In der Entscheidung C-210/16 vom 5. Juni 2018 hat der Europäische Gerichtshof (EuGH) entschieden, dass die Betreiber von Facebook-Fanpages gemeinsam mit Facebook für die Verarbeitung personenbezogener Daten der Besucher dieser Seiten verantwortlich sind. Für Unternehmer bedeutet das vor allem, dass die Betroffenen auch ihnen gegenüber ihre Rechte geltend machen können.
Der Gerichtshof hält zunächst fest, dass Facebook unzweifelhaft als datenschutzrechtlicher Verantwortlicher anzusehen ist, da das Soziale Netzwerk selbst über die Zwecke und Mittel der Verarbeitung personenbezogener Daten der User entscheidet. Darüber hinaus können Seiteninhaber durch das Setzen von Filtern insbesondere demografische Daten, Informationen über den Lebensstil und die Interessen ihrer Zielgruppen sowie geografische Daten von Facebook bekommen, um dadurch ihr Informationsangebot und ihre Werbeaktionen so zielgerecht wie möglich zu gestalten. Daher geht der EuGH davon aus, dass auch der Betreiber der Fanpage gemeinsam mit Facebook als Verantwortlicher zu qualifizieren ist. Zentrale Kriterien für diese Einschätzung ist die Möglichkeit des Seiteninhabers, (i) die eigene Vermarktung zu steuern, (ii) Statistiken aufgrund der Besuche der eigenen Seite zu erstellen und (iii) Kenntnis von den Profilen und Vorlieben der Besucher zu erlangen, um so die für die Besucher potentiell relevantere und interessantere Inhalte bereitstellen zu können.
Aus der Stellung als gemeinsame Verantwortliche ergeben sich im Wesentlichen folgende Konsequenzen:
- Vereinbarung über die gemeinsame Verantwortung: Nach Art 26 DSGVO muss zwischen Facebook und dem jeweiligen Seitenbetreiber als gemeinsam Verantwortliche eine Vereinbarung abgeschlossen werden. Darin ist festzulegen, wer welche DSGVO-Pflichten erfüllt. Der wesentliche Inhalt dieser Vereinbarung ist auch den Betroffenen (also den Seitenbesuchern) zur Verfügung zu stellen. Facebook hat dafür bislang aber keinen Entwurf zur Verfügung gestellt und sich bisher noch nicht geäußert, wie diese Pflicht erfüllt werden soll.
- Verzeichnis der Verarbeitungstätigkeiten: Der Betrieb von Facebook-Seiten muss im Verzeichnis der Verarbeitungstätigkeiten des Fanpage-Betreibers als Verantwortlicher erfasst sein.
- Informationspflichten: Da der Seitenbetreiber selbst Verantwortlicher ist, müssen die Besucher nach Art 13 und 14 DSGVO über die Verarbeitung ihrer Daten informiert werden. Diese Informationspflichten können über eine eigene "Social-Media-Datenschutzerklärung" erfüllt oder etwa in die bestehende Website-Datenschutzerklärung aufgenommen werden. Das Dokument ist sodann in der jeweiligen Facebook-Fanseite zu verlinken. Um Lücken zu vermeiden, sollte ergänzend auf die Datenschutzerklärung von Facebook verwiesen werden.
- Betroffenenrechte: Jeder Facebook-Seitenbetreiber ist nun auch für die Einhaltung der Betroffenenrechte verantwortlich. Insbesondere müssen die über die Facebookseiten verarbeiteten Daten bei der Beantwortung von Auskunftsersuchen und bei der Erfüllung von Löschbegehren berücksichtigt werden.
Obwohl das Urteil im Ergebnis rechtlich überzeugt, bringt es (noch) keine absolute Klarheit und wissen die Betreiber von Social Media Plattformen wohl noch nicht, wie damit umzugehen ist. Facebook als unmittelbar betroffenes Unternehmen hat sich bis jetzt nur sehr generisch zum Urteil des EuGH geäußert. Es wurden nur notwendige Schritte angekündigt, um den Seitenbetreibern zu ermöglichen, ihren rechtlichen Verpflichtungen nachzukommen. Weiters will Facebook die Nutzungsbedingungen und Richtlinien aktualisieren, um die Verantwortlichkeiten sowohl von Facebook, als auch von den Seitenbertreibern klarzustellen.
