Home / Aktuelles & Termine / it.sec blog

Am 07.06.2018 hatten wir über das EuGH-Urteil (Rechtssache C‑210/16) vom 05.06.2018 berichtet.

Mit seiner Entscheidung befand der EuGH, dass der „Betreiber (…) gemeinsam mit Facebook Ireland (…)“ als „Verantwortlicher im Sinne von“ Art. 4 Nr. 7 DSGVO „einzustufen“ ist (Rn 39). Auch wenn dies „nicht zwangsläufig eine gleichwertige Verantwortlichkeit“ bedeutet, sondern nach den „Umstände[n] des Einzelfalls zu beurteilen“ ist (Rn 43).

Nach diesem Urteil müssten sich die Fanpagebetreiber die Datenverarbeitungsvorgänge - und damit auch Datenschutzverstöße - der Plattformbetreiber (Facebook u.a.) anrechnen lassen.

Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) hat nun in ihrer Entschließung vom 06.06.2018 eine Handlungsanweisung herausgegeben: Demnach muss sich jeder Fanpagebetreiber selbst versichern, dass der Plattformbetreiber ihm die Informationen gemäß Art. 13, 14 DSGVO zur Verfügung stellt. Des Weiteren muss jeder Fanpagebetreiber mit dem Plattformbetreiber einen Joint Control-Vertrag i.S.v. Art. 26 DSGVO abschließen.

Facebook hat mittlerweile Stellung zum EuGH-Urteil bezogen:

„Wir werden die notwendigen Schritte unternehmen, um es den Seitenbetreibern zu ermöglichen, ihren rechtlichen Verpflichtungen nachzukommen. (…) Wir werden unsere Nutzungsbedingungen bzw. Richtlinien für Seiten aktualisieren, um die Verantwortlichkeiten sowohl von Facebook als auch von Seitenbetreibern klarzustellen, und damit auch die Einhaltung der rechtlichen Vorgaben für die Seitenbetreiber zu erleichtern. Details zu unseren aktualisierten Bedingungen werden wir in Kürze bekanntgeben. In der Zwischenzeit können Facebook-Seiten wie gewohnt genutzt werden.“

S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.

Und schon wieder gab es eine datenschutzrechtliche Entscheidung, die für Aufregung sorgt, diesmal durch den EuGH.

Hintergrund:

Im Bemühen, gegen Facebook und dessen intransparenter Datenverarbeitung vorzugehen, erließ bereits 2011 das ULD (Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein) gegen die Wirtschaftsakademie der IHK eine Verfügung, wonach diese ihre Fanpage auf Facebook zu deaktivieren habe. Die Überlegung dabei war, dass die Wirtschaftsakademie selbst zwar keine Daten sammle, durch seine Entscheidung, eine Fanpage zu eröffnen, es jedoch Facebook erst ermöglichte, Cookies, also kleine Dateien auf den Festplatten der Besucher der Fanpage zu platzieren. Cookies erlauben es, Informationen über einen bestimmten Zeitraum vorzuhalten und den Rechner des Besuchers zu identifizieren. Daher nahm das ULD die Wirtschaftsakademie als Verantwortlichen in Anspruch. Nachdem das ULD in den Instanzen vor den unteren nationalen Gerichten unterlegen war, landete die Sache beim BVerwG, das – um eine einheitliche europäische Rechtsprechung zu gewährleisten – die relevanten rechtlichen Entscheidungsgrundlagen vorab durch den EuGH beurteilen ließ. Dabei hatte der EuGH zu insgesamt sechs verschiedenen Fragen Stellung zu beziehen.

Im Fokus dieses Artikels stehen dabei die ersten beiden Fragen. Dabei wollte das BVerwG geklärt haben, ob es im Rahmen der Datenverarbeitung mehr als einen Verantwortlichen geben könne, auch wenn diese nicht auf dieselben Daten Zugriff haben.

