Home / Aktuelles & Termine / it.sec blog

Die Aufsichtsbehörden für den Datenschutz der Länder Frankreich, Niederlande, Belgien, Spanien und des Bundeslandes Hamburg, haben in einer gemeinsamen Aktion die Praktiken von Facebook bezüglich des Datenschutzes geprüft.

Im Ergebnis (https://www.cnil.fr/en/facebook-sanctioned-several-breaches-french-data-protection-act) befand die CNIL, dass sowohl Facebook Inc. als auch Facebook Ireland Ltd. mehrere schwere Verstöße gegen geltendes französisches Datenschutzrecht begangen haben.

Unter anderem wirft die Behörde dem Unternehmen vor, dass die Sammlung von Nutzerdaten, um sie zu bündeln und für personalisierte Werbung zu verwenden, auf keiner Rechtsgrundlage gründet und die Sammlung der Daten durch unzulässiges Tracking mittels des ‚datr‘ Cookies erfolgt.

Eine angemessene Widerspruchslösung für die betroffenen Personen sei nicht ausreichend vorhanden. Weiterhin seien die Informationen bezüglich des Trackings vom Nutzerverhalten auf weiteren Websites für die betroffenen Personen nicht einwandfrei transparent, um nachvollziehen zu können wo und in welchem Umfang Daten erhoben werden.

Somit sei das Vorgehen des Unternehmens rechtswidrig und auch in so umfangreichem Maß begangen, dass es das höchstmögliche Bußgeld von 150.000 Euro aufgrund einer Datenschutzrechtsverletzung rechtfertigt.

Facebook beruft sich darauf, dass für das Unternehmen lediglich das irische Datenschutzrecht gelte, da es nur in Irland einen Sitz habe und somit Frankreich nicht für das Unternehmen zuständig sei.

Diesem Einwand wird von der CNIL aber ebenfalls Rechnung getragen (https://www.cnil.fr/fr/node/23602). Sie begründet ihre Zuständigkeit damit, dass Facebook im Zuge des Verkaufs von Werbung zahlreiche Büros in verschiedenen europäischen Ländern unterhalte und dieses Geschäft untrennbar mit der Verarbeitung der personenbezogenen Daten verbunden sei. Einzelstaatliches Datenschutzrecht eines jeden Mitgliedstaats komme damit zur Anwendung, in welchen diese Niederlassungen ihre Tätigkeit ausüben. Auf die Art der Niederlassung, also ob es sich dabei um Tochtergesellschaften mit eigener Rechtspersönlichkeit, unselbständige Zweigstellen oder lediglich kleine Büros handele, sei dabei unerheblich.

Dem Unternehmen stehen noch 4 Monate zu, in denen es Widerspruch gegen den Beschluss der CNIL einlegen kann.

Spätestens aber ab dem 25. Mai 2018 wird sich Facebook Inc. nicht mehr darauf berufen können, dass für andere Behörden keine Zuständigkeit besteht. Denn mit der DSGVO tritt das Marktortprinzip in Kraft, womit auch für jedes außereuropäische Unternehmen, das im Gebiet eines Mitgliedstaats agiert, die DSGVO zwingend gilt. In diesen Fällen ist jede Aufsichtsbehörde im Hoheitsgebiet ihres Mitgliedstaats zuständig.

Allerdings wird mit der DSGVO auch der One Stop Shop-Mechanismus (OSS) eingeführt. Danach ist im Normalfall bei einer Datenverarbeitung, die grenzüberschreitend in mehr als einem Mitgliedstaat erfolgt, die Aufsichtsbehörde des Mitgliedstaates zuständig, in dem das Unternehmen seine Hauptniederlassung oder seine einzige Niederlassung innerhalb der Europäischen Union hat – in diesem Fall wäre dann wohl doch die irische Aufsichtsbehörde zuständig. Allerdings entscheidet diese Behörde nicht allein, sondern muss die anderen Aufsichtsbehörden einbinden. Zudem ergibt sich das maßgebliche Datenschutzrecht in Irland dann ebenso aus der DSGVO.

Lisa Benjowski
Informationsjuristin (LL.B.), Consultant für Datenschutz

 