Neben Facebook verwenden aber auch die anderen weit verbreiteten Sozialen Netzwerke (sowohl Instagram, als auch Twitter, Snapchat, LinkedIn und Xing) vergleichbare Statistik-, Analyse – und Marketing-Tools, die sie den jeweiligen Profilinhabern zur Verfügung stellen. Daher ist davon auszugehen, dass die Grundaussagen der Facebook-Entscheidung auch für alle anderen Social Media Plattformen gelten und auch dort einen entsprechenden Umsetzungsbedarf – sowohl beim Betreiber als auch beim Seiteninhaber – auslösen.
Die betriebliche Nutzung von mobilen Kommunikationsdiensten
Mobile Nachrichtendienste erfreuen sich großer Beliebtheit – nicht nur im privaten, sondern auch im beruflichen Umfeld. Dabei ist aber Vorsicht geboten: Häufig hat der Betreiber Zugriff auf sämtliche Kontakte der Nutzer und behält sich vor, diese nach eigenem Ermessen zu nutzen. Zudem ist die geschäftliche Verwendung diverser Dienste sogar durch deren Nutzungsbedingungen untersagt. Die DORDA Datenschutzexperten haben sich aus aktuellem Anlass Gedanken zum rechtmäßigen Einsatz mobiler Kommunikationsdienste im Unternehmen gemacht:
Neben Facebook machen auch Kommunikationsapps für mobile Geräte vermehrt Schlagzeilen zum Thema Datenschutz. So ist in den Nutzungsbedingungen der Betreiber häufig festgelegt, dass das gesamte Adressbuch des Nutzers regelmäßig an den Anbieter der Kommunikationsplattform übermittelt wird. Außerdem qualifizieren sich einige Anbieter selbst als datenschutzrechtliche Verantwortliche und behalten sich vor, die übermittelten Kontakt- und Nachrichtendaten im eigenen Ermessen für eigene Zwecke zu verwenden. Es ist dabei oft gänzlich unbekannt, was mit den übermittelten Daten im Detail geschieht.
Eine solche Datenweitergabe an einen anderen Verantwortlichen erfordert aber eine konkrete datenschutzrechtliche Rechtsgrundlage. Ein berechtigtes Interesse, das gesamte Kontaktbuch an einen Appanbieter zu übermitteln, kann nicht belastbar argumentiert werden. Daher verbleibt lediglich die impraktikable Einholung einer Einwilligung (je)des betroffenen Kontakts im Adressbuch für die Sanierung der Übertragung. In diese Kerbe schlagen auch bereits zwei rechtskräftige Entscheidungen des deutschen Arbeitsgerichts Bad Hersfeld (F 111/17 EASO und F 120/17 EASO): Demnach ist die geschäftliche Nutzung von WhatsApp und die damit verbundene andauernde Datenweitergabe an den Anbieter nur zulässig, wenn der User zuvor von seinen Kontaktpersonen aus dem eigenen Telefon-Adressbuch jeweils eine Einwilligung eingeholt hat.
Die Einholung individueller Einwilligungserklärungen von teils mehreren hundert Kontakten ist in der Praxis jedoch illusorisch. Auch eine konkludente Einwilligung zur Datenweitergabe an den Anbieter des Kommunikationsdienstes (etwa durch die Offenbarung der Nutzung des Dienstes in einer Datenschutzerklärung) lässt sich nach der DSGVO – die eine aktive Zustimmungshandlung erfordert – nicht argumentieren.
Für die Praxis gilt daher, dass Nachrichtendienste, die (i) Zugriff auf das gesamte Adressbuch des Nutzers haben, (ii) Kontaktdaten an den Anbieter übermitteln und (iii) der Anbieter sich selbst als datenschutzrechtlicher Verantwortlicher qualifiziert, nach der DSGVO nicht ohne weiters beruflich eingesetzt werden können. Vielmehr sind technische oder rechtliche Maßnahmen zu setzen, um auf den Dienst zurückgreifen zu können.
All diese Überlegungen gelten allerdings lediglich für den geschäftlichen Bereich und für die unternehmerische Nutzung (mobiler) Kommunikationsdienste. Für den Einsatz im Privatbereich ist die DSGVO nicht anwendbar (Art 2 Abs 2 lit c DSGVO). Problematisch wird es aber, wenn das Mobiltelefon für private und betriebliche Zwecke genutzt wird.
