Kernpunkte:
- Gemeinsame Verantwortlichkeit
- Betrieb von Facebook-Fanpages
- Ermutigung der Hersteller zum Datenschutz
7 Neue Medien
7.1 Entscheidungen des EuGH zur gemeinsamen Verantwortlichkeit
Der EuGH hat am 5. Juni 2018 im Verfahren zur datenschutzrechtlichen Verantwortlichkeit von Betreibern von Facebook -Fanpages zwischenzeitlich eine wegweisende Entscheidung gefällt (36. TB, Tz. 7.1). Demnach sind der Betreiber des entsprechenden Facebook-Webauftritts und das Unternehmen Facebook gemeinsame Verantwortliche aus Datenschutzsicht:
www.datenschutzzentrum.de/artikel/1241-.html
Auch der EuGH sieht zwischen den Facebook-Seitenbetreibern und Facebook ein enges Kooperationsverhältnis, welches die Annahme gemeinsamer datenschutzrechtlicher Verpflichtungen rechtfertigt. Demnach ermöglichen die Seitenbetreiber dem Unternehmen Facebook die Setzung von Cookies auf den Rechnern von Seitenbesuchern, was der Verfolgung von Werbezwecken dient. Die Seitenbetreiber erhalten von Facebook hingegen die Option, durch Auswahl demografischer Daten der Seitenbesucher an einer zielgruppenspezifischen Datenauswertung für eigene Zwecke mitzuwirken, um z. B. das eigene Informationsangebot anzupassen oder selbst Werbezwecke zu verfolgen. Dabei wird nicht vorausgesetzt, dass der Seitenbetreiber zu den personenbezogenen Daten der Seitenbesucher Zugang hat.
Die Kriterien zur Beurteilung einer gemeinsamen Verantwortlichkeit aus Datenschutzsicht hat der EuGH jüngst auch in einer weiteren Entscheidung untermauert. Demnach ist eine Religionsgemeinschaft gemeinsam mit ihren als Verkündiger tätigen Mitgliedern als Verantwortliche für Verarbeitungen personenbezogener Daten anzusehen, wenn die Mitglieder im Rahmen der Verkündigungstätigkeit von Tür zu Tür personenbezogene Daten von angesprochenen Personen erheben und die Gemeinschaft die Verkündigung durch die Einteilung von Bezirken mit organisiert, ohne dass diese den Mitgliedern nachweisliche Anweisungen zur Verarbeitung bestimmter personenbezogener Daten erteilt hat.
Für die Annahme einer gemeinsamen Verantwortlichkeit war es in diesem Fall nicht erforderlich, dass die Religionsgemeinschaft Zugang zu den personenbezogenen Daten hat.
Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder hat ausgehend von der Entscheidung des EuGH zur Verantwortlichkeit beim Betrieb von Facebook-Fanpages den akuten Handlungsbedarf der Beteiligten aufgezeigt:
www.datenschutzzentrum.de/artikel/1244-.html
Vor dem Hintergrund der nun geltenden Regelungen der Datenschutz-Grundverordnung zählen hierzu folgende Punkte:
- Wer eine Fanpage besucht, muss transparent und in verständlicher Form darüber informiert werden, welche Daten zu welchen Zwecken durch Facebook und die Fanpage-Betreiber verarbeitet werden. Dies gilt sowohl für Personen, die bei Facebook registriert sind, als auch für nicht registrierte Besucherinnen und Besucher des Netzwerks.
- Betreiber von Fanpages sollten sich selbst versichern, dass Facebook ihnen die Informationen zur Verfügung stellt, die zur Erfüllung der genannten Informationspflichten benötigt werden.
- Soweit Facebook-Besucherinnen und -Besucher einer Fanpage durch Erhebung personenbezogener Daten getrackt werden, sei es durch den Einsatz von Cookies oder vergleichbarer Techniken oder durch die Speicherung der IP-Adresse, ist grundsätzlich eine Einwilligung der Nutzenden erforderlich, die die Anforderung der Datenschutz-Grundverordnung erfüllt.
- Für die Bereiche der gemeinsamen Verantwortung von Facebook und Fanpage-Betreibern ist in einer Vereinbarung festzulegen, wer von ihnen welche Verpflichtung der Datenschutz-Grundverordnung erfüllt. Diese Vereinbarung muss in wesentlichen Punkten den Betroffenen zur Verfügung gestellt werden, damit diese ihre Betroffenenrechte wahrnehmen können.
Was ist zu tun?
Die Betreiber von Facebook-Fanpages
und Facebook müssen die Anforderungen der Datenschutz-Grundverordnung zur
gemeinsamen Verantwortlichkeit erfüllen.
