabei geht es jedoch nicht nur um die Daten, die die Nutzer bei Facebook selbst teilen, sondern auch um das, was sie außerhalb von Facebook preisgeben – sei es bei WhatsApp, Instagram oder anderen Seiten außerhalb des sozialen Netzwerks. All diese Daten verwendet Facebook schließlich, um dem Nutzer ein „personalisiertes Erlebnis“ bereitzustellen, also kurz gesagt: u.a. zur Vermarktung von Werbeplätzen.
Das Bundeskartellamt hat Facebook nun untersagt, diese Daten ohne eine weitere Einwilligung der Nutzer zu verarbeiten. Denn durch die Verwendung der Nutzungsbedingungen verstoße Facebook gegen § 19 Abs. 1 GWB (Gesetz gegen Wettbewerbsbeschränkungen), wonach die missbräuchliche Ausnutzung einer marktbeherrschenden Stellung durch ein Unternehmen verboten ist. Facebook sei auf dem nationalen Markt der Bereitstellung sozialer Netzwerke marktbeherrschend und missbrauche diese Stellung, indem es, entgegen den Vorschriften der Datenschutzgrundverordnung (DSGVO), die private Nutzung des Netzwerks von seiner Befugnis abhängig mache, ohne weitere Einwilligung der Nutzer, die außerhalb von Facebook generierten Nutzerdaten mit solchen von Facebook zu verknüpfen.
Wir werden zu diesem Fall weiter berichten.
Julia Eisenacher
Juristin (Univ.)
Consultant für Datenschutz
Da hat es sich Facebook wohl zu einfach gemacht. Lapidar hat das Unternehmen behauptet, kein Mitglied ihrer Rechtsabteilung habe ausreichende deutsche Sprachkenntnisse, um Beschwerden, Gerichtsbeschlüsse oder Mitteilungen auf Deutsch in vollem Umfang zu verstehen. Zu Unrecht, wie das OLG Düsseldorf im Rahmen eines Kostenfestsetzungsverfahrens im Dezember 2019 festgestellt hat:
Sachverhalt
Das Landgericht Düsseldorf hatte Facebook in Irland im Wege der Rechtshilfe einen Beschluss in deutscher Sprache zustellen lassen. Facebook verweigerte die Annahme wegen einer fehlenden englischen Übersetzung und argumentierte, dass der Beschluss damit nicht zugestellt worden sei.
Entscheidung des OLG
Davon ließ sich das OLG jedoch nicht beeindrucken. Es komme bei der Beurteilung der Verständnisfähigkeit nicht darauf an, ob konkrete Mitglieder der Geschäftsleitung oder der jeweiligen Rechtsabteilung über entsprechende Sprachkenntnisse verfügen, sondern auf die Organisation des Unternehmens insgesamt. Dass das Unternehmen den Beschluss nicht verstehen könne, sei in diesem Fall eine reine Schutzbehauptung.
Facebook habe Millionen von Nutzern in Deutschland, mit denen ausdrücklich auf Deutsch kommuniziert wird. Sämtliche im Verhältnis zwischen Unternehmen und Nutzern bestehenden Vertragsdokumente (AGB, Gemeinschaftsstandards, Nutzungsbedingungen) würden auf Deutsch vorliegen, auch das deutsche Recht würde in den entsprechenden Dokumenten besonders berücksichtigt, so z.B. das Deutsche Produkthaftungsgesetz. Derartige Formulierungen seien ohne profunde Kenntnisse der deutschen Sprache und des deutschen Rechts nicht möglich. Das Gericht sah es damit als erwiesen an, dass Facebook über ausreichende Deutschkenntnisse verfügt, so dass die Verweigerung der Annahme des gerichtlichen Schriftstücks durch Facebook unzulässig und rechtsmißbräuchlich gewesen sei.
Fazit
Bei der Entscheidung zeigt sich einmal mehr, wie eine kleine Rechtsstreitigkeit über einen nur geringen dreistelligen Betrag, große Wirkung entfalten kann. Die Notwendigkeit, mit den international tätigen und auftretenden Unternehmen nur in der jeweiligen Sprache des Hauptsitzes kommunizieren zu müssen, scheint jedenfalls aufgrund dieser Entscheidung zu entfallen.
