14.09.2018

Datenschutz auf Facebook: Betreiber sind mitverantwortlich

Die deutschen Datenschützer habe vor dem Europäischen Gerichtshof (euGH) gewonnen. Sie hatten sich bereits vor dem Inkarnierten der Datenschutzgrundverordnung (DSGVO) am 25.5.2018 gegen den Umgang von Facebook-Fanseite gewandt. Hier erfahren Sie, was Sie zum Datenschutz auf Facebook beachten müssen.

Der Fall

Geklagt hatte ein Unternehmen, das Bildungsdienstleistungen anbietet. Es betrieb eine Facebook-Fanpage. Mit der Klage wehrte er sich gegen einen Bescheid des „Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein“ ULD).

Auf Fanseite werden Daten erhoben und verarbeitet

Über solche Facebook-Fanseite können sich Unternehmen oder aber auch Privatpersonen den Besuchern der Seite präsentieren. Teilweise werden über solche Seiten auch Dienstleistungen angeboten. Zudem werden bei den virtuellen Besuchen in der Regel anonymisierte Daten der Nutzer erhoben und verarbeitet. Die Möglichkeit besteht über die Funktion „Facebook Insight“. Diese sammelt die Daten mithilfe sogenannter Cookies.

 

ULD fordert zum Abschalten der Seite auf

Das Unternehmen erhob solche anonymisierten statistischen Daten, allerdings ohne darauf hinzuweisen, dass eine Erhebung und Verarbeitung mittels Cookies stattfand. Auch Facebook selbst wies nicht auf das Vorgehen hin. Das missfiel dem ULD. Es erließ deshalb einen Bescheid gegen das Unternehmen. Darin forderte es den Bildungsdienstleister auf, seine Fanseite zu deaktivieren.

Unternehmen wehrt sich gegen den Bescheid

Dem kam das Unternehmen jedoch nicht nach. Es widersprach dem Bescheid zunächst, allerdings ohne Erfolg. Deshalb zog es vor Gericht. Vor dem Verwaltungsgericht und dem Oberverwaltungsgericht hatte es mit seiner Klage Erfolg. Das Bundesverwaltungsgericht (BVerwG) hat noch nicht entschieden. Es legte dem EuGH mehrere Fragen zur Auslegung der Europäischen Datenschutzrichtlinie vor. Diese ist allerdings seit dem Inkrafttreten der neuen DSGVO aufgehoben. Die Entscheidung gibt Aufschluss über die Einstellung des EuGH zu datenschutzrechtlichen Angelegenheiten.

Betreiber von Facebook-Fanseiten sind mitverantwortlich

Die Entscheidung: Der EuGH stellte zunächst klar, dass der Hauptverantwortliche in solchen Angelegenheiten Facebook ist (in diesem Fall die Facebook Inc. und Facebook Irland). Facebook sei verpflichtet, die Nutzer und Besucher der jeweiligen Seiten über die Zwecke und Mittel der Verarbeitung personenbezogener Daten zu unterrichten (EuGH, 5.6.2018, Az. C-210/16).

Allerdings trifft Facebook die Verantwortung nicht allein. Auch die Betreiber von Facebook-Fanseiten fallen unter diese Vorschrift, an der der EuGH seine Entscheidung festmacht (Art. 2 Buchstabe d Europäische Datenschutzrichtlinie). Denn die Betreiber der Fanpages werden aufgrund der von ihnen erstellten Ausgestaltung der jeweiligen Seite an der Entscheidung über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten der Nutzer beteiligt. Das Gericht macht dadurch Facebook und den Betreiber gemeinsam für den Fehler verantwortlich.

Gemeinsame Verantwortung heißt nicht gleichwertige Verantwortung

Der EuGH weist in seiner Entscheidung aber auch darauf hin, dass die gemeinsame Verantwortung nicht automatisch eine gleichwertige Verantwortlichkeit zur Folge hat. Letztlich komme es insoweit auf eine Einzelfallbetrachtung an. Es sei zu prüfen, wann genau die unterschiedlichen Handelnden tätig geworden seien und in welchem Ausmaß sie jeweils agiert hätten.

Das BVerwG hat nun unter Einbeziehung der Aussagen des EuGH eine Entscheidung zu treffen. Ich werde die Entwicklung selbstverständlich für Sie beobachten und Sie zum gegebenen Zeitpunkt unterrichten.

Welche Folgen die Entscheidung haben könnte

Die Entscheidung könnte nicht unerhebliche Folgen für Ihren Arbeitgeber und Sie haben, wenn er soziale Netzwerke betrieblich nutzt. Denn logische Konsequenz kann meines Erachtens nur sein, dass die entsprechenden Grundsätze auch für andere soziale Netzwerke und Messenger-Dienste gelten. Das könnte aber bedeuten, dass Ihr Arbeitgeber plötzlich für die Datenverarbeitung einer Vielzahl von Anbietern mithaftet.

Zunächst bleibt abzuwarten, wie das BVerfG die Situation aufgrund der aktuellen Entwicklung des Datenschutzes beurteilt. Bis dahin sollten Sie dafür sorgen, dass Sie Besucher und Nutzer Ihrer Seiten in den sozialen Netzwerken auf die mögliche Erhebung und Verarbeitung anonymisierter statistischer Daten hinweisen.

Fazit: Datenschutz grundsätzlich genau nehmen

Ihr Arbeitgeber muss den Datenschutz penibel einhalten. Denn die Sanktionen bei Verstößen gegen die DSGVO sind drastisch. Sie als Betriebsrat sollten sich jetzt darum bemühen, den Istzustand zum Datenschutz zu erfassen, und sich dafür einsetzen, dass die notwendigen Anpassungen vorgenommen werden.

Überzeugen Sie Ihren Arbeitgeber bzw. den Datenschutzbeauftragten, eine Dokumentation über die Einhaltung der DSGVO zu führen. Empfehlen Sie Ihrem Arbeitgeber zudem, sämtliche Verträge mit Dienstleistern auf die Anforderungen nach Art. 28, 29 DSGVO zu prüfen und ggf. einen Auftragsdatenverarbeitungsvertrag abzuschließen oder anzupassen.

Weitere Beiträge zu diesem Thema

 

23.10.2017
Fahrtenbuch mit dem iPhone

Haben Sie auch schon ein iPhone oder ein anderes Smartphone? In wenigen Jahren soll jedes zweite Handy ein Smartphone sein. So stellen es sich jedenfalls die Hersteller vor. Zu diesen Smartphones gibt es auch immer mehr Apps. Das... Mehr lesen

23.10.2017
Unterschrift nur mit Initialen ist keine rechtsgültige Unterschrift

Der Fall: Die Bundesagentur für Arbeit hatte eine Arbeitnehmerin befristet eingestellt. Der Vertrag war vom Geschäftsführer „unterschrieben“: Die Unterschrift besteht aus 2 durch einen Punkt getrennte offene Haken. Der... Mehr lesen

23.10.2017
Rhetorikseminare für Betriebsräte können erforderliche Schulungen sein!

Betriebsratsmitglieder müssen geschult werden. Deshalb hat der Arbeitgeber Sie als Betriebsrat nach § 37 Abs. 6 BetrVG für die Teilnahme an Schulungs- und Bildungsveranstaltungen freizustellen. Wichtige Voraussetzung: Die... Mehr lesen