7.2 Facebook und
Facebook-Seitenbetreiber – Mit Vereinbarung zur gemeinsamen
Verantwortlichkeit alles gelöst?
Mit Urteil vom 5. Juni 2018 hat der Gerichtshof der Europäischen Union (EuGH), Aktenzeichen C-210/16, entschieden, dass eine gemeinsame Verantwortlichkeit von Facebook-Fanpage-Betreibern und Facebook besteht. Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) hatte zunächst in einer Entschließung vom 6. Juni 2018 deutlich gemacht, welche Konsequenzen sich aus dem Urteil für die gemeinsam Verantwortlichen, insbesondere für die Betreiber einer Fanpage, ergeben (Tz. 7.1).
Bei einer gemeinsamen Verantwortlichkeit fordert die Datenschutz-Grundverordnung u. a. eine Vereinbarung zwischen den Beteiligten, die klarstellt, wie die Pflichten aus der DSGVO erfüllt werden.
Nachdem seit dem Urteil des EuGH drei Monate vergangen waren, ohne dass Facebook eine angekündigte Vereinbarung nach Artikel 26 DSGVO zur Verfügung gestellt hatte, machte die DSK am 5. September 2018 deutlich, dass der Betrieb einer Fanpage, wie sie derzeit von Facebook angeboten wird, ohne eine Vereinbarung nach Artikel 26 DSGVO rechtswidrig ist.
Am 11. September 2018 veröffentlichte Facebook eine sogenannte „Seiten-Insights-Ergänzung bezüglich des Verantwortlichen“ sowie „Informationen zu Seiten-Insights“.
Im Zusammenhang mit einer Vereinbarung nach Artikel 26 DSGVO ist zunächst Folgendes zu beachten:
Datenschutzrechtliche Verantwortlichkeit richtet sich nach tatsächlichen Gegebenheiten und kann nicht durch Vereinbarungen abbedungen, zugeordnet oder zwischen Akteuren nach Belieben verschoben werden. Insofern hat eine Vereinbarung nach Artikel 26 DSGVO für sich genommen keinen konstitutiven Charakter. Sie stellt vielmehr eine Folgeverpflichtung dar, wenn zwei oder mehr Verantwortliche (Art. 4 Nr. 7 DSGVO) gemeinsam die Zwecke der und die Mittel zur Verarbeitung festlegen (Art. 26 Abs. 1 Satz 1 DSGVO). Gemeinsam Verantwortliche sind dann verpflichtet, in einer Vereinbarung in transparenter Form festzulegen, wer von ihnen welche Verpflichtung der DSGVO erfüllt. Eine solche Vereinbarung muss gemäß Art. 26 Abs. 2 Satz 1 DSGVO die jeweiligen tatsächlichen Funktionen und Beziehungen der gemeinsam Verantwortlichen gegenüber betroffenen Personen gebührend, d. h. insbesondere wahrheitsgetreu, widerspiegeln.
Sinn und Zweck einer Vereinbarung nach Art. 26 Abs. 2 DSGVO ist es, dass die jeweiligen Funktionen in den entsprechenden Verarbeitungsvorgängen bzw. die Beiträge zur Verarbeitung der verschiedenen Beteiligten transparent dargestellt werden. Damit sie diesen Vorgaben genügt, müssen in einer Vereinbarung nach Artikel 26 DSGVO „klare Informationen mit Erläuterungen zu den verschiedenen Phasen und Akteuren der Verarbeitung“ (Artikel-29-Datenschutzgruppe, WP 169 zu den Begriffen „für die Verarbeitung Verantwortlicher“ und „Auftragsverarbeiter“, S. 28) gegeben werden.
Insbesondere bedeutet dies, dass die Erfüllung der Datenschutzverpflichtungen eindeutig zugewiesen wird bzw. Ansprechpartner für mögliche Verletzungen dieser Bestimmungen klar bezeichnet werden, um präventiv „eine Beeinträchtigung des Schutzes personenbezogener Daten oder die Entstehung von ‚negativen Kompetenzkonflikten‘ bzw. von Schlupflöchern zu vermeiden, die dazu führen, dass bestimmte Verpflichtungen oder Rechte […] von keiner der Parteien erfüllt bzw. gewährleistet werden“ (Artikel-29-Datenschutzgruppe, WP 169, S. 27 f.).
