Am 05.06.2018 hat der EuGH entschieden, dass Nutzer, die bei Facebook eine Fanpage betreiben, für diese datenschutzrechtlich eine Mitverantwortung tragen. In großer Panik haben viele Unternehmen ihre Fanpages gelöscht – das halte ich für überstürzt, denn:

  1. Wer einen Account oder Fanpage zu ausschließlich privaten und familären Zwecken nutzt, ist von der Datenschutz-Grundverordnung (DSGVO) nicht betroffen.
  2. Die Vorabentscheidung des EuGH klärt nur, wie weit der Begriff der „verantwortlichen Stelle“ auszulegen ist. Unmittelbare Auswirkung auf die Haftung von Fanpage-Betreibern hat das nicht.
  3. Der dem Verfahren zugrunde liegende Sachverhalt ist veraltet – längst hat Facebook Erläuterungen zur Datenverarbeitung mit Cookies in seiner Datenschutzrichtlinie nachgebessert. Über das Seitenimpressum der Page kann zudem eine externe Datenrichtline eingepflegt werden.
  4. Die Datenschutz-Grundverordnung sieht das Konstrukt der „Gemeinsamen Verantwortung“ gem. Art. 26 DSGVO vor. Facebook könnte auf die Nutzer im Geltungsbereich der DSGVO zugehen und die gemeinsame Verantwortung regeln, sodass klar ist, wer welche Pflichten hat und wie sich die Haftung für mögliche Datenschutzverstöße durch Facebook auf Fanpage-Betreiber auswirkt.
  5. Abzuwarten bleibt auch die endgültige Entscheidung des Bundesverwaltungsgerichts – erst diese unmittelbare Rechtswirkung für deutsche Fanpage-Betreiber haben.

Mehr dazu in meiner Urteilsanmerkung in der Legal Tribune Online vom 6.6.2018: 

https://www.lto.de/recht/hintergruende/h/eugh-c21016-facebook-fanpages-datenschutz-verantwortlichkeit/ 

Das Gericht begründet seine lange erwartete Entscheidung damit, dass Facebook Cookies setzt, um die Insights zu generieren. Diese Insights enthalten demografische Angaben und Informationen über die Interessen der Nutzer. Fanpage-Betreiber verwenden diese Informationen, um ihre Fanpages zielgruppengerecht anzupassen und Werbeschaltungen (Promotions) zu optimieren; daher seien sie gemeinsam mit Facebook für die Zwecke und Mittel der Datenverarbeitung verantwortlich. 

„Nach Auffassung des Unabhängigen Landeszentrums für Datenschutz wiesen nämlich weder die Wirtschaftsakademie noch Facebook die Besucher der Fanpage darauf hin, dass Facebook mittels Cookies sie betreffende personenbezogene Daten erhebt und diese Daten danach verarbeitet (…).

Sodann befindet der Gerichtshof, dass ein Betreiber wie die Wirtschaftsakademie als in der Union gemeinsam mit Facebook Ireland für die fragliche Datenverarbeitung verantwortlich anzusehen ist.

Ein solcher Betreiber ist nämlich durch die von ihm vorgenommene Parametrierung (u. a. entsprechend seinem Zielpublikum sowie den Zielen der Steuerung oder Förderung seiner Tätigkeiten) an der Entscheidung über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten der Besucher seiner Fanpage beteiligt. Der Gerichtshof weist insoweit darauf hin, dass der Fanpage-Betreiber insbesondere demografische Daten über seine Zielgruppe – und damit die Verarbeitung dieser Daten – verlangen kann (u. a. Tendenzen in den Bereichen Alter, Geschlecht, Beziehungsstatus und berufliche Situation), Informationen über den Lebensstil und die Interessen seiner Zielgruppe (einschließlich Informationen über die Käufe und das Online-Kaufverhalten der Besucher seiner Seite sowie über die Kategorien von Waren oder Dienstleistungen, die sie am meisten interessieren) und geografische Daten, die ihn darüber informieren, wo spezielle Werbeaktionen durchzuführen oder Veranstaltungen zu organisieren sind und ihm ganz allgemein ermöglichen, sein Informationsangebot so zielgerichtet wie möglich zu gestalten.“ (PM EuGH)

Was bedeutet das für die Praxis?

Das Risiko, dass eine Datenschutzaufsichtsbehörde oder ein Abmahn-Anwalt gegen fehlende oder unzureichende Datenschutz-Informationen auf FB-Fanpages vorgehen werden, ist deutlich gestiegen. Gleichwohl informiert Facebook mittlerweile relativ umfangreich darüber, wie Cookies gesetzt bzw. personenbezogene Daten verarbeitet werden. Welche Anpassungen bei der Fanpage vorgenommen werden müssen, um diese legal zu betreiben, sollte daher genau geprüft und die Risiken abgewogen werden. Fanpage-Betreiber unterliegen nunmehr den Anforderungen der DSGVO.  Fanpage-Betreiber können im Seitenimpressum unter „Datenrichtlinie“ Datenschutz-Informationen gem. Art. 13 DSGVO darüber aufnehmen, wie personenbezogene Daten gemeinsam mit Facebook verarbeitet werden. Insbesondere Gewinnspiele und die hier erwähnten Insights sollten angesprochen werden.

