Das virtuelle Hausrecht - hierum ranken sich in der Webradiolandschaft zahlreiche Mythen, Gerüchte und/oder Irrtümer. Immer wieder ist es Gegenstand von Posts und Diskussionen. Aus diesem Grund berichteten wir bereits mehrfach über dieses Thema.
Dieser Artikel behandelteinen weiteren Aspekt der für Seitenbetreiber zu beachten ist, um sich nicht ggf. einem Rechtstreit oder Regress auszusetzen.
Die Frage, wie weit das Recht privater Konzerne wie Facebook geht, nach eigenen Regeln Beiträge zu löschen, hat in den vergangenen Wochen mehrfach die Gerichte beschäftigt.
Die Kernfrage:
Muss Facebook die Meinungsfreiheit beachten wie ein staatlicher Akteur ? Oder hat der Netzwerk-Gigant eigene Freiheiten bei der Beurteilung dessen, was auf seiner Plattform zulässig sein soll ?
Nun gibt es ein überraschendes Urteil des OLG München.
Grundrechte sind grundsätzlich unmittelbar als Abwehrrechte der Bürger gegen staatliches Handeln konzipiert. Sie müssen aber auch von einer großen öffentlichen Plattform für Informationen und Meinungsaustausch wie Facebook über die sog. mittelbare Drittwirkung der Grundrechte beachtet werden. Hierzu herrscht Einigkeit unter Juristen und Gerichten. Bislang keine klare Linie besteht aber in der Rechtsprechung bei der Frage, wie streng die Maßstäbe sein sollen, die an Facebooks sog. virtuelles Hausrecht zu stellen sind. Darf Facebook weichere oder härtere Maßstäbe an die Beurteilung der Zulässigkeit von Nutzerbeiträgen stellen als es ein staatlicher Akteur dürfte ?
OLG München - Facebook durfte Kommentar nicht löschen
Das OLG München sah dies nun folgendermaßen:
Facebook müsse bei der Ausübung seines virtuellen Hausrechts die Grundrechte beachten. Daher dürfe der Konzern beim Löschen von Nutzerbeiträgen keine engeren Grenzen anlegen als der Staat, so das Gericht (Beschl. v. 27. August, Az. 18 W 1294/18). Die Meinungsfreiheit gelte zwar direkt nur gegenüber dem Staat. Doch Facebook müsse sie als großer "öffentlicher Marktplatz für Informationen und Meinungsaustausch" über die mittelbare Drittwirkung der Grundrechte beachten.
In dem Beschluss ging es um folgendes Posting der bayerischen AfD-Politikerin Heike Themel auf der Facebook-Seite von "Spiegel-Online" zu dem Artikel mit der Überschrift "Österreich kündigt Grenzkontrollen an" ... "Gar sehr verzwickt ist diese Welt, mich wundert's, daß sie wem gefällt." Wilhelm Busch (1832 - 1908). Wusste bereits Wilhelm Busch 1832 zu sagen : "Ich kann mich argumentativ leider nicht mehr mit Ihnen messen, Sie sind unbewaffnet und das wäre nicht besonders fair von mir." Er folgte als Reaktion in einer hitzigen Debatte auf Facebook, in der sie als "Nazischlampe" bezeichnet worden war. Der Kommentar galt der Frau, die diese Bezeichnung mit einem "Like" versehen hatte. Facebook löschte den Post der AfD-Frau.
Dieser Kommentar durfte von Facebook nicht gelöscht werden, so die Richter. Daher könne die Nutzerin aus dem Nutzungsvertrag mit Facebook i.V.m. § 241 Abs. 2 Bürgerliches Gesetzbuch (BGB) verlangen, dass die Löschung unterlassen wird. Das Gericht befand die Klausel 5.2 der "Erklärung der Rechte und Pflichten" (AGB) von Facebook für unwirksam nach § 307 Abs. 1 S. 2 BGB. In der Klausel steht: "Wir können sämtliche Inhalte und Informationen, die du auf Facebook postest, entfernen, wenn wir der Ansicht sind, dass diese gegen die Erklärung oder unsere Richtlinien verstoßen. (…)" Dies sei eine unangemessene Benachteiligung der Nutzer, da Facebook so nach eigenen Regeln und letztlich damit nach freiem Belieben löschen könne.
OLG München - Facebook muss Meinungsfreiheit achten wie der Staat
Nach dem Wortlaut der Klausel komme es für die Beurteilung der Frage, ob ein geposteter Beitrag gegen die Richtlinien von Facebook verstößt und deshalb gelöscht werden darf, allein auf das Urteil von Facebook selbst an. Dieses einseitige Bestimmungsrecht stehe im Widerspruch dazu, dass der Vertrag zwischen Nutzer und Plattformbetreiber gemäß § 241 Abs. 2 BGB seinem Inhalt nach beide Vertragsparteien zur Rücksichtnahme auf die Rechte, Rechtsgüter und Interessen des anderen Teils verpflichte.
Für den Inhalt und die Reichweite der Pflicht zur gegenseitigen Rücksichtnahme sei im vorliegenden Fall von entscheidender Bedeutung, dass die Social-Media-Plattform www.facebook.com dem Zweck diene, den Nutzern einen "öffentlichen Marktplatz" für Informationen und Meinungsaustausch zu verschaffen. Im Hinblick auf die mittelbare Drittwirkung der Grundrechte, insbesondere des Grundrechts des Nutzers auf Meinungsfreiheit (Art. 5 Abs. 1 GG), müsse deshalb gewährleistet sein, dass eine zulässige Meinungsäußerung nicht von der Plattform entfernt werden dürfe. Im vorliegenden Fall bilde die Vorschrift des § 241 Abs. 2 BGB eine konkretisierungsbedürftige Generalklausel, bei deren Auslegung dem von der Antragstellerin geltend gemachten Grundrecht auf freie Meinungsäußerung Rechnung zu tragen sei. Mit dem gebotenen Ausgleich der kollidierenden Grundrechtspositionen wäre es unvereinbar, wenn Facebook gestützt auf ein "virtuelles Hausrecht" auf der von ihr bereitgestellten Social-Media-Plattform den Beitrag eines Nutzers, in dem sie einen Verstoß gegen ihre Richtlinien erblickt, auch dann löschen dürfte, wenn der Beitrag die Grenzen zulässiger Meinungsäußerung nicht überschreitet.
