DSGVO heute: Wie verantwortlich bin ich eigentlich für meine Facebook-Seite?
Hurra, sie ist da! Nachdem das langersehnte Inkrafttreten der EU-DSGVO am 25. Mai 2018 mit einem Gewitter aus Berichterstattung und Befürchtungen zelebriert wurde, stellten sich schon am Tag darauf mehr Fragen, als die neue EU-Datenschutzgrundverordnung mit dem Status Quo zu beantworten scheint. Zusätzlich starteten pünktlich zur Einführung der DSGVO einige Rechtsanwälte mit dem heiteren Abmahnen von möglichen Verstößen. In einer ersten Welle standen vor allem die Verwendung von Google Analytics sowie das Setzen von Cookies im Fokus der Beanstandungen. Hierbei besonders interessant: Die Berechtigungen dieser Klagen werden aus dem Gesetz gegen den unlauteren Wettbewerb abgeleitet. Zur Rechtmäßigkeit der Klagebefugnis gibt es auf Basis der DSGVO jedoch keine einheitliche Meinung. Besonders im Hinblick auf weitere Felder, die durch die DSGVO bisher noch nicht in vollem Umfang berücksichtigt wurden, kann dies Anlass weiterer Abmahnungen sein.
Wie sicher ist Social Media nach dem 25. Mai?
Interessant werden so zukünftig auch Beanstandungen sein, die sich auf datenschutzrechtliche Aspekte sozialer Plattformen wie Facebook oder Instagram beziehen. Bisher vertrat ein Großteil der Datenschützer die Ansicht, dass bei geschlossenen Plattformen die Datenschutzbestimmungen der Plattformbetreiber ausreichen, um als Unternehmen auf der sicheren Seite zu sein. Wir halten dieses Vorgehen für bedenklich, denn trotz eines Datenverarbeitungsvertrages (ADV-Vertrag) mit Anbietern wie Facebook ist unklar, wie mit den erhobenen Daten grundsätzlich verfahren wird. Besonders hinsichtlich der Löschfristen können Unternehmen Ihren Nutzern nur einseitige Informationen liefern, da die tatsächliche Beseitigung der Daten durch die Plattformanbieter erfolgen muss.
Mit Blick auf die neue EU-Verordnung ist die Arbeit mit sozialen Plattformen daher mit einer gewissen Rechtsunsicherheit verbunden. Einige Aufsichtsbehörden vertreten bereits die Auffassung, dass man als Verantwortlicher einer Social Media-Präsenz eben doch für deren Datenverarbeitung einstehen müsse. Aus einem aktuellen Urteil des Europäischen Gerichtshofs (EuGH) geht nun hervor, dass zwischen einem Seitenbetreiber auf Facebook und den Nutzern dieser Seite ein sogenanntes „Benutzungsverhältnis“ bestehe. Das bedeutet, dass die Nutzer ihr Recht auf Auskunft oder Berichtigung der Daten sowohl dem Seitenbetreiber als auch Facebook gegenüber direkt geltend machen können (weitere Infos).
Das Urteil wirft weitere Fragen auf, die in der nächsten Zeit zu diskutieren sind. Insbesondere muss geklärt werden, welche Datenschutzpflichten vom Betreiber einer Facebookseite selbst zu erfüllen sind und welche Pflichten der Plattformbetreiber – in diesem Fall Facebook – übernehmen muss. Ebenfalls fraglich ist, wie Unternehmen trotz begrenztem Wissen über die tatsächlichen Datenverarbeitungsprozesse solcher Plattformen einen angemessenen Datenschutz gewährleisten sollen.
Unsere Empfehlung
Während die ersten Berater und Rechtsexperten bereits dazu raten Social Media Präsenzen vorsorglich abzuschalten, empfehlen wir Unternehmen jetzt eine kritische Überprüfung der eigenen Aktivitäten auf Sozialen Plattformen durchzuführen und zunächst auf die Datenschutzhinweise der Plattformanbieter zu verweisen. Die DSGVO betont jedoch, dass in jedem Fall über die eigene Datenverarbeitung auf Social-Media-Kanälen im Sinne des Artikel 13 DSGVO informiert werden muss. Daher sollte man seinen Nutzern eine eigene Erklärung bezüglich der Datenverarbeitung auf sozialen Plattformen zur Verfügung stellen. Diese sollte die Möglichkeit der Kommunikation mit den Nutzern über Kommentare oder persönliche Nachrichten sowie deren Zweck thematisieren. Auf Facebook beispielsweise ist auf der Unterseite „Seiteninformationen“ der Punkt „Datenrichtlinie“ zu finden. Dort kann ein Link zu den Datenschutzhinweisen für Facebook hinterlegt werden, um die eigenen Datenerhebungen transparent zu machen. Unsere klare Empfehlung lautet, eine Unterseite auf Ihrer Website zu erstellen, die nur die Datenschutzhinweise für Facebook beinhaltet und nur über diesen Link erreichbar ist. Wir haben dies auf unserem Kanal schon umgesetzt.
Es empfiehlt sich zudem, darin die klaren Verfügungsgrenzen hinsichtlich des eigenen Datenschutzes zu benennen. Denn auf welche Weise das Unternehmen Facebook Inc. Daten aus dem Besuch der jeweiligen Unternehmensseite für eigene Zwecke verwendet, in welchem Umfang Aktivitäten auf der Facebook-Seite einzelnen Nutzern zugeordnet werden, wie lange Facebook diese Daten speichert und ob Daten aus einem Besuch der Facebook-Seite an Dritte weitergegeben werden, wird von Facebook nicht abschließend und klar benannt. Eine Muster-Datenschutzerklärung für Facebook stellen wir Ihnen gerne zur Verfügung.
Grundsätzlich müssen wir die Frage aufwerfen, wie unter Berücksichtigung der EU-DSGVO zukünftig mit Plattformanbietern wie Facebook umgegangen wird. Der Status Quo nimmt Privatpersonen und KMUs stark in die Verantwortung, ihre Formen der Datenerhebung und -verarbeitung transparent zu gestalten und umfassende Maßnahmen umzusetzen. Wie sieht es dagegen in geschlossenen Plattformen wie Facebook aus, in denen Daten unter der Kontrolle eines US-Konzerns erhoben, verarbeitet und gespeichert werden? Es scheint, dass die eigene Datenschutzerklärung vor den hohen Zäunen der Plattformen endet. Das laufende Jahr wird zeigen, ob die DSGVO dort ebenfalls stoppt. Über ein klares Statement unserer hiesigen Landesdatenschützer würden wir uns jedenfalls sehr freuen.