Ob der jeweils Verantwortliche die Vorgaben der DSGVO einhält, unterliegt seiner Verantwortung. Dies gilt auch, wenn er die Verarbeitungstätigkeiten nicht selbst durchführt, sondern durch einen anderen gemeinsam mit ihm Verantwortlichen durchführen lässt. Der Verantwortliche kann sich nicht ins Blaue hinein darauf verlassen, dass eine Verarbeitung (durch einen anderen gemeinsam mit ihm Verantwortlichen) schon DSGVO-konform durchgeführt werde. Um davon ausgehen zu dürfen, müsste der eine Verantwortliche hinreichende Einblicke in die Verarbeitungstätigkeiten und die technischen und organisatorischen Maßnahmen des anderen Verantwortlichen haben. Zwar kann auch eine Vereinbarung nach Artikel 26 DSGVO dazu beitragen, dass von einem DSGVO-konformen Betrieb ausgegangen werden kann. Dies gilt jedoch nur, wenn eine solche Vereinbarung die notwendigen Informationen enthält.
Eine Vereinbarung zwischen gemeinsam Verantwortlichen steht im Zusammenhang mit der Rechenschaftspflicht der Verantwortlichen aus Art. 5 Abs. 2 DSGVO sowie den Anforderungen aus den Artikeln 24 und 25, wonach Verantwortliche die Einhaltung der DSGVO gewährleisten und nachweisen können müssen.
Ohne ausreichende Kenntnis über die Verarbeitungstätigkeiten, die der eigenen Verantwortung unterliegen, ist ein Verantwortlicher nicht in der Lage zu beurteilen, ob die Verarbeitungstätigkeiten rechtskonform sind oder nicht. Diesbezügliche Zweifel gehen dabei zulasten des Verantwortlichen, der es in der Hand hat, solche Verarbeitungen zu unterbinden.
Aus dem EuGH-Urteil:
„Der Umstand, dass ein Betreiber
einer Fanpage eine von Facebook eingerichtete Plattform nutzt, um die
dazugehörigen Dienstleistungen in Anspruch zu nehmen, kann diesen nämlich nicht
von der Beachtung seiner Verpflichtungen im Bereich des Schutzes
personenbezogener Daten befreien.“ (EuGH, C-210/16, Rn. 40)
Auch stellt eine gemeinsame Verantwortlichkeit keine Privilegierung hinsichtlich des Erfordernisses einer Rechtsgrundlage dar (siehe auch DSK, Kurzpapier Nr. 16: Gemeinsam für die Verarbeitung Verantwortliche, Artikel 26 DSGVO, abrufbar unter: https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_16.pdf [Extern]).
Verantwortliche benötigen stets eine eigene Rechtsgrundlage für die Verarbeitung personenbezogener Daten nach Art. 6 Abs. 1 DSGVO und – soweit besondere Kategorien personenbezogener Daten verarbeitet werden – nach Art. 9 Abs. 2 DSGVO. Dies gilt auch in den Fällen, in denen sie die Verarbeitungstätigkeiten nicht unmittelbar selbst durchführen, sondern durch andere gemeinsam mit ihnen Verantwortliche durchführen lassen. In diesem Zusammenhang hat der EuGH klargestellt (EuGH, C-210/16, Rn. 36) und bestätigt (EuGH, C-25/17, Rn. 75), dass ein fehlender tatsächlicher Zugriff auf personenbezogene Daten einer Verantwortlichkeit für die Verarbeitung dieser Daten nicht entgegensteht.
Aus der „Seiten-Insights-Ergänzung“ geht hervor, dass die Betroffenenrechte durch Facebook Ireland als einheitliche Anlaufstelle – bzw. vermittelt über die Fanpage-Betreiber – zentral erfüllt werden sollen. Dieser Ansatz steht im Einklang mit Art. 26 Abs. 1 Satz 3 DSGVO (und auch mit den Empfehlungen aus WP 169, S. 27 f.) Daraus lässt sich ableiten, dass bestimmte Prozesse im Umgang mit den Betroffenenrechten seitens Facebook geschaffen wurden.
Allerdings spricht das Addendum auch von einer Übernahme der Verantwortung durch Facebook. Das geht so nicht: Unter Hinweis auf Art. 26 Abs. 3 DSGVO ist klarzustellen, dass gemeinsam Verantwortliche zwar vereinbaren können, wer bestimmte Handlungen zur Erfüllung von Betroffenenrechten primär übernimmt, es jedoch bei der Verantwortlichkeit aller (gemeinsam) Verantwortlichen für die Rechte der Betroffenen aus den Artikeln 12 ff. DSGVO bleibt.
Das Addendum sowie die „Informationen zu Seiten-Insights“ enthalten keine weiter gehenden Informationen über die bereits von Facebook veröffentlichten Informationen, anhand derer die Fanpage-Betreiber verlässlich beurteilen könnten, ob die von Facebook durchgeführten Datenverarbeitungstätigkeiten DSGVO-konform sind und insbesondere die Verpflichtungen nach den Artikeln 24, 25 und 32 DSGVO erfüllen.