Die in den Gemeinschaftsstandards geregelte Befugnis zur Entfernung sogenannter "Hassbotschaften" werde von der Nichtigkeit der Klausel Nr. 5.2 nicht unmittelbar berührt. Denn diese Befugnis stellt hinsichtlich der Einordnung eines Inhalts als "Hassbotschaft" nicht auf die subjektiven Vorstellungen von Facebook bzw. der für diese handelnden Personen, sondern auf objektivierbare Kriterien ab. Auf eine Verletzung ihrer Gemeinschaftsstandards könne Facebook die Löschung der Äußerung aber nicht stützen, weil diese evident keine "Hassbotschaft" darstellt. Der Kommentar müsse so verstanden werden, dass einer anderen Nutzerin, mit der sie sich zuvor verbal auseinandergesetzt hatte, mangelndes Urteilsvermögen vorgeworfen wurde und sie diese nicht für "intellektuell satisfaktionsfähig" und sich selbst für eigenen intellektuell überlegen hält. Das zeige aber, dass es hier gerade nicht um einen diskriminierenden Angriff auf die Person und damit nicht um eine Hassbotschaft ging, sondern um eine persönliche Auseinandersetzung mit einer Kritikerin.
LG Heidelberg und OLG Karlsruhe - Facebook darf sich eigene Regeln geben
Das Landgericht (LG) Heidelberg hatte hierzu vor kurzem noch anders geurteilt. Facebook als privates, gewinnorientiertes Unternehmen könne eigene Hausregeln aufstellen. Es reiche aus, dass es sich nur zumindest in groben Zügen an den Wertentscheidungen der Verfassung orientieren müsse (Urt. v. 28. August 2018, Az. 1 O 71/18).
In der Entscheidung ging es - wie in letzter Zeit üblich, um einen Fall der sog. Hate Speech gegen Muslime. Facebook löschte einen entsprechenden Kommentar nach seinen Nutzungsbedingungen in Verbindung mit den Gemeinschaftsstandards und sperrte den Account der Äußernden für dreißig Tage. Das Gericht sagte dazu: Facebook untersage in seinen Gemeinschaftsstandards explizit Hassreden, die als direkte Angriffe auf Personen aufgrund ausdrücklich aufgezählter geschützter Eigenschaften, wie etwa ethnische Zugehörigkeit, nationale Herkunft oder religiöse Zugehörigkeit, definiert würden. Die Gemeinschaftsstandards würden das Grundrecht der Nutzer auf Meinungsäußerungsfreiheit aus Art. 5 Abs. 1 Grundgesetz (GG) in angemessener Weise berücksichtigen. Art. 5 Abs. 1 GG sei Ausdruck des Konzepts der demokratischen Meinungsbildung des verfassten Rechtsstaats. Als gewinnorientiertes Unternehmen sei Facebook jedoch nicht verpflichtet, dieses Konzept in Gänze zu verwirklichen, solange die grundsätzlichen Wertentscheidungen der deutschen Verfassung beachtet würden. Dies sei vorliegend der Fall. Auf Grundlage der Gemeinschaftsstandards habe die Aussage der Klägerin gelöscht werden dürfen.
In diese Richtung hatte im Juli auch das Oberlandesgericht (OLG) Karlsruhe entschieden. Die von Facebook festgelegten Gemeinschaftsstandards und Nutzungsbedingungen berücksichtigten die Meinungsfreiheit der Facebook-Nutzer in der gebotenen Weise und würden somit der mittelbaren Drittwirkung der Grundrechte gerecht, hieß es auch in diesem Urteil.
Fazit:
Auch wenn Plattformen/Webseiten etc. nach besagten Urteilen sich eigene AGBs/Regeln geben können, so sind diese doch eindeutig an Grenzen von Grundgesetz und einschlägigen anderen Gesetzesregelungen gebunden. Von daher ist eine willkürliche Verwendung des virtuellen Hausrechts nicht erlaubt und sollte auch nicht durchgeführt werden !
Quelle:
WBS-Law
Der DSGVO-Stress ist noch in vollem Gange, da kommt der nächste Knaller:
Das Urteil, das der Europäische Gerichtshof (EuGH) am 05. Juni 2018 veröffentlich hat sagt, dass Facebook Fanpage Betreiber für mögliche Datenschutzverstöße etwa beim Tracking auf der Plattform mitverantwortlich sind. Müssen nun alle Facebook-Fanpages abgeschaltet werden und droht eine riesige Klage- oder Abmahnwelle ?
Worum ging es eigentlich vor dem EuGH ?
"Die Wirtschaftsakademie Schleswig-Holstein ist (WAK) ein auf den Bereich Bildung spezialisiertes Unternehmen. Sie bietet u. a. über eine auf Facebook unter der Adresse www.facebook.com/wirtschaftsakademie unterhaltene Fanpage Bildungsdienstleistungen an. Die Betreiber von Fanpages wie die Wirtschaftsakademie können mit Hilfe der Funktion Facebook Insight, die ihnen Facebook als nicht abdingbaren Teil des Benutzungsverhältnisses kostenfrei zur Verfügung stellt, anonymisierte statistische Daten betreffend die Nutzer dieser Seiten erhalten. Diese Daten werden mit Hilfe sogenannter Cookies gesammelt, die jeweils einen eindeutigen Benutzercode enthalten, der für zwei Jahre aktiv ist und den Facebook auf der Festplatte des Computers oder einem anderen Datenträger der Besucher der Fanpage speichert. Der Benutzercode, der mit den Anmeldungsdaten solcher Nutzer, die bei Facebook registriert sind, verknüpft werden kann, wird beim Aufrufen der Fanpages erhoben und verarbeitet. Das unabhängige Landeszentrum für Datenschutz Schleswig Holtstein (ULD) hatte der WAK angeordnet, ihre Fanpage zu deaktivieren. Warum? Nun, weder die Wirtschaftsakademie selbst noch Facebook wiesen Besucher der Fanpage darauf hin, dass Facebook mittels Cookies ihre personenbezogenen Daten erhebe und diese für Werbezwecke sowohl nutze als auch verarbeite, um Besucherstatistiken für die Akademie, der Betreiberin der Seite, zu generieren. Diese Cookies würden genutzt, ohne dass die Nutzer hierüber hinreichend aufgeklärt würden und in diese Nutzung eingewilligt hätten.
