14.09.2018

Datenschutz auf Facebook: Betreiber sind mitverantwortlich

Die deutschen Datenschützer habe vor dem Europäischen Gerichtshof (euGH) gewonnen. Sie hatten sich bereits vor dem Inkarnierten der Datenschutzgrundverordnung (DSGVO) am 25.5.2018 gegen den Umgang von Facebook-Fanseite gewandt. Hier erfahren Sie, was Sie zum Datenschutz auf Facebook beachten müssen.

Der Fall

Geklagt hatte ein Unternehmen, das Bildungsdienstleistungen anbietet. Es betrieb eine Facebook-Fanpage. Mit der Klage wehrte er sich gegen einen Bescheid des „Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein“ ULD).

Auf Fanseite werden Daten erhoben und verarbeitet

Über solche Facebook-Fanseite können sich Unternehmen oder aber auch Privatpersonen den Besuchern der Seite präsentieren. Teilweise werden über solche Seiten auch Dienstleistungen angeboten. Zudem werden bei den virtuellen Besuchen in der Regel anonymisierte Daten der Nutzer erhoben und verarbeitet. Die Möglichkeit besteht über die Funktion „Facebook Insight“. Diese sammelt die Daten mithilfe sogenannter Cookies.

 

ULD fordert zum Abschalten der Seite auf

Das Unternehmen erhob solche anonymisierten statistischen Daten, allerdings ohne darauf hinzuweisen, dass eine Erhebung und Verarbeitung mittels Cookies stattfand. Auch Facebook selbst wies nicht auf das Vorgehen hin. Das missfiel dem ULD. Es erließ deshalb einen Bescheid gegen das Unternehmen. Darin forderte es den Bildungsdienstleister auf, seine Fanseite zu deaktivieren.

Unternehmen wehrt sich gegen den Bescheid

Dem kam das Unternehmen jedoch nicht nach. Es widersprach dem Bescheid zunächst, allerdings ohne Erfolg. Deshalb zog es vor Gericht. Vor dem Verwaltungsgericht und dem Oberverwaltungsgericht hatte es mit seiner Klage Erfolg. Das Bundesverwaltungsgericht (BVerwG) hat noch nicht entschieden. Es legte dem EuGH mehrere Fragen zur Auslegung der Europäischen Datenschutzrichtlinie vor. Diese ist allerdings seit dem Inkrafttreten der neuen DSGVO aufgehoben. Die Entscheidung gibt Aufschluss über die Einstellung des EuGH zu datenschutzrechtlichen Angelegenheiten.

Betreiber von Facebook-Fanseiten sind mitverantwortlich

Die Entscheidung: Der EuGH stellte zunächst klar, dass der Hauptverantwortliche in solchen Angelegenheiten Facebook ist (in diesem Fall die Facebook Inc. und Facebook Irland). Facebook sei verpflichtet, die Nutzer und Besucher der jeweiligen Seiten über die Zwecke und Mittel der Verarbeitung personenbezogener Daten zu unterrichten (EuGH, 5.6.2018, Az. C-210/16).

Allerdings trifft Facebook die Verantwortung nicht allein. Auch die Betreiber von Facebook-Fanseiten fallen unter diese Vorschrift, an der der EuGH seine Entscheidung festmacht (Art. 2 Buchstabe d Europäische Datenschutzrichtlinie). Denn die Betreiber der Fanpages werden aufgrund der von ihnen erstellten Ausgestaltung der jeweiligen Seite an der Entscheidung über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten der Nutzer beteiligt. Das Gericht macht dadurch Facebook und den Betreiber gemeinsam für den Fehler verantwortlich.

Gemeinsame Verantwortung heißt nicht gleichwertige Verantwortung

Der EuGH weist in seiner Entscheidung aber auch darauf hin, dass die gemeinsame Verantwortung nicht automatisch eine gleichwertige Verantwortlichkeit zur Folge hat. Letztlich komme es insoweit auf eine Einzelfallbetrachtung an. Es sei zu prüfen, wann genau die unterschiedlichen Handelnden tätig geworden seien und in welchem Ausmaß sie jeweils agiert hätten.

Das BVerwG hat nun unter Einbeziehung der Aussagen des EuGH eine Entscheidung zu treffen. Ich werde die Entwicklung selbstverständlich für Sie beobachten und Sie zum gegebenen Zeitpunkt unterrichten.

Welche Folgen die Entscheidung haben könnte

Die Entscheidung könnte nicht unerhebliche Folgen für Ihren Arbeitgeber und Sie haben, wenn er soziale Netzwerke betrieblich nutzt. Denn logische Konsequenz kann meines Erachtens nur sein, dass die entsprechenden Grundsätze auch für andere soziale Netzwerke und Messenger-Dienste gelten. Das könnte aber bedeuten, dass Ihr Arbeitgeber plötzlich für die Datenverarbeitung einer Vielzahl von Anbietern mithaftet.

Zunächst bleibt abzuwarten, wie das BVerfG die Situation aufgrund der aktuellen Entwicklung des Datenschutzes beurteilt. Bis dahin sollten Sie dafür sorgen, dass Sie Besucher und Nutzer Ihrer Seiten in den sozialen Netzwerken auf die mögliche Erhebung und Verarbeitung anonymisierter statistischer Daten hinweisen.

Fazit: Datenschutz grundsätzlich genau nehmen

Ihr Arbeitgeber muss den Datenschutz penibel einhalten. Denn die Sanktionen bei Verstößen gegen die DSGVO sind drastisch. Sie als Betriebsrat sollten sich jetzt darum bemühen, den Istzustand zum Datenschutz zu erfassen, und sich dafür einsetzen, dass die notwendigen Anpassungen vorgenommen werden.

Überzeugen Sie Ihren Arbeitgeber bzw. den Datenschutzbeauftragten, eine Dokumentation über die Einhaltung der DSGVO zu führen. Empfehlen Sie Ihrem Arbeitgeber zudem, sämtliche Verträge mit Dienstleistern auf die Anforderungen nach Art. 28, 29 DSGVO zu prüfen und ggf. einen Auftragsdatenverarbeitungsvertrag abzuschließen oder anzupassen.

Weitere Beiträge zu diesem Thema

 

23.10.2017
Leiharbeit und Zeitarbeit – Mindestlohn für Leiharbeiter

Die Arbeitnehmerüberlassung wird auch Leiharbeit oder Zeitarbeit genannt. Gelegentlich kommen auch Begriffe wie Personalleasing oder AÜG vor. All diese Begriffe bezeichnen den Vorgang, dass ein Arbeitnehmer von seinem... Mehr lesen

23.10.2017
Arbeitspapiere

Lohnsteuerkarte, Sozialversicherungsausweis, Arbeitserlaubnis … sind Arbeitspapiere. Diese müssen Arbeitnehmer dem Arbeitgeber aushändigen. Am Ende des Arbeitsverhältnisses hat er diese herauszugeben. Allerdings hat er hier... Mehr lesen

23.10.2017
Regelungen zum Zeugnis in einem Vergleich?

Auch nach der Beendigung eines Arbeitsverhältnisses kommt es immer wieder zu Streitigkeiten zwischen Arbeitnehmern und ihrem früheren Arbeitgeber. Viele Auseinandersetzungen betreffen Formulierungen im Zeugnis. Da es sich wegen... Mehr lesen