Schreckgespenst Datenschutz: Bußgeldbescheid nach Behördenanfrage

Eine auf den ersten Blick etwas erschreckende Nachricht wabert durch das Internet: Ein kleiner Online-Versandhandel soll sich im Mai 2018 an den hessischen Beauftragten für Datenschutz gewandt haben und um Rat hinsichtlich eines Dienstleisters gebeten haben, der im Auftrag des Unternehmens Kundendaten verarbeitet, aber trotz Nachfragen keinen Vertrag zur Auftragsdatenverarbeitung geschickt hatte. Offenbar hoffte man auf ein klärendes Wort der Behörde. Diese enttäuschte diese Hoffnung jedoch. Nach Ansicht der Datenschutzbehörde musste sich nämlich das anfragende Unternehmen selbst um eine solche Vereinbarung kümmern und einen Entwurf dem Auftragsverarbeiter vorlegen.

Das Unternehmen sah das anders und verlieh dieser Ansicht auch Ausdruck. Ein Anwalt trat auf den Plan und unterstrich im Auftrag des Unternehmens gegenüber der Behörde noch einmal, dass man den Dienstleister in der Pflicht sah. Die Datenschutzbehörde sah das aber immer noch anders und gab die Angelegenheit nach Hamburg ab. Die Datenschutzbehörde in Hamburg erließ daraufhin gegen das Unternehmen, das nachgefragt hatte, einen Bußgeldbescheid über 5000 €.

Was lernen wir nun aus diesem Verfahren? Besser Abstand halten zu den Datenschutzbehörden? Vielleicht hilft eher ein Blick auf die rechtlichen Grundlagen. Die Auftragsverarbeitung ist in Art. 28 DSGVO geregelt. Hiernach muss – die Verordnung beschreibt das recht detailliert – derjenige, der sich als Verantwortlicher eines Dienstleisters bedient, dafür Sorge tragen, dass der einen ordentlichen Datenschutz einhält. Nach Art. 28 Abs. 3 DSGVO ist Grundlage ein zusätzlicher Vertrag, in dem ein recht engmaschig umschriebener Standard verpflichtend vereinbart wird. In Dienstleistungsketten muss eine lückenlose Verpflichtungskette diesen Standard sichern, Art. 28 Abs. 4 DSGVO.

In der Regelung steht nicht, wer den Entwurf dieser Vereinbarung vorzulegen hat. Es entspricht der gängigen Praxis, dass der Auftragsverarbeiter einen Vertrag vorliegt, denn schließlich weiß er am besten, durch welche konkreten Maßnahmen er den rechtskonformen Umgang mit den zu verarbeitenden Daten gewährleisten will. Und was er überhaupt ganz genau mit Daten macht. Juristisch zwingend ist das aber nicht. Entsprechend hat die Behörde nicht ganz unrecht, wenn sie sich darauf beruft, dass dann, wenn dem Auftraggeber schlicht nicht bekannt ist, was der Auftragsverarbeiter mit den Daten macht, und auch keine Vereinbarung vom Verarbeiter vorgelegt wird, auf die Zusammenarbeit verzichtet werden sollte. Denn in einer solchen Lage ist ja kaum vorstellbar, wie die dargestellte Pflicht zum Abschluss des Vertrages überhaupt sachgemäß eingehalten werden soll.

Allerdings: Dies bedeutet nicht, dass nun panisch jedem Dienstleister, der keinen Auftragsverarbeitungsvertrag vorgelegt hat, die Zusammenarbeit aufzukündigen wäre. Nicht alles, was auf den ersten Blick nach Auftragsverarbeitung aussieht, ist auch eine solche. Dies ist im ersten Schritt sorgfältig zu prüfen. Möglicherweise braucht man ja gar keine solche Vereinbarung. Und dies immerhin lehrt dieser Fall: Bevor sich ein Unternehmen aus einer ungeklärten Situation heraus an eine Behörde wendet, sollte sie für sich Klarheit gewonnen haben, ansonsten besteht stets die Gefahr, einen Sachverhalt lückenhaft, ungenau oder gar unrichtig zu kommunizieren, so dass die Behörde sich genötigt sieht, aktiv zu werden. Denn wenn erst einmal Bescheide in der Welt sind, ist es deutlich aufwendiger, gegen diese anzugehen, als von vornherein abgesichert und klar zu kommunizieren.

2019-01-21T23:37:05+01:0021. Januar 2019|Datenschutz|

Neues von der facebook-Fanpage

Erinnern Sie sich noch an die EuGH-Entscheidung zu facebook-Fanpages und an den Ärger, den Herr Valk von den Stadtwerken Oberaltheim damit hatte?