 

Es gibt viele Infos über die DSGVO – wer aber versucht, die Musterformulare in der Praxis umzusetzen, verliert schnell die Nerven. In diesem Seminar erkläre ich Schritt für Schritt, wie man Datenschutz in der Kanzlei tatsächlich umsetzt und anwendet. Anmeldung und weitere Informationen über Facebook:

„Jetzt über WhatsApp bestellen“ – Apotheken, die unbedarft und ohne ausdrückliche Einwilligung WhatsApp einsetzen, um von ihren Kunden Arzneimittelbestellungen entgegen zunehmen, handeln rechtswidrig. Nach Auffassung des Bayerischen Landesamtes für den Datenschutz erfüllen Apotheken dabei nicht ohne weiteres die Anforderungen an die technischen und organisatorischen Maßnahmen für Daten mit hohem Schutzbedarf. Das Bedürfnis der Apotheken als Verantwortliche ihren Kunden eine weit verbreitete und einfach anwendbare Kommunikationsmöglichkeit zu Verfügung zu stellen, erkennt das Landesamt jedoch an, wenn dies von Kunden ausdrücklich gewünscht und nachgefragt wird.

 

Aus diesem Grund könne WhatsApp aus der Sicht des Landesamtes beanstandungsfrei eingesetzt werden, wenn der Verantwortliche den Nutzer hinreichend auf die gegenwärtigen Datenschutzbedenken hinweise, eine informierte transparente Einwilligung einhole und dem Kunden parallel ein anderer sicherer Kommunikationsweg ohne Medienbruch angeboten werde, damit sich der Kunde frei für oder gegen eine WhatsApp-Kommunikation entscheiden könne. Weitere Hinweise zur Geltendmachung von Betroffenenrechten können die Erklärung abrunden.

Mit der Anwendbarkeit der Datenschutz-Grundverordnung ab dem 25. Mai wird es auch für Apotheken ernst: Gesundheitsdaten sind als „besondere Kategorie“ gem. Art. 9 DSGVO strengen Anforderungen an die Einwilligung und die Zweckbindung ausgesetzt. Neben der Pflicht zur Gewährleistung der Sicherheit der Datenverarbeitung (Art. 32 DSGVO) wird hier künftig das Erfordernis einer Datenschutz-Folgenabschätzung (Art. 35 DSGVO) zu beachten sein. Zur Vermeidung von Haftungsfällen nach Art. 82 DSGVO und Bußgeldverfahren ist eine frühzeitige Befassung mit dieser Problematik und eine datenschutzrechtlich zulässige Umsetzung anzuraten.

Mehr dazu: „Bedenken first – WhatsApp second Die digitale Arzneimittelvorbestellung sollte wohlüberlegt sein“, erschienen in der Januar-Ausgabe 2018 der Deutschen Apotheker Zeitung (DAZ): 

https://www.deutsche-apotheker-zeitung.de/daz-az/2018/daz-1-2018/bedenken-first-whatsapp-second  

Bildquelle: freestocks.org on Unsplash.

 

 

 

 

 

„Das kann ich Ihnen nicht sagen, … wegen Datenschutz!“ ist ein Satz, den man kennt: Was ist das eigentlich dieser Datenschutz? Das jetzt von Herrn Regierungsrat Alexander Seidl und mir verfasste Werk richtet sich an Einsteiger in das RechtsgebietVerwaltungsanwärter und -schüler sowie für behördliche Datenschutzbeauftragte konzipiert. Weiterlesen

Unternehmen können bei Facebook eigene Seiten, sogenannte Fanpages, betreiben, um für Ihre Produkte und Dienstleistungen zu werben. Ob die Nutzung von Fanpages eine datenschutzrechtliche Verantwortlichkeit nach sich zieht ist bislang nicht höchstgerichtlich entschieden worden. Im Kern geht es um die Auslegung der in Art. 2 lit. d EU-Datenschutzrichtlinie [und ebenso in Art. 4 Nr. 7 DSGVO] normierten Begriffsdefinition zur verantwortlichen Stelle:

„für die Verarbeitung Verantwortlicher“ [ist] die natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet„.

In dem am EuGH rechtshängigen Vorlageverfahren, dessen Urteil in 2018 mit großer Spannung und Tragweite für Unternehmen erwartet wird, hat sich nun der Generalanwalt, Yves Bot, in seinen am 24.10.2017 veröffentlichten Schlussanträgen für die datenschutzrechtliche Mitverantwortung der Fanpage-Betreiber ausgesprochen:

Art. 2 Buchst. d [DSRL] ist dahin auszulegen, dass der Betreiber einer Fanpage eines sozialen Netzwerks wie Facebook ein für die Verarbeitung Verantwortlicher im Sinne dieser Bestimmung hinsichtlich der Phase der Verarbeitung von personenbezogenen Daten ist, die in derErhebung von Daten über die diese Seite besuchenden Personendurch dieses soziale Netzwerkim Hinblick auf die Erstellung von diese Seite betreffenden Besucherstatistiken besteht.

Es bleibt abzuwarten, ob und in welchem Umfang der EuGH den Schlussanträgen folgt. Sollte sich der EuGH zur Mitverantwortung der Fanpage-Betreiber bekennen, kommt eine Vielzahl an Pflichten und Compliance-Fragen auf Unternehmen zu, die vom Datenschutzbeauftragten, ggf. mit anwaltlicher Begleitung abgefangen werden müssen.