Im Kern ging es um die Frage, ob auch Betreiber von Facebook-Fanpages für Datenschutzverstöße, die durch Facebook begangen werden, verantwortlich sind. Sollten sie Verantwortlicher sein, drohen bei datenschutzrechtlichen Verstößen hohe Bußgelder.
Die Akademie ging 2013 zunächst erfolgreich gegen die Anordnung vor dem Verwaltungsgericht (VG) Schleswig-Holstein vor. Die Wirtschaftsakademie erhob beim Verwaltungsgericht in Deutschland eine verwaltungsgerichtliche Klage gegen diesen Bescheid und machte geltend, dass ihr die Verarbeitung personenbezogener Daten durch Facebook nicht zugerechnet werden könne und sie Facebook auch nicht mit einer von ihr kontrollierten oder beeinflussbaren Datenverarbeitung beauftragt habe. Daraus leitete die Wirtschaftsakademie ab, dass das Unabhängige Landeszentrum direkt gegen Facebook und nicht gegen sie hätte vorgehen müssen.
Über das Oberverwaltungsgericht (OVG) Schleswig-Holstein, welches die Berufung zurückgewiesen hatte, gelangte der Rechtsstreit zum Bundesverwaltungsrecht (BVerwG). Nach einem mehr als fünf Jahre andauernden Rechtsstreit blieb die erhoffte Klärung durch das BVerwG allerdings aus, denn das BVerwG hatte in seinem Beschluss keine Entscheidung getroffen. Vielmehr wurde das Verfahren ausgesetzt und es wurden am 25. Februar 2017 sechs Vorlagefragen im Rahmen eines Vorabentscheidungsverfahrens an den EuGH gerichtet.
Die Vorlagefragen des BVerwG
Die Vorlagefragen betrafen insgesamt drei Themenkomplexe:
Im Fokus stand die Frage, wer für die Datenverarbeitung verantwortlich sei (Vorlagefragen 1 und 2). Das BVerwG hatte in der Vorlage an den EuGH -an die Vorentscheidungen anknüpfend- eine Verantwortlichkeit der Fanpage-Betreiber abgelehnt.
Der zweite Komplex betraf die Frage nach dem anwendbaren Recht, welches zugleich die Zuständigkeiten der Aufsichtsbehörden regelt (Vorlagefragen 3 und 4).
Der dritte Themenkomplex betraf die Frage inwieweit europäische Aufsichtsbehörden ihr Vorgehen miteinander abstimmen müssen (Vorlagefragen 5 und 6).
Der EuGH-Generalanwalt Yves Bot hatte bereits im Oktober 2017 in seinen Schlussanträgen zu den rechtlichen Fragen des BVerwG Stellung genommen. Der EuGH-Generalanwalt betonte in seinen Schlussanträgen, das BVerwG gehe in seinen Vorlagefragen 1 und 2 von einer falschen Prämisse aus und bejahte, anders als die deutschen Gerichte zuvor, eine gemeinsame Verantwortlichkeit von Facebook und dem Betreiber.
Der Generalanwalt stellte fest, dass er für den Verarbeitungsschritt der Erhebung der Daten eine gemeinsame Verantwortlichkeit von Facebook Ireland, Facebook Inc. und der privaten Wirtschaftsakademie als Betreiberin der Fanpage sehe. Der Begriff des "Verantwortlichen" sei weit zu verstehen. Zwar seien hauptsächlich Facebook Ireland und Facebook Inc. verantwortlich, doch auch der Betreiber einer Fanpage sei bei der Erhebung von Daten mitverantwortlich, auch weil er in die geltenden Bestimmungen Facebooks bei der Erstellung der Fanpage eingewilligt habe. Zumal jedem Fanpage-Betreiber freistehe, die Datenverarbeitung durch Facebook jederzeit zu beenden, indem man die Seite einfach lösche.
Bei der Frage des anwendbaren Rechts gibt es neben der amerikanischen Facebook Inc. für die Verarbeitung der Daten europäischer Nutzer noch die Facebook Ireland und Facebook Germany, welches sich um das nationale Werbegeschäft kümmert. Dem BVerwG war unklar, ob überhaupt deutsches Datenschutzrecht Anwendung findet. Je nach dem welches Recht anwendbar ist, ergibt sich dann auch die Zuständigkeit der Aufsichtsbehörde. Sollte nicht deutsches Recht anwendbar sein und damit auch keine deutsche Aufsichtsbehörde zuständig sein, so hätte im konkreten Fall das unabhängige Landeszentrum für Datenschutz Schleswig Holtstein, wegen fehlender Kompetenz, gar nicht anordnen dürfen, die Seite der WAK zu deaktivieren.
Allerdings würden auch bei der deutschen Facebook Niederlassung Daten verarbeitet, wenn man als Nutzer auf eine Fanpage gehe, da diese das nationale Werbegeschäft betreibe. Der Generalanwalt sah hier eine untrennbare Verknüpfung zwischen dem Werbegeschäft und der Verarbeitung von Daten. Die Datenerhebung und Verarbeitung diene ja gerade dazu, noch effektivere Werbung zu schalten. Daher seien auch deutsche Aufsichtsbehörden zuständig. Der EuGH-Generalanwalt favorisierte hier zwar die Option, dass sich die Aufsichtsbehörde direkt an die verarbeitende Facebook-Niederlassung wende, doch sei der Behörde freigestellt, sich auch an die Betreiber der Fanpages zu wenden.