C. Lürmann
Rechtsanwältin
Consultant für Datenschutz
Selbst für Amnesty sind Facebook, Google & Co. mittlerweile ein großes Thema.
In einem entsprechenden Bericht kritisiert Amnesty, dass sich diese Unternehmen mit ihren Plattformen und Diensten in fast jeden Winkel des digitalen Lebens von Menschen eingeschlichen haben.
Mehr als 4 Milliarden Menschen kommunizieren fast tagtäglich über das Internet, beruflich oder privat, sie verabreden und „versammeln“ sich dort. Die dabei notwendigen Dienste und Werkzeuge (Web-Browser, Suchmaschinen, Messenger-Dienste, Social-Media- und Video-Plattformen, Cloud-Speicher, Smart Speaker etc.), erhalten sie von den sog. Internet-Giganten. Im Gegenzug erlauben die Nutzer, dass ihre Daten und damit ihre Kommunikation stetig überwacht wird.
Sogar Personen, die ihre Dienste gar nicht nutzen, sind vor der Erfassung ihrer Daten nicht sicher, bspw. weil sie in den Kontaktverzeichnissen der Nutzer auftauchen oder auf Websites surfen, wo Tracking-Software implementiert ist.
Dabei werden nicht nur Daten über den einzelnen Menschen gesammelt, sondern auch von allen Seiten zusammengeführt, angereichert und algorithmisch ausgewertet. Dadurch sichern sich die Unternehmen gegenüber dem einzelnen Menschen eine informationsasymmetrische Machtposition, an der auch andere gerne teilhaben möchten und auch tatsächlich teilhaben - Stichwort Cambridge Analytica.
Der Bericht fordert daher die Unternehmen auf, die von ihnen verursachten Menschrechtsverletzungen endlich zu beheben. Die Regierungen werden aufgefordert, strengere Gesetze zu schaffen und deren Geltung auch durchzusetzen - denn die Selbstregulierung der Unternehmen hat bisher nur mäßig funktioniert.
Fazit: Die Datenschutzgrundverordnung ist da ein erster Schritt. Denn sie gilt auch für Facebook, Google und Co., wenn sie auf dem Markt der EU tätig werden. Allerdings mangelt es oftmals an der Durchsetzung. Entweder geht dies zu Lasten der Unternehmen in der EU, denen es an wirtschaftlichen Alternativen zu den Produkten der Anbieter mangelt, oder zu Lasten der für sie zuständigen Aufsichtsbehörden, die sich teils wohl in Sisyphusarbeit um Lösungsabsprachen im Interesse aller mit den Anbietern bemühen. Dies kann nur verbessert werden, wenn weltweit Regelungen wie in der Datenschutzgrundverordnung gelten würden.
S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.
Der Europäische Gerichtshof (EuGH) hat am 29.07.2019 über die Konsequenzen einer Einbindung des Facebook-Like-Buttons auf der Website entschieden. Seitenbetreiber müssen die Nutzer in diesem Fall informieren und deren Einwilligung einholen.
Schon lange findet man den Like-Button als Social-Media-Plugin auch auf Webseiten außerhalb von Facebook. Die Seitenbesucher können dadurch ihre Meinung kundtun und Inhalte schnell und unkompliziert auf Facebook teilen.
Das Problem am Like-Button ist, dass die Website, auf der er eingebunden ist, Daten an Facebook überträgt – und zwar mit Öffnen der Website und unabhängig davon, ob der Like-Button betätigt wird oder man überhaupt bei Facebook angemeldet oder registriert ist. Zu diesen Daten gehören z.B. die IP-Adresse und Cookies.
Der EuGH hat sich nun mit der Frage beschäftigt, wer für den Like-Button verantwortlich ist, und hat sich – ähnlich wie bei seiner Entscheidung zu Facebook-Fanpage-Betreibern – für eine gemeinsame Verantwortlichkeit von Facebook und dem Webseitenbetreiber entschieden. Denn der Seitenbetreiber und Facebook entscheiden auch gemeinsam über die Mittel und Zwecke des Datentransfers. Dies gilt allerdings nur für die Erhebung und Übermittlung der Daten an Facebook, nicht jedoch für die spätere Datenverarbeitung durch Facebook.