Résumé nach dem ersten DSGVO-Monat
Knapp ein Monat nach dem magischen Stichtag 25.5.2018 ziehen die DORDA Datenschutzexperten ein erstes Fazit:
Erwartungsgemäß haben Auskunfts-, Widerspruchs- und Löschungsersuchen weiter stark zugenommen. In den Unternehmen hat sich hier mittlerweile schon eine gewisse Routine eingespielt. In der Praxis kommt es aber häufig vor, dass Betroffene (i) nicht ausreichend über den Umfang ihrer Rechte informiert sind oder diese – bewusst oder unbewusst – (ii) falsch interpretieren. So werden mitunter unter dem Deckmantel des Auskunftsrechts Informationen zur Unternehmensorganisation, zu konkreten IT Sicherheitsmaßnahmen und laufenden Streitfällen verlangt. Auch kursiert die eine oder andere bewusst zugespitze Vorlage für Auskunftsbegehren, die Unternehmen möglichst viel Arbeit verschaffen sollen, aber mit den tatsächlichen Rechten nicht im Einklang stehen. Es sind dem DORDA Datenschutzteam auch schon Fälle untergekommen, in denen der Betroffene gegen eine Abschlagszahlung auf die Durchsetzung von – freilich überbordend ausgelegten – Auskunftsrechten zu verzichten angeboten hat. Auch können die DORDA Datenschutzexperten aufgrund ihrer breiten Tätigkeit für viele Mandanten von dem einen oder anderen Betroffenen berichten, der diverse Unternehmen systematisch mit zu weitgehenden Ersuchen beschäftigt. Die DORDA Datenschutzexperten raten daher dazu, Auskunftsersuchen stets anhand der konkreten Vorgaben und der Systematik der DSGVO zu beantworten und sich nicht auf unsicheres Terrain ziehen zu lassen. Damit wird sichergestellt, dass nicht zu wenig, aber auch nicht zu viel beauskunftet und damit erst ein Verstoß begangen wird. Ebenso empfiehlt sich bei Verdachtsfällen von offensichtlich querulatorischen Anfragen ein cross-check, ob der Betroffene nicht bereits einschlägig bekannt ist.
Neben Anfragen von Betroffenen sind auch die - regelmäßig anonymen - Beschwerden an die Datenschutzbehörde rasant gestiegen. Mitunter wurden diese bewusst gleich am ersten Tag der Anwendbarkeit des neuen Regimes eingebracht. In unserer Praxis zeigt sich, dass diesen Beschwerden zum Teil datenschutzfremde Intentionen wie zB Wettbewerbsauseinandersetzungen mit unliebsamen Mitbewerbern oder sonstige Unzufriedenheiten zu Grunde liegen. Aktuell sind bereits über 100 Verfahren bei der Datenschutzbehörde anhängig. Diese ist dementsprechend trotz des Wegfalls der Meldungsverpflichtungen und administrativen Aufgaben daher weiter sehr stark beansprucht.
Auch zeigt sich in der Praxis, dass mit der neuen, strengeren Data Breach Notification ein großer Arbeitsanfall sowohl bei den Unternehmen, als auch der Behörde einhergeht. Verlorene mobile Endgeräte, versehentliches Versenden von Nachrichten an falsche Adressaten oder das Auftauchen von Daten in Händen unberechtigter Dritter, zB nach einem Wechsel eines Außenvertriebsmitarbeiters, fordern nun im Zweifel entsprechende Meldungen. Nachdem die Unternehmen derzeit aufgrund der hohen Strafen und der fehlenden gelebten Praxis eher auf der vorsichtigen Seite agieren, ist die Behörde mit einer Vielzahl an Anzeigen konfrontiert.
Nach der noch dauernden Phase der Finalisierung der noch nicht fertig gestellten Implementierungsprojekte drängt sich nunmehr also die Rechtsverteidigung und -durchsetzung sowie das notwendige Finetuning der schon gesetzten Compliancemaßnahmen in den Mittelpunkt. Aufgrund der extrem rasanten Entwicklungen des Datenschutzrechts - siehe etwa zu Facebook und Whatsapp - gilt es, stets am Ball zu bleiben und bei den eigenen Umsetzungen und Geschäftsmodellen laufend nachzuschärfen, anzupassen und regelmäßige Compliance-Checks zu machen. Parallel dazu ist die Einbettung eines erprobten Prozesses zur fristgerechten Beantwortung der Betroffenenanfragen das Um und Auf für die zweite Jahreshälfte.
Weitere Massenänderung datenschutzrechtlicher Bestimmungen
Nachdem mehr als 140 Gesetze bereits datenschutzrechtlich angepasst worden sind, wurden in der dritten große Anpassungswelle über hundert weitere Gesetzesänderungen im Bundesgesetzblatt kundgemacht. Neben terminologischen Anpassungen, vor allem in den Bereichen Integration, Sozialversicherung, Verkehr und Sport, kam es auch zu einigen Konkretisierungen und Ergänzungen im Ärztegesetz und im Bankwesengesetz. Inhaltliche Überraschungen sind jedoch in dieser Tranche ausgeblieben.