Was hat der EuGH denn nun genau entschieden ?
Die wichtigsten Passagen aus der Pressemitteilung des EuGH lauten:
- "Der Betreiber einer Facebook-Fanpage ist gemeinsam mit Facebook für die Verarbeitung der personenbezogenen Daten der Besucher seiner Seite verantwortlich."
- "Sodann befindet der Gerichtshof, dass ein Betreiber wie die Wirtschaftsakademie als in der Union gemeinsam mit Facebook Ireland für die fragliche Datenverarbeitung verantwortlich anzusehen ist."
- "Nach Ansicht des Gerichtshofs kann der Umstand, dass ein Betreiber einer Fanpage die von Facebook eingerichtete Plattform nutzt, um die dazugehörigen Dienstleistungen in Anspruch zu nehmen, diesen (Anm: den Fanpage-Betreiber) nicht von der Beachtung seiner Verpflichtungen im Bereich des Schutzes personenbezogener Daten befreien."
Quelle:
PRESSEMITTEILUNG Nr. 81/18 Gerichtshof der Europäischen Union
Luxemburg, den 5. Juni 2018
Der EuGH hat entschieden, dass das Betreiben einer Fanpage bei Facebook eine Mitverantwortung bezüglich der Einhaltung der Datenschutzbestimmungen begründet. Hierfür führt der EuGH als Begründung insbesondere an, dass der Betreiber Facebook ermöglicht, Daten über Personen zu erheben, die nicht über ein Facebook- Konto verfügen. Außerdem macht sich der Betreiber der Fanpage die Infrastruktur von Facebook inklusive der Datenerhebung zu Nutzen.
Es ist nicht erforderlich, dass der Betreiber Zugriff auf die Daten hat die verarbeitet werden, da er an der Erhebung der Daten mitgewirkt hat und die Ergebnisse der Datenverarbeitung in Form von Auswertungen abrufen kann.
Als Konsequenz hieraus ergibt sich, dass der Betreiber der Fanpage alle datenschutzrechtlichen Pflichten erfüllen muss, um sich nicht rechtswidrig zu verhalten. Insbesondere muss er bei Anfrage Auskunft erteilen, welche Daten bei wem, wo und für welchen Zweck gespeichert sind. Er müsste außerdem sämtliche Datenverarbeitungsvorgänge in einer eigenen Datenschutzerklärung darlegen und eine Widerspruchsmöglichkeit für den Nutzer vorhalten.
Diese Informationen fehlen jedoch dem Fanpage-Inhaber in der Regel, sodass er diese Pflichten nicht erfüllen kann. Daher ist er darauf angewiesen, dass Facebook alle datenschutzrechtlichen Vorgaben einhält und kein Verstoß vorliegt. Wenn ein solcher Verstoß vorliegt, dann ist der Betreiber verantwortlich, obwohl er keine Chance hatte, etwas dagegen zu unternehmen.
Ob ein Datenschutzverstoß vorliegt, hat der EuGH allerdings gar nicht entschieden. Diese Entscheidung muss nun wieder das BVerwG treffen, wobei es nicht unwahrscheinlich ist, dass ein Datenschutzverstoß angenommen werden kann, da die Datenschutzerklärung von Facebook nicht ohne Weiteres verständlich und einfach aufzufinden war. Insofern gibt es erhebliche Bedenken, ob nicht doch ein Datenschutzverstoß vorliegt.
Es folgen dann weitere Ausführungen des EuGH dazu, dass das Unabhängige Landeszentrum für Datenschutz durchaus auch gegen Facebook Irland direkt hätte vorgehen können.
Was jetzt ggf. auch geschehen könnte, wenn man Facebook wirklich zum Handeln zwingen wollte.
Aber ist es nicht unfair, die Fanpage Betreiber verantwortlich zu machen, Facebook verdient doch das Geld mit den Daten ?
Ja, es ist unfair, dass die Untätigkeit von Facebook in Sachen Datenschutz nun auf dem Rücken Hunderttausender Facebook Fanpage-Betreiber ausgetragen wird. Und es ist ärgerlich, dass die Behörden nicht konsequent gegen Facebook selbst vorgegangen sind, um das Unternehmen zu datenschutzkonformen Umgang mit Nutzerdaten zu zwingen. Stattdessen wurde eine Art Stellvertreterkrieg gegen Facebook Fanpage-Betreiber vom Zaun gebrochen, der nun die Existenzen zahlreicher Unternehmen nicht nur aus der Social Media Branche bedrohen kann.
Andererseits:
Natürlich profitieren die Betreiber der Fanpages direkt oder indirekt auch von der Reichweite des Netzwerkes. In vielen Fällen stecken ausschließlich wirtschaftliche Überlegungen hinter dem Betrieb einer professionellen Facebook-Seite.
Wichtig:
Da Facebook und die Betreiber von Fanpages auf der Plattform verdienen, ist die Verteilung der Verantwortlichkeit aus Sicht der Richter nur konsequent. Den Fanpage-Betreibern bleiben aktuell aber nur wenige Möglichkeiten, das Urteil auch umzusetzen.
Alle Betreiber von (auch) geschäftlich genutzen Seiten oder Profilen auf Facebook & Co. sollten zumindest eine auf dieses Urteil angepasste Datenschutzerklärung einbinden oder verlinken.
Das Urteil ist übrigens nicht nur für Betreiber von Fanpages, sondern auch für Privatpersonen von Relevanz, denn das Datenschutzrecht unterscheidet grundsätzlich nicht zwischen Privatpersonen oder Unternehmen. Lediglich die Risiken dürften für Privatpersonen geringer sein. Und: die Entscheidung des EuGH bezieht sich zwar im konkreten Fall nur auf Facebook, doch der Auffassung vieler Rechtsvertreter nach lässt sich das Urteil auch auf alle anderen Dienste und Tools übertragen, ganz gleich ob diese Instagram, Twitter oder YouTube heißen.
