Datenschutz Facebook-Fanpage – Die (gemeinsame) Verantwortlichkeit von Facebook und Fanpage-Betreiber nach der DSGVO

Am 05.06.2018 entschied der Europäische Gerichtshof (EuGH), dass der Betreiber einer Facebook-Fanpage gemeinsam mit Facebook für die Verarbeitung der personenbezogenen Daten der Besucher seiner Fanpage verantwortlich ist (Az. C-210/16).
Strittig war unter anderem die Begriffsdefinition zur “verantwortlichen Stelle”, § 3 Nr. 7 BDSG a.F. bzw. Art. 2 lit. d Datenschutzrichtlinie 95/46/EG. Da hingegen die Begriffsdefinition der Datenschutzrichtlinie nahezu wortgleich in Art. 4 Nr. 7 der DSGVO umgesetzt wurde, dürfte diese Entscheidung starke Signalwirkung innehaben.

Exkurs: Facebook-Fanpage

Dabei handelt es sich um ein öffentliches Profil, z.B. eines Unternehmens auf dem sozialen Netzwerk “Facebook”. Durch einen Klick kann man “Fan” dieser Seite werden und erhält hierdurch stetig Informationen, News oder Meldungen des Profils direkt im eigenen Newsstream. So ist es z.B. Unternehmen möglich, aktiv mit ihren Kunden in Kontakt zu treten und umgekehrt. Mit Hilfe der Funktion “Facebook Insight”, die als nicht abdingbarer Teil des Benutzungsverhältnisses kostenfrei zur Verfügung steht, ist es dem Betreiber möglich, anonymisierte statistische Daten über die Nutzer der Fanpage-Seiten einzusehen.

Wer ist wofür verantwortlich?

Dieser Entscheidung lag ein Verwaltungsrechtsstreit zwischen der Wirtschaftsakademie Schleswig-Holstein GmbH und dem Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD) zugrunde. Die Akademie als Klägerin bewarb Bildungsangebote auf ihrer Facebook-Fanpage. Sie wehrte sich gegen eine datenschutzrechtliche Anordnung der Beklagten (ULD) bis zum Bundesverwaltungsgericht (BVerwG), welches schließlich dem EuGH unter anderem die Frage vorlegte, ob die Klägerin als Fanpage-Betreiberin überhaupt eine “verantwortliche Stelle” sein kann.

Dies wurde durch den EuGH bejaht.

Der EuGH stellte zwar fest, dass die bloße Benutzung von Facebook noch nicht zur Mitverantwortlichkeit führe, diese beginne jedoch bereits mit Einrichtung der Fanpage. Dies ist dem Grunde geschuldet, dass der Betreiber diese auf sein Zielpublikum ausrichtet, mittels Filtern Kriterien für Erhebung von Statistiken festlegt und Kategorien von Personen bezeichnet, deren personenbezogene Daten seitens Facebook ausgewertet werden sollen. So können gerade Angaben z.B. zur beruflichen Situation, Lebensstil, Geschlecht, Altersbereich und Interessen für konkrete Werbeaktionen und zielgerichtete Informationen verwertet und verwendet werden.

Es spiele – so der EuGH – hier keine Rolle, dass die von Facebook erstellten Besucherstatistiken ausschließlich in anonymisierter Form an den jeweiligen Betreiber der Fanpage übermittelt werden. Gerade der Umstand, dass diese Fanpages auch von Dritten, bei denen es sich nicht um Facebook-Nutzer/Mitglieder handelt, besucht werden können, erfordere eine noch größere Verantwortung, da eben auch bei diesen Besuchen automatisch eine Verarbeitung von personenbezogenen Daten ausgelöst werde.

Was bedeutet das konkret für mich als Fanpage-Betreiber?

Solange es sich um eine ausschließlich private Nutzung des Social Networks handelt, hat die Entscheidung des EuGH hierauf keine Auswirkungen. Wer hingegen Fanpages zu geschäftlichen Zwecken einrichtet, ist datenschutzrechtlich auch mitverantwortlich. Die Entscheidung ist analog übertragbar auf weitere Social Media – Dienste wie z.B. Instagram, Snapchat oder YouTube.
Somit unterliegen – nach der Entscheidung des EuGH – die Fanpage-Betreiber insbesondere Informationspflichten, Betroffenenrechten und der Haftung nach der DSGVO (aufsichtsbehördliche Anordnungen, wettbewerbsrechtliche Abmahnungen etc.).