Entscheidung:

Mit seiner Entscheidung befand der EuGH, dass der Begriff des Verantwortlichen zum Schutz der Rechte der Bürger weit auszulegen sei. Nicht nur Facebook träfe daher die Verantwortung für die im Rahmen der Fanpages gesammelten Daten, sondern auch der Betreiber der Fanpage, der es insbesondere auch Nicht-Facebook-Mitgliedern erlaube, seine Fanpage zu besuchen. Der Betreiber ermögliche Facebook dadurch, Cookies im Speicher der jeweiligen Benutzer abzulegen und dadurch deren Verhalten zu analysieren. Im Rahmen der Funktion Facebook Insight, die den Betreibern von Fanpages zur Verfügung steht, würden den Betreibern zwar lediglich anonymisierte Auswertungen zur Verfügung gestellt, gleichwohl verfüge Facebook über eine Vielzahl an Einzelinformationen von Betroffenen, aus denen die Statistiken erstellt würden. Über diese Informationen verfüge Facebook ausschließlich aus dem Grund, dass der Betreiber der Fanpage die entsprechende Parametrisierung der gewünschten Informationen vorgenommen habe. Daher sei dieser zumindest mit für die Verarbeitung der Daten verantwortlich. Es komme insbesondere nicht darauf an, dass alle Verantwortlichen Zugriff auf dieselben Daten haben, um eine gemeinsame Verantwortlichkeit zu begründen.

Ausblick:

Was bedeutet das konkret für Fanseiten bei Facebook? Zunächst einmal noch nichts, denn wie dargestellt, handelt es sich bei der Entscheidung des EuGH um eine Auslegungshilfe für die Richter, die die entsprechende Vorschriften nun anwenden müssen. Eine Entscheidung durch das BVerwG steht indes noch aus. Insofern dürften sich die Aufsichtsbehörden im Moment noch zurückhalten und zunächst den Abschluss des Verfahrens abwarten, bevor sie in irgendeiner Weise tätig werden.

Andererseits ist die Entscheidung jedoch ein guter Anlass, den eigenen Einsatz von „Datensammelstellen“ in sozialen Netzwerken oder auf andere Weise (z.B. auch WhatsApp) zu überdenken. Die Unternehmen, als Kunden der Datensammler haben nämlich plötzlich als Verantwortliche ein eigenes Interesse daran, genau zu erfahren, welche Daten von wem gesammelt werden und was mit diesen Daten passiert. Erhalten sie diesbezüglich keine Information von den Mitverantwortlichen, haben sie es in der Hand, ihre Seiten zu schließen und könnten damit den großen Anbietern ihre Geschäftsgrundlage mit dem Datenhandel entziehen. Als Vertragspartner können, nein, müssen die Unternehmen von den Anbietern mehr Transparenz verlangen, wie mit den gesammelten Daten umgegangen wird. Nicht zuletzt sind sie als Verantwortliche dazu verpflichtet, die Besucher ihrer Webseiten entsprechend der DSGVO zu informieren, was sie nur dann können, wenn sie selbst wissen, was mit den Daten passiert.

Insgesamt sollte in dem EuGH Urteil damit keine Bedrohung gesehen werden, sondern vielmehr eine Chance für die Unternehmen. Ihre Auffassung und ihre datenschutzrechtlichen Belange könnten künftig im Rahmen der Vertragsgestaltung mit den „Großen“ eher Beachtung finden. Facebook, WhatsApp & Co. könnten durch die Entscheidung des EuGH gezwungen sein, die Verarbeitung personenbezogener Daten transparenter zu gestalten und es damit auch ihren Kunden nun endlich ermöglichen, ihrer datenschutzrechtlichen Verantwortung nachzukommen, denn gemäß dem ULD bedeutet die Entscheidung des EuGH „dass zwischen [den Unternehmen] und Facebook geklärt sein muss, welche Datenschutzpflichten sie selbst zu erfüllen haben und für welche Facebook zuständig ist. Dies gilt insbesondere für die Informationspflichten“. Damit sollten die Anbieter der Sozialen Netzwerke den Unternehmen, wenn sie diese als Kunden nicht verlieren möchten, auch im Bereich Datenschutz nun weit entgegenkommen.

