14.09.2018

Datenschutz auf Facebook: Betreiber sind mitverantwortlich

Die deutschen Datenschützer habe vor dem Europäischen Gerichtshof (euGH) gewonnen. Sie hatten sich bereits vor dem Inkarnierten der Datenschutzgrundverordnung (DSGVO) am 25.5.2018 gegen den Umgang von Facebook-Fanseite gewandt. Hier erfahren Sie, was Sie zum Datenschutz auf Facebook beachten müssen.

Der Fall

Geklagt hatte ein Unternehmen, das Bildungsdienstleistungen anbietet. Es betrieb eine Facebook-Fanpage. Mit der Klage wehrte er sich gegen einen Bescheid des „Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein“ ULD).

Auf Fanseite werden Daten erhoben und verarbeitet

Über solche Facebook-Fanseite können sich Unternehmen oder aber auch Privatpersonen den Besuchern der Seite präsentieren. Teilweise werden über solche Seiten auch Dienstleistungen angeboten. Zudem werden bei den virtuellen Besuchen in der Regel anonymisierte Daten der Nutzer erhoben und verarbeitet. Die Möglichkeit besteht über die Funktion „Facebook Insight“. Diese sammelt die Daten mithilfe sogenannter Cookies.

 

ULD fordert zum Abschalten der Seite auf

Das Unternehmen erhob solche anonymisierten statistischen Daten, allerdings ohne darauf hinzuweisen, dass eine Erhebung und Verarbeitung mittels Cookies stattfand. Auch Facebook selbst wies nicht auf das Vorgehen hin. Das missfiel dem ULD. Es erließ deshalb einen Bescheid gegen das Unternehmen. Darin forderte es den Bildungsdienstleister auf, seine Fanseite zu deaktivieren.

Unternehmen wehrt sich gegen den Bescheid

Dem kam das Unternehmen jedoch nicht nach. Es widersprach dem Bescheid zunächst, allerdings ohne Erfolg. Deshalb zog es vor Gericht. Vor dem Verwaltungsgericht und dem Oberverwaltungsgericht hatte es mit seiner Klage Erfolg. Das Bundesverwaltungsgericht (BVerwG) hat noch nicht entschieden. Es legte dem EuGH mehrere Fragen zur Auslegung der Europäischen Datenschutzrichtlinie vor. Diese ist allerdings seit dem Inkrafttreten der neuen DSGVO aufgehoben. Die Entscheidung gibt Aufschluss über die Einstellung des EuGH zu datenschutzrechtlichen Angelegenheiten.

Betreiber von Facebook-Fanseiten sind mitverantwortlich

Die Entscheidung: Der EuGH stellte zunächst klar, dass der Hauptverantwortliche in solchen Angelegenheiten Facebook ist (in diesem Fall die Facebook Inc. und Facebook Irland). Facebook sei verpflichtet, die Nutzer und Besucher der jeweiligen Seiten über die Zwecke und Mittel der Verarbeitung personenbezogener Daten zu unterrichten (EuGH, 5.6.2018, Az. C-210/16).

Allerdings trifft Facebook die Verantwortung nicht allein. Auch die Betreiber von Facebook-Fanseiten fallen unter diese Vorschrift, an der der EuGH seine Entscheidung festmacht (Art. 2 Buchstabe d Europäische Datenschutzrichtlinie). Denn die Betreiber der Fanpages werden aufgrund der von ihnen erstellten Ausgestaltung der jeweiligen Seite an der Entscheidung über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten der Nutzer beteiligt. Das Gericht macht dadurch Facebook und den Betreiber gemeinsam für den Fehler verantwortlich.

Gemeinsame Verantwortung heißt nicht gleichwertige Verantwortung

Der EuGH weist in seiner Entscheidung aber auch darauf hin, dass die gemeinsame Verantwortung nicht automatisch eine gleichwertige Verantwortlichkeit zur Folge hat. Letztlich komme es insoweit auf eine Einzelfallbetrachtung an. Es sei zu prüfen, wann genau die unterschiedlichen Handelnden tätig geworden seien und in welchem Ausmaß sie jeweils agiert hätten.

Das BVerwG hat nun unter Einbeziehung der Aussagen des EuGH eine Entscheidung zu treffen. Ich werde die Entwicklung selbstverständlich für Sie beobachten und Sie zum gegebenen Zeitpunkt unterrichten.

Welche Folgen die Entscheidung haben könnte

Die Entscheidung könnte nicht unerhebliche Folgen für Ihren Arbeitgeber und Sie haben, wenn er soziale Netzwerke betrieblich nutzt. Denn logische Konsequenz kann meines Erachtens nur sein, dass die entsprechenden Grundsätze auch für andere soziale Netzwerke und Messenger-Dienste gelten. Das könnte aber bedeuten, dass Ihr Arbeitgeber plötzlich für die Datenverarbeitung einer Vielzahl von Anbietern mithaftet.

Zunächst bleibt abzuwarten, wie das BVerfG die Situation aufgrund der aktuellen Entwicklung des Datenschutzes beurteilt. Bis dahin sollten Sie dafür sorgen, dass Sie Besucher und Nutzer Ihrer Seiten in den sozialen Netzwerken auf die mögliche Erhebung und Verarbeitung anonymisierter statistischer Daten hinweisen.

Fazit: Datenschutz grundsätzlich genau nehmen

Ihr Arbeitgeber muss den Datenschutz penibel einhalten. Denn die Sanktionen bei Verstößen gegen die DSGVO sind drastisch. Sie als Betriebsrat sollten sich jetzt darum bemühen, den Istzustand zum Datenschutz zu erfassen, und sich dafür einsetzen, dass die notwendigen Anpassungen vorgenommen werden.

Überzeugen Sie Ihren Arbeitgeber bzw. den Datenschutzbeauftragten, eine Dokumentation über die Einhaltung der DSGVO zu führen. Empfehlen Sie Ihrem Arbeitgeber zudem, sämtliche Verträge mit Dienstleistern auf die Anforderungen nach Art. 28, 29 DSGVO zu prüfen und ggf. einen Auftragsdatenverarbeitungsvertrag abzuschließen oder anzupassen.

Weitere Beiträge zu diesem Thema

 

23.10.2017
Provisionen bei Arbeitnehmervermittlung

Sind Sie als Leiharbeiter tätig? Dann ist es sicherlich auch Ihr Ziel, in einem Entleihbetrieb einmal dauerhaft beschäftigt zu werden. Viele solche Beschäftigungen scheitern daran, dass in diesem Fall der Entleihbetrieb an... Mehr lesen

23.10.2017
Benachteiligung von Frauen bei tariflichem Vorruhestand

Wieder einmal ein Fall zur Geschlechterdiskriminierung: Eine 1946 geborene Arbeitnehmerin schied 2005 aus einem Arbeitsverhältnis aus. Nach dem auf das Arbeitsverhältnis anwendbaren Tarifvertrag konnte die Arbeitnehmerin ein... Mehr lesen