Konsequenz dieses Urteils ist, dass die Webseitenbetreiber die Seitenbesucher hinsichtlich dieser Datenerhebung und -übermittlung informieren und deren Einwilligung diesbezüglich einholen müssen. Dies kann beispielsweise durch ein Pop-Up geschehen, das auf die Datenschutzerklärung verweist und in dem die Seitenbesucher explizit die Social-Media-Funktionen aktivieren können.
Auch andere Anbeiter, wie z.B. Google, Twitter oder Pinterest, bieten solche Social Plugins an. Aufgrund des EuGH-Urteils sollten auch in diesen Fällen die Seitenbesucher entsprechend informiert und deren Einwilligung eingeholt werden. Andere Plugins, die ähnlich funktionieren, z.B. von Werbeanbietern, dürften davon ebenfalls betroffen sein.
Julia Eisenacher
Juristin (Univ.)
Consultant für Datenschutz
Die SPD befürwortet ein Daten-Für-Alle-Gesetz.
Hintergrund ist wohl, trotz strenger datenschutzrechtlicher Bestimmungen am digitalen Fortschritt ebenso teilnehmen zu können wie Diktaturen und Staaten mit nicht angemessenem Datenschutzniveau.
Daten bedeuten Macht und entsprechend soll das Datenmonopol der digitalen Konzerne wie Google, Facebook und Co. mit einem solchen Gesetz aufgelöst werden, indem sie gezwungen werden, „ihre“ Daten der Allgemeinheit zur Verfügung zu stellen.
Als „kollektive“ Daten und damit Allgemeingut sollen sie dann „zum Wohl des Einzelnen und für unsere Gemeinschaft“ genutzt werden, um Innovationen bspw. auf dem Gebiet der Künstlichen Intelligenz zu fördern und europäische Unternehmen wettbewerbsfähig zu halten („Prinzip von Open Data“).
Statt „exklusive[r] Eigentumsrechte“ soll es „darum gehen, den Zugang zu Daten zu verbreitern.“
Das Recht auf informationelle Selbstbestimmung „macht den Einzelnen grundsätzlich zum Herrn der ihn betreffenden Daten“ (Gola/Schomerus, BDSG, 11. Auflage § 1 Rn 10). Die „Eigentumsverhältnisse“ sind eigentlich somit klar.
Auch wenn das „grundlegende Recht auf Datenschutz der Einzelnen“ durchgehend betont wird:
Konzerne wie Facebook verdienen nicht deshalb so viel Geld, weil sie vollständig anonymisierte und damit eben keine personenbezogenen Daten verarbeiten; Skandale wie Cambridge Analytics haben dies immer wieder gezeigt. Im besten Fall handelt es sich um zunächst einmal pseudonymisierte Daten, die sich aufgrund ihrer Menge und der Hinzuspeicherung von Daten aus einer Vielzahl von Quellen leicht zu personenbezogenen Daten verdichten können.
Mit dem Konstrukt der „kollektiven Daten“ aus dem Bestand der digitalen Großkonzerne wirkt die Idee eines Daten-Für-Alle-Gesetzes auf den ersten Blick daher eher wie ein latenter Vorwurf an den Datenschutz (zwar nett, aber im Zeitalter von Post Privacy veraltet) und ein Hofieren der Innovationskraft von Google, Facebook und Co., an der man teilhaben möchte.
S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.
In unserem heutigen Blogbeitrag möchten wir zusammenfassend über datenschutzrelevante Ereignisse der letzten Monate informieren:
- Mit der Entscheidung des EuGH sind Fanpagebetreiber ebenso verantwortlich für die damit verbundene Datenverarbeitung wie die Plattformbetreiber (z.B. Facebook Ireland Ltd.).
- Mit der Entscheidung des Landgerichts Würzburg (LG Würzburg, Beschluss vom 13.9.2018, Az. 11 O 1741/18), können Verstöße gegen die DSGVO von Mitbewerbern abgemahnt werden. Bisher bestand hier erhebliche Unsicherheit, ob es sich bei der DSGVO überhaupt um eine drittschützende Norm im Sinne des § 3a UWG handelt.
- Der BGH hat nun endgültig entschieden, dass Befragungen zur Kundenzufriedenheit und Feedback-Anfragen Werbung sind.