Es wird sich zeigen müssen, wie sich die Situation hier langfristig entwickelt. Denkbar ist, dass die großen Plattformbetreiber sich schützend vor ihre Nutzer stellen. Ebenso kann es auch sein, dass die Datenschutzbehörden sich in erster Linie an die Plattformbetreiber halten. Jedoch bleibt das Schreckensszenario, dass auch die Nutzer in die Haftung genommen werden. Diese Konstellation hat der EuGH mit seinem Urteil ermöglicht.
Was bedeutet das Urteil denn nun genau ?
Für alle Betreiber bedeutet das heutige Urteil, dass die aktuelle Fanpage-Nutzung rechtswidrig ist. Denn mit heutigen Urteil ist klar, dass Betreiber einer Fanpage u.a. beispielsweise eine Datenschutzerklärung vorhalten müssen, wie es bislang "nur" für Webseiten vorgesehen war.
Eine mögliche Sichtweise ist:
Der EuGH hat (vereinfacht gesagt) geurteilt, dass jeder Betreiber einer Facebook-Fanpage auch für Datenschutzverstöße von Facebook verantwortlich gemacht werden kann. Auch dann, wenn er den Umgang von Facebook mit den Nutzerdaten in der Praxis kaum oder gar nicht beeinflussen kann.
Dann wäre das Abschalten der eigenen Facebook-Fanpage die einzige Möglichkeit, rechtlichen Konsequenzen zu entgehen. Zumindest bis Facebook hier für das Nutzertracking auf Facebook und Webseiten eine DSGVOkonforme Lösung zur Verfügung stellt.
Die andere Sichtweise:
Ganz so wild ist das alles nicht. Der EuGH hat betont, "dass die amerikanische Gesellschaft Facebook und ... deren irische Tochtergesellschaft Facebook Ireland als "für die Verarbeitung" der personenbezogenen Daten... "Verantwortliche" anzusehen sind."
Abmahnungen und behördliches Vorgehen gegen die Fanpage-Betreiber könnten deshalb unverhältnismäßig, da man sich nun mit weiteren Maßnahmen zunächst an Facebook halten müsste.
Zudem muss nun in der Sache auch erst einmal wieder das Bundesverwaltungsgericht den Fall zu Ende führen. Wobei dieses grundsätzlich an die Entscheidungen des EuGH gebunden ist, allerdings auch einen eigenen Beurteilungsspielraum in bestimmten Punkten besitzt.
Und was sollen Betreiber von Facebook Fanpages jetzt konkret tun ?
- Wenn Sie jedes rechtliche Risiko scheuen, sollten Sie Ihre Fanpage deaktivieren.
- Wenn Sie etwas risikofreudiger sind, warten Sie ab, ob ggf. das Bundesverwaltungsgericht der Sache noch einen neuen Aspekt hinzufügen wird.
Der einzig sinnvolle Weg, die Daten der Nutzer und die wirtschaftlichen Interessen der Fanpage-Betreiber in Einklang zu bringen wäre natürlich, dass Facebook nun reagiert und verstärkt über den Umgang mit den Daten der Nutzer informiert und auf datenschutzkonforme Prozesse setzt.
Wie wahrscheinlich dies ist, kann aktuell aber niemand vorhersagen.
Zunächst einmal muss nun das BVerwG sein eigenes Urteil aufgrund der Entscheidung des EuGH treffen. Dabei muss nun konkret geklärt werden, ob ein Datenschutzverstoß vorlag und wie sich die Mitverantwortung konkret darstellt, denn Mitverantwortung bedeutet nicht das der Fanpage-Betreiber und Facebook zu gleichen Teilen haften. Außerdem muss auch zumindest in diesem Fall geklärt werden, ob die Datenschutzbehörde sich an die Wirtschaftsakademie wenden durfte oder direkt gegen Facebook vorgehen musste.
Wenn Datenschutzverstöße vom BVerwG festgestellt werden, dann müssen alle Fanpage-Betreiber und möglicherwiese auch private Facebook- Nutzer mit Abmahnungen und Untersagungsverfügungen rechnen. Die daraus entstehenden Kosten muss auch grundsätzlich Facebook nicht erstatten.
In jedem Fall sollte in der eigenen Datenschutzerklärung ein entsprechender Hinweis aufgenommen werden, dass Daten erhoben werden. Jedoch ist damit noch nicht das gesamte Problem gelöst, denn die Informationspflicht ist nur eine von vielen datenschutzrechtlichen Pflichten, die der Betreiber einer Fanpage, in der Regel nicht erfüllen kann, da er keinen unmittelbaren Zugriff auf die Daten erhält.
Gilt das Urteil auch für private Facebook-Nutzer ?
Die klare Antwort lautet: Ja! Das Datenschutzrecht unterscheidet nicht zwischen Unternehmen und Privaten oder Verbrauchern, sondern stellt nur auf die Datenverarbeitung oder Erhebung ab. Daher ist das oben benannte grundsätzlich auch auf private Facebook- Nutzer anwendbar. Dies gilt in erster Linie für Fanpage- Betreiber, jedoch gibt es auch Stimmen, die diese Rechtsprechung auf private persönliche Facebook- Profile ausdehnen wollen.
Man muss jedoch festhalten, dass das Verfolgungsrisiko für Privatpersonen weitaus geringer ist. Jedoch sind werden die meisten Facebook-Profile nicht rein persönlicher und familiärer sein. Außerdem können Privatpersonen auch nicht von Wettbewerbern abgemahnt werden.
Aber das Urteil betrifft doch die Rechtslage vor der DSGVO ?
