- Anzeigen -

Sie sind hier: Home » Recht » Datenschutz und Compliance

Facebook-Fanpages & Datenschutz-Verantwortung


Betreiber von Facebook-Fanpages können für Datenverarbeitungen von Facebook (mit)verantwortlich sein
Europäischer Gerichtshof bestätigt die Auffassung deutscher Datenschutzaufsichtsbehörden

- Anzeigen -





Der Gerichtshof der Europäischen Union (EuGH) hat mit einem Urteil bestätigt, dass der Betreiber einer Facebook-Fanpage – neben Facebook – datenschutzrechtlich dafür verantwortlich ist, dass Facebook Daten der Fanpagebesucher zur Erstellung von Besucherstatistiken erhebt.

Ausgangspunkt der Entscheidung ist ein seit 2011 anhängiger Verwaltungsrechtsstreit zwischen der Wirtschaftsakademie Schleswig-Holstein GmbH und dem Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD). Das Unternehmen vertrat die Auffassung, es dürfe eine Facebook-Fanpage betreiben, ohne sich darum kümmern zu müssen, ob Facebook das Datenschutzrecht einhält. Der EuGH stellte nun klar, dass diese Auffassung nicht mit europäischem Datenschutzrecht vereinbar ist: "Der Umstand, dass ein Betreiber einer Fanpage die von Facebook eingerichtete Plattform nutzt, um die dazugehörigen Dienstleistungen in Anspruch zu nehmen, kann diesen nämlich nicht von der Beachtung seiner Verpflichtungen im Bereich des Schutzes personenbezogener Daten befreien." (Rn. 40)

Datenschutzrechtlich verantwortlich ist, wer über die Zwecke und Mittel einer Verarbeitung personenbezogener Daten entscheidet. Der EuGH hat dazu festgestellt, dass der Begriff des Verantwortlichen weit zu fassen ist, um einen wirksamen und umfassenden Schutz der betroffenen Personen zu gewährleisten. Der Betreiber einer Facebook-Fanpage ist beteiligt an der Entscheidung über die Zwecke und Mittel der Verarbeitung personenbezogener Daten der Besucher seiner Fanpage.

Er gestaltet sein Informations- und Kommunikationsangebot selbst und trägt damit zur Verarbeitung der personenbezogenen Daten der Besucher seiner Fanpage bei. Da Facebook ebenfalls die Zwecke und Mittel der Verarbeitung bestimmt, haben Facebook und Betreiber von Facebook-Fanpages die datenschutzrechtliche Verantwortlichkeit gemeinsam wahrzunehmen.

Der EuGH führt aus, dass ein Fanpage-Betreiber nicht bloßer Facebook-Nutzer ist, sondern als Ver-antwortlicher Facebook die Möglichkeit gibt, durch den Betrieb der Fanpage Cookies zu setzen, und insbesondere mit Hilfe von durch Facebook zur Verfügung gestellten Filtern die Kriterien festlegen kann, nach denen Statistiken erstellt werden. Für die Verantwortlichkeit ist nicht ausschlaggebend, dass ein Zugang zu den betreffenden personenbezogenen Daten besteht. Der EuGH bestätigt auch, dass das ULD aufsichtsbehördliche Maßnahmen gegen den in Schleswig-Holstein ansässigen Betreiber einer Facebook-Fanpage richten durfte. Allein die Möglichkeit, auf-sichtsbehördlich auf Facebook einzuwirken, schließt Maßnahmen gegen den mitverantwortlichen Anbieter einer Facebook-Fanpage nicht aus.

Die Landesbeauftragte für Datenschutz Schleswig-Holstein Marit Hansen begrüßt das Urteil des EuGH:
"Die Entscheidung hat meine Einschätzung bestätigt, dass es keine Verantwortungslücken im Datenschutz geben kann. Konkret bedeutet dies nun für alle Fanpage-Betreiber, dass zwischen ihnen und Facebook geklärt sein muss, welche Datenschutzpflichten sie selbst zu erfüllen haben und für welche Facebook zuständig ist. Dies gilt insbesondere für die Informationspflichten: Ohne Transparenz, wie die Daten über alle Nutzenden – d. h. Mitglieder und Nicht-Mitglieder von Face-book – verarbeitet werden, funktioniert dies nicht. Bei den Betroffenenrechten, z. B. dem Recht auf Auskunft oder Berichtigung, gilt: Jeder kann diese Rechte sowohl gegenüber dem Fanpage-Betreiber als auch gegenüber Facebook direkt geltend machen."