Wie setze ich die notwendigen Pflichten auf meiner Fanpage um?

Es ist dem Fanpage-Betreiber möglich in der Facebook-Seiteninformation unter “Datenschutzrichtlinie” eine eigene extern gespeicherte Datenschutzerklärung zu verlinken, um den Informationspflichten der DSGVO (Art. 13, 14 DSGVO) zu genügen. Hier kann man dann konkret auf die Datenverarbeitung im Rahmen einer Fanpage eingehen und diese transparent für den Nutzer aufschlüsseln.

Share Button

Vor­rats­da­ten­spei­che­rung ver­stößt gegen Uni­ons­recht

Die im Dezember 2015 gesetzlich eingeführte und ab dem 1. Juli 2017 zu beachtende Pflicht für die Erbringer öffentlich zugänglicher Telekommunikationsdienste, die bei der Nutzung von Telefon- und Internetdiensten anfallenden Verkehrs- und Standortdaten ihrer Nutzer für eine begrenzte Zeit von 10 bzw. – im Fall von Standortdaten – 4 Wochen auf Vorrat zu speichern, damit sie im Bedarfsfall den zuständigen Behörden etwa zur Strafverfolgung zur Verfügung gestellt werden können, ist mit dem Recht der Europäischen Union nicht vereinbar.

Dies hat das Oberverwaltungsgericht durch Beschluss vom 22. Juni 2017 entschieden.

Die Antragstellerin, ein IT-Unternehmen aus München, das u.a. Internetzugangsleistungen für Geschäftskunden in Deutschland und in anderen EU-Mitgliedstaaten erbringt, hatte sich mit einem Antrag auf Erlass einer einstweiligen Anordnung an das Verwaltungsgericht Köln gewandt, um der Verpflichtung zur Vorratsdatenspeicherung vorläufig bis zur Entscheidung über die gleichzeitig erhobene Klage nicht nachkommen zu müssen. Diesen Antrag hatte das Verwaltungsgericht abgelehnt. Der gegen diese Entscheidung erhobenen Beschwerde der Antragstellerin hat das Oberverwaltungsgericht nunmehr stattgegeben.

Zur Begründung hat der 13. Senat ausgeführt: Die Speicherpflicht sei in der Folge eines Urteils des Gerichtshofs der Europäischen Union vom 21. Dezember 2016 – C-203/15 und C-698/15 – jedenfalls in ihren gegenwärtigen Ausgestaltung nicht mit Art. 15 Abs. 1 der Datenschutzrichtlinie für elektronische Kommunikation 2002/58/EG vom 12. Juli 2002 vereinbar. Die Speicherpflicht erfasse pauschal die Verkehrs- und Standortdaten nahezu alle Nutzer von Telefon- und Internetdiensten. Erforderlich seien aber nach Maßgabe des Gerichtshofs jedenfalls Regelungen, die den von der Speicherung betroffenen Personenkreis von vornherein auf Fälle beschränkten, bei denen ein zumindest mittelbarer Zusammenhang mit der durch das Gesetz bezweckten Verfolgung schwerer Straftaten bzw. der Abwehr schwerwiegender Gefahren für die öffentliche Sicherheit bestehe. Dies könne etwa durch personelle, zeitliche oder geographische Kriterien geschehen. Nach dem Urteil des Gerichtshofs könne die anlasslose Speicherung von Daten insbesondere nicht dadurch kompensiert werden, dass die Behörden nur zum Zweck der Verfolgung schwerer Straftaten bzw. der Abwehr schwerwiegender Gefahren Zugang zu den gespeicherten Daten erhielten und strenge Maßnahmen zum Schutz der gespeicherten Daten vor Missbrauch ergriffen würden.

Der Beschluss ist unanfechtbar.