Der Entscheidung des EuGH liegt ein Sachverhalt aus dem Jahr 2011 zu Grunde. Daher stimmt es, was viele Medien schrieben, dass der EuGH über die Auslegung der Datenschutzrichtlinie (Richtlinie 95/46/EG, dort Art.2 lit d, 4 und 28) entschieden hat. Diese Richtlinie aus dem Jahre 1995 wurde auch tatsächlich durch die Datenschutzgrundverordnung (DSGVO) aufgehoben und abgelöst. Da aber auch die seit dem 25. Mai 2018 wirksame DSGVO regelt, dass es mehrere Verantwortliche für die Verarbeitung von Daten geben kann, wenn sie jeweils über die Mittel und Zwecke der Datenverarbeitung bestimmen können (Art. 4 Nr. 7 Satz 1 DSGVO), kann die EuGH-Entscheidung ohne weiteres auf die DSGVO übertragen werden. In der DSGVO lautet es an entsprechender Stelle:
"Verantwortlicher" die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet."
Insofern muss klar gesagt werden, dass die EuGH-Entscheidung keineswegs nur symbolischen Charakter hat, sondern sehr wohl auf aktuelle Fanpages übertragen werden kann. Denn derjenige, der eine Facebook-Seite betreibt, ist auch für die Verarbeitung personenbezogener Daten durch Facebook und für die Erfüllung der Informationspflichten sowie die Ansprüche der betroffenen Nutzer mitverantwortlich.
Die Datenschutzbehörde nach der DSGVO wesentlich empfindlichere Strafen verhängen, so dass sie in der Zukunft wohl auch in der Lage ist Facebook zu belangen und entsprechende Verstöße direkt durch Facebook, ohne Umwege über die Fanpage- Betreiber, beseitigen zu lassen.
Seit 25. Mai 2018 ist die EU-weit geltende Datenschutzgrundverordnung (DSGVO) für alle verbindlich. Seit dann müssen Abläufe und die Website angepasst, sowie Informationen ergänzt sein. Andernfalls drohen hohe Bußgelder und Abmahnungen.
Mindestens ebenso wichtig:
Website-Besucher und Kunden werden immer sensibler, wenn es um den Schutz ihrer Privatsphäre geht. Sie wollen erfahren, wann und wie Daten von ihnen erhoben werden und was damit geschieht.
Diese Checkliste soll Sie an die wichtigsten Punkte erinnern, die bis zum 25. Mai 2018 erledigt sein mussten. Seit diesem Tag ist die Verordnung europaweit anwendbar.
Eine Verordnung mit Breitenwirkung
Von der DSGVO sind grundsätzlich alle Vorgänge betroffen, bei denen personenbezogene Daten erhoben, gespeichert und verarbeitet werden – egal, ob sie von eigenen Interessenten und Kunden stammen, von Arbeitnehmern oder ob sie von anderen Unternehmen zur Verarbeitung geliefert werden.
Sie betrifft nicht nur Unternehmen, die schwerpunktmäßig mit fremden Daten arbeiten. Auch von allen anderen Website-Betreibern und Unternehmen werden klare Verhältnisse verlangt: Sie müssen wissen (und dokumentieren), ob, wie und mit welchen Genehmigungen sie Daten ihrer Interessenten, Kunden, Mitarbeiter und Auftragnehmer verarbeiten.
1. Ist die Datenschutz-Grundverordnung (DSGVO) auf Sie bzw. Ihre Firma anwendbar ?
Die Datenschutzgrundverordnung betrifft Sie als "Verarbeiter", wenn nur eine der folgenden Aussagen auf Sie zutrifft:
2. Verzeichnis der Verarbeitungstätigkeiten
Wenn die DSGVO Sie betrifft, besteht eine der wichtigsten Aufgaben darin, ein Verzeichnis darüber zu erstellen, wie, warum und von wem in Ihrem Betrieb personenbezogene Daten verarbeitet werden: das sogenannte "Verzeichnis von Verarbeitungstätigkeiten" (Art. 30 DSGVO).
Sie können das Verzeichnis elektronisch oder auf Papier führen. Hauptsache, es ist vorhanden, wenn die Datenschutzbehörden es verlangen – das dürfen sie nämlich. Kunden oder anderen Dritten müssen Sie keinen Einblick gewähren, wohl aber den Aufsichtsbehörden. Können Sie es nicht vorlegen, droht ein Bußgeld.
Das Erstellen der Dokumentation ist keine einmalige, sondern eine fortlaufende Arbeit. Wenn die Prozesse sich bei Ihnen ändern, muss das für einen Außenstehenden nachvollziehbar sein: Falls eine neue Software zum Einsatz kommt oder Daten zusätzlich ausgewertet werden, muss das durch datierte Versionen klar werden.
Um das Verzeichnis erstellen zu können, müssen Sie in einem ersten Schritt eine Bestandsaufnahme machen. Darin sollten Sie für jeden Arbeitsprozess folgende Punkte festhalten:
a) Wer ist verantwortlich? (Name und Kontaktdaten)
b) Welche Art von Daten wird gespeichert/verarbeitet? (z. B. E-Mail-Adressen, Kontodaten, Arbeitszeiten, Standortdaten)
c) Welchen Zweck hat die Datenverarbeitung? (z. B. Lohnabrechnung, E-Mail-Marketing, Beschwerdemanagement)
d) Wessen personenbezogene Daten sind das? (z. B. Mitarbeiter, Interessenten, Auftragnehmer/Lieferanten, Kunden, Patienten)
e) Besteht ein "hohes Risiko für die Rechte und Freiheiten" betroffener Personen? (Art. 35 DSGVO - das ist etwa bei Identitäts- oder Zahlungsdaten der Fall, weil sie für Identitätsdiebstahl oder Betrug missbraucht werden können)
f) Was ist die Rechtsgrundlage für die Verarbeitung? (z. B. Einwilligung der Betroffenen bei E-Mail-Marketing, gesetzliche Pflicht bei Lohnabrechnung)
g) Welche Personen oder Abteilungen verarbeiten die Daten intern oder haben Zugriff ?
h) Verarbeiten Auftragsverarbeiter wie Cloud-Dienstleister und deren Unterauftragnehmer die Daten extern ?
i) Wann werden nicht mehr benötigte Daten gelöscht ?
j) Was für Maßnahmen gewähren den Datenschutz? (z. B. IT-Sicherheitsmaßnahmen, abgestufte Zugriffsberechtigungen, Zugangskontrollen, Mitarbeiterschulungen)
Je größer Ihr Unternehmen oder Ihre Organisation ist, desto ausführlicher und detaillierter wird das Verzeichnis ausfallen. Grundsätzlich ist es ab 250 Beschäftigten in jedem Fall Pflicht. Betriebe und Organisationen mit weniger Mitarbeitern benötigen das Verzeichnis zwar nur, wenn
Unterm Strich wird nur eine Minderheit recht kleiner Betriebe ohne ein Verzeichnis auskommen.