Hansen hält es für nötig, dass Fragen zur Datenschutz-Grundverordnung dem EuGH in Zukunft früher vorgelegt werden: "Für Rechtssicherheit ist eine schnelle gerichtliche Klärung essentiell. Gerichtliche Verfahren zu derartigen Grundsatzfragen gehören auf die Überholspur. Ich bin davon überzeugt, dass einige Fälle von Datenmissbrauch – ich erinnere an Cambridge Analytica – hätten verhindert werden können, wenn bereits 2011 alle deutschen oder gar europäischen Fanpage-Betreiber die Datenschutzkonformität für ihre Angebote eingefordert hätten."

Der Bayerische Landesbeauftragte für den Datenschutz Thomas Petri empfiehlt den bayerischen öffentlichen Stellen, anhand des Urteils ihre Öffentlichkeitsarbeit bei Anbietern Sozialer Medien kritisch zu überprüfen:

"Der Europäische Gerichtshof hat unmissverständlich klargestellt, dass der Betreiber einer Fanpage nicht dadurch von der Beachtung seiner datenschutzrechtlichen Pflichten freigestellt ist, dass er die von einem anderen Anbieter gestellte Plattform nutzt. Zu Datenverarbeitungen von Facebook und anderen Sozialen Medien sind europaweit bereits zahlreiche Beschwerden bei Datenschutzaufsichtsbehörden eingegangen. Angesichts bisheriger Erfahrungen wäre es im Ergebnis nicht überraschend, wenn Facebook Daten auch am Maßstab der Datenschutz-Grundverordnung rechtswidrig verarbeitet. Entweder müssen Soziale Medien sich an die in Europa geltenden Datenschutzvorschriften halten oder sie können nicht mitverantwortlich genutzt werden. Mögliche Vorteile bei der Öffentlichkeitsarbeit rechtfertigen jedenfalls keine Datenschutzverstöße."

Die Entscheidung des EuGH ist verfügbar unter dem folgenden Link:
https://www.datenschutzzentrum.de/artikel/1242-.html

Die Schlussanträge des Generalanwalts finden sich hier:
https://www.datenschutzzentrum.de/artikel/1170-.html

Näheres zur Entscheidung des BVerwG und den Vorlagefragen an den EuGH:
https://www.datenschutzzentrum.de/artikel/1013-.html

Weitere Informationen zum Hintergrund:
https://www.datenschutzzentrum.de/facebook/
(ULD: ra)

eingetragen: 08.07.18
Newsletterlauf: 09.08.18

ULD: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -




Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Datenschutz und Compliance

  • Plötzlich im Homeoffice - und der Datenschutz?

    Aufgrund der Corona-Pandemie sollen alle Menschen ihre direkten Kontakte einschränken. Das bedeutet auch, dass die meisten nun zu Hause bleiben. Wann immer es geht, schicken Unternehmen und Behörden ihre Mitarbeiterinnen und Mitarbeiter ins Homeoffice. Auf was muss man achten, um auch zu Hause die Datenschutzanforderungen zu erfüllen?Marit Hansen, die Landesbeauftragte für Datenschutz Schleswig-Holstein, berichtet von zahlreichen Anfragen zum Thema Homeoffice: "Für viele Mitarbeiterinnen und Mitarbeiter heißt es gerade: Ab sofort Homeoffice! Viele Unternehmen und Behörden kannten dies bisher gar nicht oder nur in Ausnahmefällen. Deswegen wird vielerorts gerade improvisiert, um den Betrieb am Laufen zu halten und dabei die Bedürfnisse aller Beschäftigten möglichst gut zu erfüllen."

  • Datenschutz in Zeiten der Corona-Pandemie?