- Derzeit verschickt die sog. "Datenschutzauskunft-Zentrale“ ein Schreiben, in dem Unternehmen aufgefordert werden, Angaben über ihren Betrieb zu machen, "um ihrer gesetzlichen Pflicht zur Umsetzung des Datenschutzes nachzukommen". Hierbei handelt es sich um eine Abo-Falle. .
- Die Aufsichtsbehörden haben klargestellt, dass Unternehmen den Messenger-Dienst ‚WhatsApp‘ derzeit nicht datenschutzkonform einsetzen können:
- vgl. auch Merkblatt der Landesbeauftragten für den Datenschutz Niedersachsen
- vgl. auch Thüringer Landesbeauftragter für Datenschutz und Informationsfreiheit: 3. Tätigkeitsbericht Datenschutz: Nicht-öffentlicher Bereich, 2016/2017, S. 375.
- Laut dem Thüringer Landesarbeitsgericht (Urteil vom 16.05.2018, Az. 6 Sa 442/17) ist die Erhebung der privaten Telefonnummer durch den Arbeitgeber ein erheblicher Eingriff in die Persönlichkeitsrechte des Mitarbeiters.
S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.
Groß war die Aufregung, als der EuGH entschied, dass die Betreiber der Facebook-Fanpages mit verantwortlich für ihre Seiten sind (vgl. Blog-Eintrag "Müssen wir Facebook jetzt sofort abschalten?"). Nun hat Facebook reagiert: Neue Nutzungsbedingungen für das Produkt „Insights“ wurden am gestrigen Tag veröffentlicht, in denen dem Betreiber der Seiten nicht nur die Verantwortung für die Seite übertragen wurde, sondern auch neue Pflichten festgelegt wurden:
Demnach übernimmt der Betreiber die rechtliche Verpflichtung,
- für die Rechtsgrundlage zur Verarbeitung der personenbezogenen Daten, die im Rahmen von Insight erhoben werden, zu sorgen,
- einen Verantwortlichen für die Datenverarbeitung zu benennen
sowie
- „jedwede sonstige rechtliche Pflichten zu erfüllen“.
Ein Recht, die durch Facebook verarbeiteten Daten auch zu erhalten, besteht indes im Umkehrschluss nicht.
Vielmehr sind Insights-Nutzer nun rechtlich verpflichtet, entsprechende Anfragen innerhalb von 7 Tagen an Facebook weiterzuleiten, wo diese in eigenem Ermessen durch Facebook beantwortet werden. Mehr noch, es ist den Mitverantwortlichen ausdrücklich untersagt, selbst zu antworten und eine Verpflichtung, von Facebook, den Mitverantwortlichen über den Stand einer laufenden Anfrage zu informieren, lässt sich den neuen Nutzungsbedingungen ebenfalls nicht entnehmen.
Die Tatsache, dass sich der Betreiber der Seite unwiderruflich dem irischen Recht und der irischen Gerichtsbarkeit unterwirft, soll ebenfalls nicht unerwähnt bleiben.
Am Ende der neuen Nutzungsbedingungen wird noch darauf hingewiesen, dass die Nutzungsbedingungen durch Facebook jederzeit geändert werden können, diesbezüglich ist der Betreiber der Seite verpflichtet, die Nutzungsbedingungen regelmäßig zu überprüfen.
Als erstes Fazit zu den neuen Nutzungsbedingungen lässt sich damit sagen:
Die Seitenbetreiber sind „auf dem Papier“ nun mitverantwortlich für die Verarbeitung der personenbezogenen Daten, haben aber weder Zugriff darauf, noch wissen sie, was mit den Daten passiert. Allerdings haben sie für die Rechtsgrundlage zur Verarbeitung zu sorgen. Wie dies geschehen soll, bleibt indes unklar. Ohne zu wissen, welche Daten zu welchem Zweck verarbeitet werden ist eine Information der betroffenen Personen jedenfalls nicht möglich, so dass eine informierte Einwilligung gem. Art. 6 Abs. 1 lit a) DSGVO durch diese jedenfalls ausscheidet und auch die Informationen nach Art. 13 DSGVO durch den Verantwortlichen können nicht bereitgestellt werden. Dieses Wissen bleiben Facebook überlassen. Der Verantwortliche muss Facebook andererseits über sämtliche Anfragen informieren und gibt dann das Verfahren komplett aus der Hand.