Das Bayerische Landesamt für Datenschutzaufsicht empfiehlt zwei Erweiterungen zum Verzeichnis:
a) Eine konkrete Beschreibung des Umgangs mit den personenbezogenen Daten: Was und wie wird erhoben, gespeichert, abgefragt oder sonst wie verarbeitet ?
b) Eine Liste darüber, welche Belege als rechtliche Basis dienen (z. B. Arbeitsvertrag, Betriebsvereinbarung, Einwilligungen). Diese Belege sollten bereitgehalten werden.
3. Auftragsverarbeitungsvereinbarung (Auftragsdatenverarbeitung)
Wer Dienstleister mit der Verarbeitung personenbezogener Daten beauftragt, benötigt dafür auch weiterhin eine korrekte Vereinbarung zur Auftragsdatenverarbeitung. Zu solchen Dienstleistern gehören beispielsweise
Nun gelten mit Art 28 DSGVO ab 25. Mai 2018 neu formulierte Bedingungen für die Verträge über solche Aufträge. (Außerdem wird der Begriff "Auftragsdatenverarbeitung" zu "Auftragsverarbeitung" verkürzt.)
Komplett anders müssen die Vertragsinhalte nicht aussehen. Die bisher im BDSG und jetzt in der DSGVO vorgegebenen Listen an Regelungspunkten sind sich recht ähnlich. Im Detail muss der Wortlaut aber angepasst werden. Der Beitrag "DSGVO und die Vereinbarung zur Auftragsverarbeitung: Was Sie wissen müssen" erläutert Näheres.
4. Datenschutzbeauftragter
Die neue Rechtslage legt die Pflicht zur Berufung eines Datenschutzbeauftragten etwas anders fest (Art. 37 DSGVO und § 38 BDSG-neu) als das Bundesdatenschutzgesetz bisher.
Praktisch bedeutet das:
Außerdem muss der Datenschutzbeauftragte erweiterte Befugnisse erhalten: Seine Aufgabe ist es jetzt, die Einhaltung der Datenschutzbestimmungen zu überwachen. Bisher reicht das bloße "Hinwirken". Mit Appellen und Belehrungen ohne Kontrolle ist es jetzt allerdings nicht mehr getan.
In die Zuständigkeit des Datenschutzbeauftragten fällt in der Regel auch, für eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO zu sorgen. Das ist eine spezielle Risikoanalyse für Unternehmen und Organisationen mit erhöhtem Datenschutzrisiko, weshalb solche Betriebe ohnehin einen Datenschutzbeauftragten ernennen müssen.
Ob Sie als Datenschutzbeauftragten einen Arbeitnehmer oder einen externen Berater wählen, ist Ihre Sache. Er muss aber die notwendige Sachkenntnis besitzen.
Falls es einen Datenschutzbeauftragten gibt, müssen seine Kontaktdaten veröffentlicht werden, beispielsweise in der Datenschutzerklärung und/oder dem Impressum. Im Verzeichnis der Verarbeitungstätigkeiten muss er auch erwähnt werden.
5. Datenschutzerklärung
Die DSGVO legt fest, dass Betroffene in verständlicher und recht detaillierter Form über das Speichern und Verarbeiten ihrer personenbezogenen Daten informiert werden müssen.
Das bedeutet:
Selbst wenn Sie eine Datenschutzerklärung auf der Website haben, muss sie vermutlich angepasst werden. Wenn es noch keine Datenschutzerklärung gibt, wird es Zeit dafür. Websites, auf denen gar keine Daten erhoben werden, gibt es nur noch selten – dafür reicht bereits die Möglichkeit zum Newsletter-Abo oder das Erheben und Auswerten einer Besucherstatistik.
6. Einwilligung: wichtig, aber nicht immer erforderlich
Nicht in jedem Fall muss laut DSGVO eine ausdrückliche Einwilligung zum Speichern der Daten vorliegen (die Speicherung kann ja auf einem berechtigten Interesse oder einer gesetzlichen Vorschrift beruhen).
Aber es sollte Klarheit herrschen, für welche Datenbestände welche Rechtsgrundlage existiert und was rechtlich problematisch sein könnte. Und dort, wo eine Einwilligung des Betroffenen nötig ist, muss man später nachweisen können, dass sie erteilt wurde.
Abfragen und Formulare, die die Einwilligung zur Datenspeicherung betreffen, müssen auf DSGVO-Stand gebracht werden.
Die Einwilligung kommt nur dann wirksam zustande, wenn der Betreffende über den Zweck der Datenverarbeitung informiert wird und sich dafür oder dagegen entscheiden kann. Ein Vertragsabschluss darf beispielsweise nicht daran gekoppelt sein, dass man weitere, dafür nicht notwendige personenbezogene Daten von sich preisgibt (Kopplungsverbot). Außerdem muss die Einwilligung ausdrücklich den Hinweis enthalten, dass der Betreffende seine Einwilligung später widerrufen kann.
Vor diesem Hintergrund müssen alle Bestellformulare, Abo-Funktionen, Kontaktformulare etc. überprüft werden.
