14.09.2018

Datenschutz auf Facebook: Betreiber sind mitverantwortlich

Die deutschen Datenschützer habe vor dem Europäischen Gerichtshof (euGH) gewonnen. Sie hatten sich bereits vor dem Inkarnierten der Datenschutzgrundverordnung (DSGVO) am 25.5.2018 gegen den Umgang von Facebook-Fanseite gewandt. Hier erfahren Sie, was Sie zum Datenschutz auf Facebook beachten müssen.

Der Fall

Geklagt hatte ein Unternehmen, das Bildungsdienstleistungen anbietet. Es betrieb eine Facebook-Fanpage. Mit der Klage wehrte er sich gegen einen Bescheid des „Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein“ ULD).

Auf Fanseite werden Daten erhoben und verarbeitet

Über solche Facebook-Fanseite können sich Unternehmen oder aber auch Privatpersonen den Besuchern der Seite präsentieren. Teilweise werden über solche Seiten auch Dienstleistungen angeboten. Zudem werden bei den virtuellen Besuchen in der Regel anonymisierte Daten der Nutzer erhoben und verarbeitet. Die Möglichkeit besteht über die Funktion „Facebook Insight“. Diese sammelt die Daten mithilfe sogenannter Cookies.

 

ULD fordert zum Abschalten der Seite auf

Das Unternehmen erhob solche anonymisierten statistischen Daten, allerdings ohne darauf hinzuweisen, dass eine Erhebung und Verarbeitung mittels Cookies stattfand. Auch Facebook selbst wies nicht auf das Vorgehen hin. Das missfiel dem ULD. Es erließ deshalb einen Bescheid gegen das Unternehmen. Darin forderte es den Bildungsdienstleister auf, seine Fanseite zu deaktivieren.

Unternehmen wehrt sich gegen den Bescheid

Dem kam das Unternehmen jedoch nicht nach. Es widersprach dem Bescheid zunächst, allerdings ohne Erfolg. Deshalb zog es vor Gericht. Vor dem Verwaltungsgericht und dem Oberverwaltungsgericht hatte es mit seiner Klage Erfolg. Das Bundesverwaltungsgericht (BVerwG) hat noch nicht entschieden. Es legte dem EuGH mehrere Fragen zur Auslegung der Europäischen Datenschutzrichtlinie vor. Diese ist allerdings seit dem Inkrafttreten der neuen DSGVO aufgehoben. Die Entscheidung gibt Aufschluss über die Einstellung des EuGH zu datenschutzrechtlichen Angelegenheiten.

Betreiber von Facebook-Fanseiten sind mitverantwortlich

Die Entscheidung: Der EuGH stellte zunächst klar, dass der Hauptverantwortliche in solchen Angelegenheiten Facebook ist (in diesem Fall die Facebook Inc. und Facebook Irland). Facebook sei verpflichtet, die Nutzer und Besucher der jeweiligen Seiten über die Zwecke und Mittel der Verarbeitung personenbezogener Daten zu unterrichten (EuGH, 5.6.2018, Az. C-210/16).

Allerdings trifft Facebook die Verantwortung nicht allein. Auch die Betreiber von Facebook-Fanseiten fallen unter diese Vorschrift, an der der EuGH seine Entscheidung festmacht (Art. 2 Buchstabe d Europäische Datenschutzrichtlinie). Denn die Betreiber der Fanpages werden aufgrund der von ihnen erstellten Ausgestaltung der jeweiligen Seite an der Entscheidung über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten der Nutzer beteiligt. Das Gericht macht dadurch Facebook und den Betreiber gemeinsam für den Fehler verantwortlich.

Gemeinsame Verantwortung heißt nicht gleichwertige Verantwortung

Der EuGH weist in seiner Entscheidung aber auch darauf hin, dass die gemeinsame Verantwortung nicht automatisch eine gleichwertige Verantwortlichkeit zur Folge hat. Letztlich komme es insoweit auf eine Einzelfallbetrachtung an. Es sei zu prüfen, wann genau die unterschiedlichen Handelnden tätig geworden seien und in welchem Ausmaß sie jeweils agiert hätten.

Das BVerwG hat nun unter Einbeziehung der Aussagen des EuGH eine Entscheidung zu treffen. Ich werde die Entwicklung selbstverständlich für Sie beobachten und Sie zum gegebenen Zeitpunkt unterrichten.

Welche Folgen die Entscheidung haben könnte

Die Entscheidung könnte nicht unerhebliche Folgen für Ihren Arbeitgeber und Sie haben, wenn er soziale Netzwerke betrieblich nutzt. Denn logische Konsequenz kann meines Erachtens nur sein, dass die entsprechenden Grundsätze auch für andere soziale Netzwerke und Messenger-Dienste gelten. Das könnte aber bedeuten, dass Ihr Arbeitgeber plötzlich für die Datenverarbeitung einer Vielzahl von Anbietern mithaftet.

Zunächst bleibt abzuwarten, wie das BVerfG die Situation aufgrund der aktuellen Entwicklung des Datenschutzes beurteilt. Bis dahin sollten Sie dafür sorgen, dass Sie Besucher und Nutzer Ihrer Seiten in den sozialen Netzwerken auf die mögliche Erhebung und Verarbeitung anonymisierter statistischer Daten hinweisen.

Fazit: Datenschutz grundsätzlich genau nehmen

Ihr Arbeitgeber muss den Datenschutz penibel einhalten. Denn die Sanktionen bei Verstößen gegen die DSGVO sind drastisch. Sie als Betriebsrat sollten sich jetzt darum bemühen, den Istzustand zum Datenschutz zu erfassen, und sich dafür einsetzen, dass die notwendigen Anpassungen vorgenommen werden.

Überzeugen Sie Ihren Arbeitgeber bzw. den Datenschutzbeauftragten, eine Dokumentation über die Einhaltung der DSGVO zu führen. Empfehlen Sie Ihrem Arbeitgeber zudem, sämtliche Verträge mit Dienstleistern auf die Anforderungen nach Art. 28, 29 DSGVO zu prüfen und ggf. einen Auftragsdatenverarbeitungsvertrag abzuschließen oder anzupassen.

Weitere Beiträge zu diesem Thema

 

23.10.2017
Rückwirkende Kündigung

Frage: „Ich habe eine rückwirkende Kündigung erhalten. Geht das überhaupt? Nachdem ich in diesem Jahr bereits letzte Woche gearbeitet habe, hat mir mein Chef eine Kündigung zum 31.12.2009 in die Hand gedrückt. Ich bin zwar... Mehr lesen

23.10.2017
Ausgleichsquittung

Bei der Beendigung eines Arbeitsverhältnisses verlangen Arbeitgeber häufig, dass eine so genannte Ausgleichsquittung unterschrieben wird. Mit der Unterschrift erklärt der/die ausscheidende Beschäftigte, gegenüber dem... Mehr lesen

23.10.2017
Kündigung eines Personalratsmitglieds nicht ohne wichtigen Grund

Nach § 15 Kündigungsschutzgesetz genießen Mitglieder des Personalrats besonderen Kündigungsschutz. Eine ordentliche Kündigung ist hier ausgeschlossen. Das heißt, dass Ihr Dienstherr ein Mitglied des Personalrats nur... Mehr lesen