Aktenzeichen: 13 B 238/17 (I. Instanz: VG Köln 9 L 1009/16)

Share Button

Bundesgerichtshof entscheidet über die Zulässigkeit einer Lehrerbewertung im Internet (www.spickmich.de)

Die Parteien streiten über die Zulässigkeit der Bewertung der Leistungen der Klägerin als Lehrerin mit Namensnennung durch Schüler auf der Website http://www.spickmich.de/, die von den Beklagten gestaltet und verwaltet wird. Zugang zu dem Portal haben nur registrierte Nutzer. Die Registrierung erfolgt nach Eingabe des Namens der Schule, des Schulortes, eines Benutzernamens und einer E-mail-Adresse. An die E-mail-Adresse wird ein Passwort versandt, das den Zugang zu dem Portal eröffnet. Die mit den Schulnoten 1 bis 6 abzugebenden Bewertungen sind an vorgegebene Kriterien gebunden wie etwa “cool und witzig”, “beliebt”, “motiviert”, “menschlich”, “gelassen” und “guter Unterricht”. Ein eigener Textbeitrag des Bewertenden ist nicht möglich. Aus dem Durchschnitt der anonym abgegebenen Bewertungen wird eine Gesamtnote errechnet. Die Nutzer können außerdem auf einer Zitatseite angebliche Zitate der bewerteten Lehrer einstellen. Die Klägerin, deren Name und Funktion auch der Homepage der Schule, an der sie unterrichtet, entnommen werden kann, erhielt für das Unterrichtsfach Deutsch eine Gesamtbewertung von 4,3. Ihr zugeschriebene Zitate wurden bisher nicht eingestellt. Mit der Klage verfolgt die Klägerin einen Anspruch auf Löschung bzw. Unterlassung der Veröffentlichung ihres Namens, des Namens der Schule, der unterrichteten Fächer im Zusammenhang mit einer Gesamt- und Einzelbewertung und der Zitat- und Zeugnisseite auf der Homepage http://www.spickmich.de/. Sie blieb in den Vorinstanzen erfolglos.

Der u. a. für den Schutz des Persönlichkeitsrechts und Ansprüche aus dem Bundesdatenschutzgesetz zuständige VI. Zivilsenat des Bundesgerichtshofs hat die dagegen von der Klägerin eingelegte Revision zurückgewiesen.

Unter den Umständen des Streitfalls hat der BGH die Erhebung, Speicherung und Übermittlung der Daten trotz der fehlenden Einwilligung der Klägerin für zulässig gehalten. Zwar umfasst der Begriff der personenbezogenen Daten nicht nur klassische Daten wie etwa den Namen oder den Geburtsort, sondern auch Meinungsäußerungen und Beurteilungen, die sich auf einen bestimmten oder bestimmbaren Betroffenen beziehen. Für die Erhebung, Speicherung und Übermittlung solcher Daten in automatisierten Verfahren gelten grundsätzlich die Vorschriften des Bundesdatenschutzgesetzes. Die Erhebung und Speicherung von Daten zur Übermittlung an Dritte ist auch ohne Einwilligung des Betroffenen nach § 29 BDSG u.a. dann zulässig, wenn ein Grund zu der Annahme eines schutzwürdigen Interesses an dem Ausschluss der Datenerhebung und –speicherung nicht gegeben ist. Ein entgegenstehendes Interesse der Klägerin hat der BGH nach Abwägung des Rechts auf informationelle Selbstbestimmung einerseits und des Rechts auf freien Meinungsaustausch andererseits für nicht gegeben erachtet. Die Bewertungen stellen Meinungsäußerungen dar, die die berufliche Tätigkeit der Klägerin betreffen, bei der der Einzelne grundsätzlich nicht den gleichen Schutz wie in der Privatsphäre genießt. Konkrete Beeinträchtigungen hat die Klägerin nicht geltend gemacht. Die Äußerungen sind weder schmähend noch der Form nach beleidigend. Dass die Bewertungen anonym abgegeben werden, macht sie nicht unzulässig, weil das Recht auf Meinungsfreiheit nicht an die Zuordnung der Äußerung an ein bestimmtes Individuum gebunden ist. Die Meinungsfreiheit umfasst grundsätzlich das Recht, das Verbreitungsmedium frei zu bestimmen.

Auch die Zulässigkeit der Übermittlung der Daten an den Nutzer kann nur aufgrund einer Gesamtabwägung zwischen dem Persönlichkeitsschutz des Betroffenen und dem Recht auf Kommunikationsfreiheit im jeweiligen Einzelfall beurteilt werden. Im Streitfall ist im Hinblick auf die geringe Aussagekraft und Eingriffsqualität der Daten und die Zugangsbeschränkungen zum Portal die Datenübermittlung nicht von vornherein unzulässig. Besondere Umstände, die der Übermittlung im konkreten Fall entgegenstehen könnten, hat die Klägerin nicht vorgetragen.

Share Button