    Marit Hansen, die Landesbeauftragte für Datenschutz Schleswig-Holstein, hat diese Woche ihren Tätigkeitsbericht für das Jahr 2019 vorgelegt: Auf knapp 150 Seiten werden die Themen Datenschutz und Informationsfreiheit beleuchtet, Empfehlungen gegeben und Verbesserungen eingefordert. Interessante Fälle dienen als mahnendes Beispiel, wie es die Verantwortlichen nicht machen sollen. Datenschutz in Zeiten der Corona-Pandemie? "Ja, besonders in Krisenzeiten ist Datenschutz wichtig", sagt Hansen. "Fast täglich melden sich Menschen bei uns, die Angst um ihre Daten haben. Sie fühlen sich nicht gut genug informiert, um verstehen zu können, wie der Staat, Firmen oder ihr Arbeitgeber mit den Daten umgehen, die dort mit der Begründung "Corona" gesammelt und ausgewertet werden. Auch befürchten sie, dass ihre Daten nicht ausreichend gegen einen unbefugten Zugriff geschützt sind und missbraucht werden könnten. Deswegen informieren wir regelmäßig über unsere Webseite."

  • Datenschutz und Infektionsschutz

    Angesichts der Corona-Krise soll das Infektionsschutzgesetz zügig der neuen Lage angepasst werden. In der nun vom Bundeskabinett beschlossenen Fassung sind Einschränkungen des Grundrechts auf Datenschutz geplant. Beispielsweise sieht der Gesetzentwurf keine festen Regeln für die Löschung von Daten vor, die bei Reisenden nach dem Infektionsschutzgesetz erhoben werden. Daneben soll das Bundesministerium für Gesundheit (BMG) laut dem Entwurf dazu verpflichtet werden, dem Deutschen Bundestag spätestens zum 31. März 2021 einen Bericht mit den Erkenntnissen aus der derzeitigen Pandemie vorzulegen. Dieser sollte notwendige Verbesserungen darlegen. Angesichts der Einschränkungen der informationellen Selbstbestimmung die der Gesetzentwurf vorsieht, sollte über die Auswirkungen dieser Regelungen ebenfalls berichtet werden.

  • Einschränkungen einer Datenweitergabe

    Der Europäische Datenschutzausschuss (EDSA) hat am 19. Februar Leitlinien für den internationalen Datentransfer zwischen Behörden und von Behörden zu internationalen Organisationen beschlossen. Der Ausschuss stellt damit klar, dass auch staatliche Stellen ihre internationalen Datentransfers absichern müssen. Die Richtlinien legen spezifische Schutzmaßnahmen fest, wenn Behörden personenbezogene Daten an Partnerbehörden in Drittländern oder an internationale Organisationen übermitteln. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Professor Ulrich Kelber begrüßte die Einigung: In der Datenschutzrichtlinie waren keine spezifischen Schutzmaßnahmen vorgesehen. Der EDSA macht heute eindeutig, dass der Datenschutz bei internationalen Datentransfers zwischen Behörden rechtlich bindend und durchsetzbar geregelt sein muss.

  • Stärkung des Grundrechts auf Datenschutz

    Am 18. Februar hat der Europäische Datenschutzausschuss (EDSA) einen gemeinsamen Antwortbeitrag zur Evaluierung der Datenschutz-Grundverordnung (DSGVO) beschlossen. Die Europäische Kommission hatte den EDSA um einen Beitrag zum Evaluierungsverfahren gebeten. Der Ausschuss betont in seiner Antwort die Bedeutung der DSGVO für den Schutz und die Stärkung des Grundrechts auf Datenschutz innerhalb der EU. Dazu sagte der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Professor Ulrich Kelber: "Meine Kollegen und ich halten groß angelegte gesetzliche Änderungen an der DSGVO für verfrüht. Wir sehen aber Bedarf für Verbesserungen bei der praktischen Umsetzung. Das gilt insbesondere im Bereich der Zusammenarbeit der Datenschutzaufsichtsbehörden in grenzüberschreitenden Verfahren. Unterschiede in den nationalen Verwaltungsverfahren dürfen nicht dazu führen, dass die Effektivität der Durchsetzung der DSGVO gegenüber Unternehmen, die Datenschutzverstöße begangen haben, beeinträchtigt wird."