C. Lürmann
Rechtsanwältin
Consultant Datenschutz

Da die Datenübermittlung an Dritte und die dadurch bedingte Offenlegung personenbezogener Daten eine für die betroffene Person besonders belastende Datenverarbeitung darstellt, muss der Verantwortliche prüfen, ob diese Datenverarbeitung zulässig ist.

Dritte sind dabei Personen oder Stellen außerhalb des Verantwortlichen, davon ausgenommen sind die betroffene Personen selbst sowie die Auftragsverarbeiter.

Die Zulässigkeit der Übermittlung personenbezogener Daten an Dritte bestimmt sich ebenso nach Art. 6 Abs. 1 Datenschutzgrundverordnung (DSGVO). Danach ist die Übermittlung personenbezogener Daten an Dritte nur zulässig

  • mit wirksamer Einwilligung der betroffenen Person,
  • zur Erfüllung eines Vertrages, dessen Vertragspartei die betroffene Person ist,
  • zur Durchführung vorvertraglicher Maßnahmen auf Anfrage der betroffenen Person,
  • zur Begründung, Durchführung und Beendigung des Beschäftigungsverhältnisses,
  • zur Erfüllung einer rechtlichen Verpflichtung, der der Verantwortliche unterliegt,
  • zur Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten, sofern nicht schutzwürdige Interessen oder die Grundrechte und Grundfreiheiten der betroffenen Person am Ausschluss einer solchen Übermittlung überwiegen,
  • zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person oder
  • zur Erfüllung hoheitlicher Aufgaben, die dem Verantwortlichen übertragen wurden.

Eine mit der Datenübermittlung verbundene Begründung gemeinsamer Kontrolle ist abzusichern über einen Joint Control-Vertrag nach Art. 26 DSGVO.

S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.