Wo die „Seiten-Insights-Ergänzung bezüglich des Verantwortlichen“ von einer Zustimmung dazu spricht, dass Facebook Ireland in der EU die Hauptniederlassung für die Verarbeitung von „Insights-Daten“ für sämtliche Verantwortliche ist (Punkt 4), ist zu betonen, dass sich die Zuständigkeit der jeweiligen Aufsichtsbehörden für die Fanpage-Betreiber nach der DSGVO und den tatsächlichen Gegebenheiten richtet und daher nicht zur Disposition steht. Gemäß den Artikeln 55 ff. DSGVO bleibt eine Zuständigkeit der Aufsichtsbehörden für Fanpage-Betreiber in ihrem Hoheitsgebiet (unabhängig von den durch die DSGVO vorgesehenen Kooperations- und Konsistenzmechanismen) bestehen.
Was ist zu tun?
Facebook muss nachbessern. Wer eine
Facebook-Fanpage betreiben will, muss Datenschutzkonformität bei Facebook als
gemeinsam Verantwortlichen einfordern.
7.3 Möglichkeit zur Ermutigung von Herstellern zu Datenschutz – Beispiel Freifunk
Der Wirtschaftsausschuss des Schleswig-Holsteinischen Landtages beschäftigte sich mit Anträgen zur Anerkennung der Gemeinnützigkeit von Freifunk-Initiativen (Landtagsdrucksachen 19/757 und 19/778). In diesem Zusammenhang wurde auch die Landesbeauftragte für Datenschutz um Stellungnahme gebeten.
Zwar besteht keine Zuständigkeit des ULD in Fragen der Gemeinnützigkeit. Dennoch betrachten wir eine Anerkennung einer Gemeinnützigkeit als positiv, soweit dies eine DSGVO-konforme Gestaltung von Anwendungen, Diensten oder Produkten fördern kann. Dies kommt aus unserer Sicht auch bei Freifunk infrage, denn zu den wesentlichen Zielen der Freifunk-Initiativen gehören datenschutzfördernde Prinzipien wie beispielsweise Datensparsamkeit, Dezentralität und Überwachungsfreiheit.
Erwägungsgrund 78
DSGVO
[…] „In Bezug auf Entwicklung,
Gestaltung, Auswahl und Nutzung von Anwendungen, Diensten und Produkten, die
entweder auf der Verarbeitung von personenbezogenen Daten beruhen oder zur
Erfüllung ihrer Aufgaben personenbezogene Daten verarbeiten, sollten die
Hersteller der Produkte, Dienste und Anwendungen ermutigt werden, das Recht
auf Datenschutz bei der Entwicklung und Gestaltung der Produkte, Dienste und
Anwendungen zu berücksichtigen und unter gebührender Berücksichtigung des
Stands der Technik sicherzustellen, dass die Verantwortlichen und die Verarbeiter
in der Lage sind, ihren Datenschutzpflichten nachzukommen. […]
Freifunk-Initiativen stellen Infrastrukturen und teilweise auch Router und Router-Firmware zur Verfügung und könnten damit unter den Begriff „Hersteller von Produkten, Diensten und Anwendungen“ fallen.
Dieser Begriff wird in der DSGVO im Erwägungsgrund 78 aufgegriffen, der sich auf Art. 25 DSGVO (Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen) bezieht und in dem von einer „Ermutigung der Hersteller“ die Rede ist.
Hintergrund dieser Aussage ist, dass die DSGVO keine Verpflichtungen direkt für Hersteller enthält, jedoch den Verantwortlichen und Auftragsverarbeitern ein DSGVO-konformer Betrieb häufig nur dann mit wenig Aufwand möglich ist, wenn die Produkte, Dienste und Anwendungen Datenschutzanforderungen berücksichtigen (Tz. 1.1).
Die DSGVO beschreibt nicht, wie eine Ermutigung der Hersteller ausgestaltet werden kann. Aber Impulse wie eine Förderung über die Anerkennung einer Gemeinnützigkeit sind aus unserer Sicht geeignet, die Ermutigung im Sinne des Erwägungsgrundes 78 der DSGVO zu leisten, wenn damit Datenschutzanforderungen bei der Entwicklung und Gestaltung der informationstechnischen Systeme und der Angebote von Anfang an berücksichtigt und geeignet implementiert werden.
Was ist zu tun?
Die Politik sollte überlegen, auf
welche Weise Hersteller zu Datenschutz „by Design“ und „by Default“ ermutigt
werden können. Die Anerkennung einer Gemeinnützigkeit für Initiativen kann dazu
beitragen.
Zurück zum vorherigen Kapitel | Zum Inhaltsverzeichnis | Zum nächsten Kapitel |