Abbinder Abmahnung Abmahnungen Abo-Falle ADCERT Angemessenheitsbeschluss Angriff Anklage Anwendbarkeit Anwendung Arbeitgeber Arbeitnehmer Arbeitsrecht Art. 17 DSGVO Art. 25 DSGVO Art. 26 DSGVO Art. 32 DSGVO Art. 37 DSGVO Art. 4 Nr. 12 DSGVO Art. 45 DSGVO Art. 8 MRK Art. 9 DSGVO Auchfsichtsbehörde Audit Aufsichtsbehörde Auftragsverarbeiter Auftragsverarbeitung Auskunftei Auskunftsrecht Automatisierte Einzelentscheidung Autsch Backup BAG BayDSG Bayerisches Datenschutzgesetz BDSG-Neu BEAST Begrifflichkeiten Beherbergungsstätten BEM Benachrichtigungspflicht Beschäftigtendatenschutz besondere Kategorien personenbezogener Daten betriebliche Eingliederungsmanagement betriebliche Nutzung betrieblicher E-Mail-Account betrieblicher Internetzugang Betriebsvereinbarung Betroffenenrechte BfDI BGH Bildberichterstattung Bildrechte biometrische Daten Biometrische und genetische Daten Bitcoins Bitkom Bonitätsprüfung Brexit Browser Bund Bundesarbeitsgericht Bußgeld Bußgelder BVG Cloud CNIL Compliance Cookie Custom Audience Cyber Dashcam Daten Datenlöschung Datenminimierung Datenpanne Datenschutz Datenschutz Grundverordnung Datenschutz-Schulungen Datenschutzabkommen Datenschutzauskunft-Zentrale Datenschutzbeauftragte Datenschutzbeauftragter Datenschutzerklärung Datenschutzgrundsätze Datenschutzgrundverordnung datenschutzkonform Datenschutzprinzipien Datenschutzverletzung Datensicherheit Datenübermittlung Datenübermittlung an Dritte Datenübermittlung in Drittstaaten Datenverarbeitung Deutsche Bahn Dienstleister Do not track-Funktion Donald Trump Dritter Drittstaat ohne angemessenes Datenschutzniveau Drittstaaten DSAnpUG-EU DSGVO DSK dynamische IP-Adresse E-Mail e-Privacy-Verordnung E-Rechnung eCall-Technologie EES EFAIL Einwilligung Einwilligungserklärung Einwilligungserklärungen Empfänger Entsorgung Erhebung Erhebung personenbezogener Daten Erwägungsgrund 48 der DSGVO eSafety-Initiative ETIAS EU EU-Datenschutz-Grundverordnung EU-Parlament EuGH Europäische Union Extra-Bezahlung Extra-Kosten Facebook Facebook-Fanpages Facebook-Pixel Fachbereich Fahrzeugdaten Fahrzeuge Fanpage Fanpagebetreiber FBI Feedback Fernmeldegeheimnis FlugDaG Fluggastdaten Folgenabschätzung Foto Funkmäuse Funktastaturen Geldbörse Gemeinsam Verantwortliche Gericht Gesetz gegen den Unlauteren Wettbewerb Gesundheitsdaten Google Google Analytics hacken Hacker Hash-Verfahren Hausverwaltung Head of Cyber Security Architectur Home Office Immobilienmakler Informationspflicht Informationspflichten Informationssicherheit Infrastruktur Inhalteanbieter Insights interner Datenschutzbeauftragter Investition IP-Adresse Irland ISO/IEC 27001 IT Governance IT GRC IT-Forensik IT-forensische Untersuchung IT-Security IT-Sicherheit IT-Systeme ITSECX Jin-hyok Joint Control Kanada Keynote Klagebefugnis Klingelschilder Kommune Konferenz Kontaktdaten Kontakte Konzern konzerninterner Datentransfer KoSIT Kriminalität KUG Kundenbindung Kundenzufriedenheit Kunsturhebergesetz Lazarus Leistungs- und Verhaltenskontrolle Löschung personenbezogener Daten Löschungsrecht Lösegeld Malware Markennamen Markenrecht Marktortprinzip MD5 Meldepflicht Meldescheine Meldung Meltdown Messenger Microsoft Mieter Misch-Account Mitarbeiter Mitbewerber MouseJack-Angriffe Netzwerklabor NIST Nordkorea Nutzungsbedingungen Öffnungsklauseln One Stop Shop Österreich Papierrechnung Passenger Name Records Passwort Passwörter Passwörter. 2016 Passwortregeln Passwortschutz Patientendaten Penetrationstest Personalausweiskopien personenbezogene Daten Personenbilder Persönlichkeitsrechte Pflichten Plattformbetreiber PNR-Daten PNR-Instrumente POODLE Privacy by Default Privacy by Design Privacy Shield privat private Handynummer private Mobilfunknummer Privatnutzung Privatnutzungsverbot Privatsphäre Profiling Quantencomputer Ransomware reale Infrastruktur Rechenzentren Rechenzentrum Recht auf Achtung des Privat- und Familienlebens Recht auf Berichtigung Recht auf Datenübertragbarkeit Recht auf Einschränkung Recht auf Löschung Rechte Rechte der betroffenen Person Referenten Regelungsaufträge Reichweitenanalyse Risiko Risikomanagement Risk & Compliance Management SamSam Sanktionen Schaden Schadprogramm Seitenbetreiber SHA1 sicher Sicherheitsvorfall Sicherheitsvorfälle kritische Infrastrukturen IT-Sicherheitsbeauftragten ISMS Sicherung der Daten Siegel Skype Smartphone Software Software-Entwicklung Sony Sony PSN Soziale Netzwerke Spectre Sponsoren Standardvertragsklauseln Strafe Strafverfolgung Studenten Supercomputer Risikolage Support Technische & organisatorische Maßnahmen technische & organisatorische Maßnahmen Telefonnummer Telemediendienst Telemediengesetz Telstra Security Report TKG TLS TMG Tracking Tracking Tools Twitter Übermittlung personenbezogener Daten Überwachungssoftware Umfrage Umsetzungsfrist unpersonalisierter Benutzer-Account Unternehmensgruppe US-Regierung USA UWG Verantwortlicher Verantwortung Vereinbarung Vernichtung von Datenträgern Veröffentlichung Verordnung (EU) 2015/758 verschlüsseln Verschlüsselte E-Mails Verschlüsselungsverfahren Verstoß Verstöße Vertrag zur Auftragsverarbeitung Verwaltungsakt Verwaltungsgericht Karlsruhe Videoüberwachung Virus Vorteile WannaCry Webseite Webseiten Webtracking Webtrecking Werbeaussage Werbung Wettbewerb Wettbewerbsrecht wettbewerbsrechtliche Abmahnung Wettbewerbsverstöße WhatsApp Whistleblowing Widerruf Widerrufsrecht Widerspruchsrecht Wohnung X-Rechnung Zertifikat Zertifizierung Zugangsdaten Zugriff zulässig Zulässigkeit § 15 TMG § 26 BDSG-Neu § 32 BDSG § 32 DSGVO § 35 BDSG-Neu § 38 BDSG-Neu § 3a UWG § 42a BDSG § 42b BDSG § 88 TKG

Tags

Mo Di Mi Do Fr Sa So
          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30
31