Abbinder Abmahnung Abmahnungen ADCERT Angemessenheitsbeschluss Anwendbarkeit Arbeitsrecht Art. 17 DSGVO Art. 25 DSGVO Art. 26 DSGVO Art. 32 DSGVO Art. 37 DSGVO Art. 4 Nr. 12 DSGVO Art. 45 DSGVO Art. 8 MRK Art. 9 DSGVO Auchfsichtsbehörde Audit Aufsichtsbehörde Auftragsverarbeitung Auskunftei Auskunftsrecht Automatisierte Einzelentscheidung Autsch Backup BAG BDSG-Neu Begrifflichkeiten Beherbergungsstätten Benachrichtigungspflicht Beschäftigtendatenschutz besondere Kategorien personenbezogener Daten betriebliche Nutzung betrieblicher E-Mail-Account betrieblicher Internetzugang Betroffenenrechte BfDI BGH Bildberichterstattung Bildrechte biometrische Daten Biometrische und genetische Daten Bitcoins Bitkom Bonitätsprüfung Brexit Bundesarbeitsgericht Bußgeld BVG Cloud CNIL Compliance Cookie Custom Audience Dashcam Datenlöschung Datenminimierung Datenpanne Datenschutz Datenschutz Grundverordnung Datenschutz-Schulungen Datenschutzabkommen Datenschutzbeauftragte Datenschutzbeauftragter Datenschutzerklärung Datenschutzgrundsätze Datenschutzgrundverordnung Datenschutzprinzipien Datenschutzverletzung Datensicherheit Datenübermittlung Datenübermittlung an Dritte Datenübermittlung in Drittstaaten Datenverarbeitung Deutsche Bahn Do not track-Funktion Donald Trump Dritter Drittstaat ohne angemessenes Datenschutzniveau DSAnpUG-EU DSGVO DSK dynamische IP-Adresse E-Mail e-Privacy-Verordnung eCall-Technologie EES EFAIL Einwilligung Einwilligungserklärung Einwilligungserklärungen Empfänger Entsorgung Erhebung personenbezogener Daten Erwägungsgrund 48 der DSGVO eSafety-Initiative ETIAS EU EU-Datenschutz-Grundverordnung EU-Parlament EuGH Europäische Union Facebook Facebook-Fanpages Facebook-Pixel Fachbereich Fahrzeugdaten Fahrzeuge Fanpage Fernmeldegeheimnis FlugDaG Fluggastdaten Foto Funkmäuse Funktastaturen Geldbörse Gemeinsam Verantwortliche Gesetz gegen den Unlauteren Wettbewerb Google Google Analytics Hacker Home Office Immobilienmakler Informationspflichten Informationssicherheit Infrastruktur Inhalteanbieter Insights interner Datenschutzbeauftragter Investition IP-Adresse Irland ISO/IEC 27001 IT Governance IT GRC IT-Forensik IT-forensische Untersuchung IT-Sicherheit IT-Systeme Joint Control Kanada Klagebefugnis Konzern konzerninterner Datentransfer KUG Kundenbindung Kunsturhebergesetz Leistungs- und Verhaltenskontrolle Löschung personenbezogener Daten Lösegeld Markennamen Markenrecht Marktortprinzip Meldepflicht Meldescheine Meltdown Microsoft Misch-Account MouseJack-Angriffe NIST Nutzungsbedingungen One Stop Shop Passenger Name Records Passwort Passwörter Passwörter. 2016 Passwortregeln Passwortschutz Penetrationstest Personalausweiskopien personenbezogene Daten Personenbilder Persönlichkeitsrechte Plattformbetreiber PNR-Daten PNR-Instrumente Privacy by Default Privacy by Design Privacy Shield private Handynummer private Mobilfunknummer Privatnutzung Privatnutzungsverbot Profiling Quantencomputer Ransomware reale Infrastruktur Recht auf Achtung des Privat- und Familienlebens Recht auf Berichtigung Recht auf Datenübertragbarkeit Recht auf Einschränkung Recht auf Löschung Rechte der betroffenen Person Reichweitenanalyse Risiko Risikomanagement Risk & Compliance Management SamSam Sanktionen Schadprogramm Seitenbetreiber Sicherheitsvorfall Sicherheitsvorfälle kritische Infrastrukturen IT-Sicherheitsbeauftragten ISMS Sicherung der Daten Siegel Skype Software Software-Entwicklung Sony PSN Soziale Netzwerke Spectre Standardvertragsklauseln Supercomputer Risikolage Technische & organisatorische Maßnahmen technische & organisatorische Maßnahmen Telemediendienst Telemediengesetz Telstra Security Report TKG TMG Tracking Tracking Tools Twitter Übermittlung personenbezogener Daten Überwachungssoftware Umfrage Umsetzungsfrist unpersonalisierter Benutzer-Account Unternehmensgruppe US-Regierung USA UWG Verantwortlicher Verantwortung Vereinbarung Vernichtung von Datenträgern Veröffentlichung Verordnung (EU) 2015/758 verschlüsseln Verschlüsselte E-Mails Verschlüsselungsverfahren Vertrag zur Auftragsverarbeitung Verwaltungsakt Verwaltungsgericht Karlsruhe Videoüberwachung Vorteile WannaCry Webseite Webseiten Webtracking Webtrecking Werbeaussage Werbung Wettbewerb Wettbewerbsrecht wettbewerbsrechtliche Abmahnung Wettbewerbsverstöße WhatsApp Widerruf Widerrufsrecht Widerspruchsrecht Zertifikat Zertifizierung Zugangsdaten zulässig Zulässigkeit § 15 TMG § 26 BDSG-Neu § 32 BDSG § 32 DSGVO § 35 BDSG-Neu § 38 BDSG-Neu § 3a UWG § 42a BDSG § 42b BDSG § 88 TKG

Tags

Mo Di Mi Do Fr Sa So
          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30