Da klingt der letzte Absatz der Nutzungsbedingungen wie ein Hohn, in dem es heißt:
„personenbezogene Daten“, „betroffene Person“ und „Verantwortlicher“ haben in dieser Seiten-Insights-Ergänzung die ihnen in der DSGVO zugewiesenen Bedeutungen.“
Art. 4 Nr. 7 DSGVO definiert nämlich den Verantwortlichen als denjenigen, der über die Zwecke und Mittel der Verarbeitung entscheidet. Eine Widerspiegelung dieser Definition in den neuen Nutzungsbedingungen ist auch mit viel gutem Willen leider nicht erkennbar.
Die Einhaltung der Verpflichtungen aus der neuen Nutzungserklärung sind durch den Betreiber der Seiten ohne weitere Informationen durch Facebook nicht einzuhalten. Wir können die Nutzung des Tools daher aus datenschutzrechtlicher Sicht nicht empfehlen.
C. Lürmann
Rechtsanwältin
Consultant Datenschutz
Jahrelang hat Herr S. die Facebook-Seite seines Arbeitgebers betreut. Er hat sie registriert, aufgebaut und gepflegt, mit Inhalten versorgt. Herr S. stellt sich neuen Herausforderungen und verlässt das Unternehmen, jetzt will der Arbeitgeber den Zugang zu dem Account und Zugriff auf sämtliche Inhalte – doch das Unternehmen geht leer aus.
Warum?
Das Arbeitsgericht in Brandenburg (AG Brandenburg, Urteil vom 31.1.2018 – 31 C 212/17) musste einen derartigen Fall entscheiden. Ausschlaggebend für die Entscheidung waren verschiedene Indizien, die wir hier kurz für Sie zusammengestellt haben:
- Impressum: Wer ist im Impressum der Fanpage genannt?
- Registrierte E-Mail-Adresse: Handelt es sich um eine dienstliche oder private Adresse?
- Nutzung: Sind auch private Inhalte des Administrators auf der Fanpage enthalten?
- Name: Sind ggfs. Markenrechtlich geschützte Inhalte auf der Fanpage und wem gehören die Markenrechte?
Zurück zum Fall:
Zwar war im Impressum der Fanpage das Unternehmen aufgeführt, aber bei der registrierten E-Mail-Adresse handelte es sich um die Privatadresse von Herrn S. Dieser hatte auch private Inhalte auf der Fanpage gepostet und zu allem Überfluss auch noch den verwendeten Markennamen auf seinen eigenen Namen schützen lassen. Und damit hat das Unternehmen vor Gericht verloren.
Hinsichtlich des Datenschutzes wies das Gericht im Übrigen explizit darauf hin, dass bei sogenannten „Misch-Accounts“, also Benutzerkonten die sowohl privat als auch beruflich genutzt werden, aufgrund des Fernmeldegeheimnisses (§ 88 TKG) die Inhalte durch den Betreiber solange zurückbehalten werden müssen, bis alle Kommunikationspartner der Offenlegung zugestimmt haben.
Damit Ihnen nicht ähnliches passiert, sollten Sie darauf achten, dass Ihre Präsenz in den Sozialen Netzwerken eindeutig als Unternehmenspräsenz geführt wird. Die Fanpage sollte auf das Unternehmen registriert sein und die Zugangsdaten im Unternehmen gespeichert. Wenn Sie private Inhalte seitens des Administrators auf der Fanpage zulassen, könnte es sich rechtlich um ein Misch-Account handeln, zu dem Sie keinen (unbeschränkten) Zugang mehr haben.
Aus diesem Grund raten wir generell dazu, sämtliche durch das Unternehmen zur Verfügung gestellte Hard- und Software ausschließlich zur betrieblichen Nutzung frei zu geben und dies auch von Zeit zu Zeit zu überprüfen und die Mitarbeiter auf Verstöße hinzuweisen und ggfs. sogar abzumahnen. Nur so ist ein Zugriff auf sämtliche Unternehmenskommunikation durch das Unternehmen selbst zu gewährleisten.
C. Lürmann
Rechtsanwältin
Consultant Datenschutz