Nicht immer muss der Betroffene einwilligen. Wichtige Ausnahmen sind unter anderem die Vertragserfüllung und die Wahrung berechtigter (wirtschaftlicher) Interessen: Personenbezogene Daten, die dafür notwendig sind, dürfen ohne Einwilligung gespeichert und verarbeitet werden.
Berechtigte Interessen seitens des Verarbeiters (sprich: Sie/Ihre Firma) könnten sein:
Noch ist vieles unklar !
Es liegt auf der Hand, dass in der Praxis viele Grenz- und Zweifelsfälle existieren. Dann hilft nur eine Abwägung der beiderseitigen Interessen und Rechte. Es wird einige Zeit dauern, bis die Gerichte eine klare Linie entwickelt haben, wo genau die Grenze der "berechtigten Interessen" von Unternehmen in der Praxis verläuft. Bis dahin bleibt die Rechtslage unsicher.
7. Datenschutzfreundliche Grundeinstellungen
Die DSGVO fordert, dass die Voreinstellungen bei Online-Diensten, bei Software und anderen technischen Angeboten grundsätzlich möglichst datenschutzfreundlich gewählt werden ("privacy by default"). Bereits die technische Gestaltung soll möglichst datenschutzorientiert erfolgen ("privacy by design").
Das ergibt sich aus dem Grundsatz der Datenminimierung in Art. 5 DSGVO und aus der Verpflichtung zur Gewährleistung eines angemessenen Schutzniveaus nach Art. 32 DSGVO.
Die Technologie muss also mehr gewährleisten als den Schutz der persönlichen Nutzerdaten gegen Hacker. Sie muss so gestaltet sein, dass der Nutzer nur die für den Zweck des Programms oder Dienstes wirklich notwendigen personenbezogenen Daten angeben muss und ansonsten selbst entscheiden kann, ob er weitere Daten von sich preisgeben will.
Praktisch folgt beispielsweise:
8. Datensicherheit und IT-Sicherheit
Die DSGVO verlangt bei der Datenverarbeitung "geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten" (Art. 32 DSGVO).
Dazu gehören beispielsweise:
Die DSGVO erwähnt explizit, dass eine Datenschutz-Zertifizierung als Nachweis für die Erfüllung dieser Vorschrift wichtig sein kann. Leider ist bislang noch nicht klar, was als Zertifizierung im Sinne der DSGVO gilt und ob das beispielsweise mit ISO-27001-Konformität erreicht ist.
9. Maßnahmen bei Datenpannen
"Verletzungen des Schutzes personenbezogener Daten", d. h. Datenpannen und -verluste, müssen laut Art. 33 DSGVO innerhalb von 72 Stunden an die Aufsichtsbehörden gemeldet werden, wenn das möglich ist.
Die Meldung muss die voraussichtlichen Folgen der Datenschutzverletzung umfassen und die ergriffenen Maßnahmen schildern. Geplant ist, dass solche Meldungen zukünftig auch online bei der Aufsichtsbehörde abgegeben werden können.
Damit diese Pflicht im Fall eines Hacks oder einer Rechner-Havarie umgesetzt werden kann, sollte es klare interne Anweisungen und einen Reaktionsplan für solche Situationen geben. Das gilt auch für kleinere Unternehmen.
10. Recht auf Löschung
Sie müssen in der Lage sein, die personenbezogenen Daten jeder Person komplett zu löschen, wenn sie es von Ihnen verlangt (und kein berechtigtes Interesse Ihrerseits entgegensteht, siehe Punkt 6). Das verlangt Art. 17 DSGVO.
Natürlich greift dieser Anspruch nicht, wenn ein Kunde, der noch nicht bezahlt hat, die Löschung seiner Daten aus Ihrer Buchhaltung verlangt. Aber Sie sollten in der Lage sein, die Daten eines Nutzers zu löschen, der unter vollem Namen auf Ihrer Website Kommentare hinterlassen oder nur den Newsletter abonniert hat und es sich dann anders überlegt.
Im Idealfall gibt es für alle personenbezogenen Daten ein Löschkonzept, das dokumentiert, ob bzw. wann die jeweiligen Datensätze gelöscht werden können, und dafür sorgt, dass dies dann tatsächlich passiert. Dieses Löschkonzept gehört dann auch als Anlage zum Verzeichnis der Verarbeitungstätigkeiten (Punkt 2).
11. Verpflichtung auf das Datengeheimnis
Bislang schrieb das Bundesdatenschutzgesetz vor, dass Arbeitnehmer, die mit personenbezogenen Daten zu tun hatten, vom Arbeitgeber auf das Datengeheimnis verpflichtet werden mussten. Das konnte im Arbeitsvertag oder durch eine gesonderte Erklärung erfolgen.
In der DSGVO ist diese Forderung nicht mehr explizit enthalten, wohl aber implizit (Art 32 Abs. 4 DSGVO). Eine arbeitsrechtliche Verpflichtung der Mitarbeiter auf die Einhaltung datenschutzrechtlicher Bestimmungen ist also weiterhin sehr sinnvoll.
Falls die Formulierung der bisherigen Verpflichtungserklärung ausdrücklich auf § 5 BDSG Bezug nimmt, muss sie aktualisiert werden.
Fazit
Nachdem das Thema DSGVO lange eher ignoriert wurde, wird es nun auf breiter Front zum Thema. Dabei wird oft unterschlagen, dass die Feinheiten und die ganz konkreten Auswirkungen der veränderten Rechtslage längst noch nicht alle klar sind: Dafür muss man abwarten, wie die Gerichte in den nächsten Jahren urteilen.
Manche Stolperfallen, Abmahnfallen etwa, werden sich erst noch zeigen. Andere Punkte, die aktuell aufgeregt diskutiert werden, haben vielleicht gar keine großen Auswirkungen.
Kleinere Unternehmen und Selbstständige, die die Datenschutzproblematik ernst nehmen und sich bisher schon um datenschutzkonforme Abläufe bemüht haben, sollten keine unüberwindbaren Probleme haben. Alle anderen müssen sich nun kümmern.
Quelle:
Akademie.de