Um es kurz zu rekapitulieren: Am 5. Juni 2018 hatte der Europäische Gerichtshof (EuGH) in einer viel beachteten Entscheidung sich mit sogenannten facebook-Fanpages befasst. Es geht also um diese Seiten bei facebook, mit denen sich Unternehmen oder öffentliche Organisationen kostenlos präsentieren und in Kontakt mit ihren Kunden treten können. Eine schöne Sache eigentlich, wenn nur nicht das Geschäftsmodell von facebook darin bestehen würde, möglichst viele Daten zu sammeln – und das mit Hilfe von Cookies nicht nur von facebook-Nutzern, sondern auch von Kunden, die mit facebook ansonsten gar nichts am Hut haben. In seinem Urteil hat der EuGH festgestellt, dass nicht nur facebook für das Sammeln und Verarbeiten der Daten verantwortlich ist, sondern auch die Betreiber der Fanpage eine Mitverantwortung haben. Das hat die deutschen Datenschützer natürlich gefreut, denn an facebook, dessen europäischer Sitz in Irland ist, kommen sie schlicht nicht ran.

Herr Valk war dagegen weniger begeistert. Schließlich war es ihm ein Anliegen, dass die Stadtwerke Oberaltheim mithalten können und bei einem jungen Kundenstamm wahrgenommen werden, der sich auf den sozialen Netzwerken bewegt. Facebook zu verlassen kam daher nicht in Frage. Andererseits profitierte er zwar von der statistischen Auswertung seiner Kundendaten durch facebook, den sogenannten insights, hatte ansonsten nichts mit der Datenverarbeitung durch facebook zu tun. Er konnte insofern auch keinerlei Einfluss darauf nehmen, dass dabei alles mit rechten Dingen zugeht. Herrn Valk blieb insofern nichts übrig, als auf eine weitere Klärung der Rechtslage zu warten; ein unbefriedigender Zustand für einen Vertriebsleiter, der die Dinge ansonsten gern etwas offensiver angeht. Inzwischen hat sich zwar einiges getan, ob es aber reicht, um den Stadtwerken Oberaltheim und anderen Unternehmen Sicherheit zu bieten?

Zunächst hatte die Datenschutzkonferenz, in der sich die Datenschutzbehörden des Bundes und der Ländern abstimmen, unmittelbar nach seinem Erscheinen auf die Konsequenzen des Urteils aufmerksam gemacht: Die Datenschutzgrundverordnung (DSGVO) fordert bei gemeinsamer Verantwortlichkeit eine Vereinbarung nach Artikel 26 DSGVO zwischen den Beteiligten über die Verteilung der Pflichten. Als die Datenschutzkonferenz drei Monate später erneut zusammentrat, war facebook, von kosmetischen Details abgesehen, allerdings noch untätig geblieben. Daher wurden die Fanpages für illegal erklärt und die Vereinbarung erneut angemahnt.

Auf die Mahnung hin legte Facebook ein paar Tage später eine Vereinbarung vor, das sogenannte “Page Controller Addendum”. Mit dieser Zusatzvereinbarung erkennt facebook zum einen die geltende Rechtslage an und übernimmt die Hauptverantwortung für den Datenschutz, dazu zählt insbesondere die Erfüllung von Informationspflichten, Betroffenenrechten, Meldepflichten und Datensicherheit. Die Fanpage-Betreiber müssen klären, dass eine Rechtsgrundlage für die Verarbeitung der Insights-Daten besteht. In dem Zusammenhang stellt sich die Frage, ob und auf welche Weise Kunden oder Besucher der Fanpage über die Datenverarbeitung im Zusammenhang mit ihrem Besuch informiert werden müssen. Weiterhin müssen die Betreiber den Verantwortlichen für die Datenverarbeitung der Seite benennen und sonstige geltende rechtliche Pflichten erfüllen. Schließlich müssen die Betreiber alle Nutzeranfragen oder Anfragen der Aufsichtsbehörden per Formular an Facebook weiterleiten und bei der Klärung der Anfragen kooperieren.

Herrn Valk hat die insights-Vereinbarung mit Facebook zwar schon mal abgeschlossen, richtig befriedigt hat ihn die Lösung jedoch noch nicht. Sorge bereitet ihm unter anderem die Ankündigung seiner zuständigen Datenschutzbehörde, die Datenschutzkonformität von Fanpages in der Verwaltung und bei ausgewählten Unternehmen zu prüfen. Erste Städte sollen die Konsequenz gezogen und sich aus Facebook verabschiedet haben. Soweit will Herr Valk nicht gehen. Er wartet lieber noch auf die Entscheidung des Bundesverwaltungsgerichts (BVerwG). Der EuGH hatte nämlich noch nicht das letzte Wort gesprochen, sondern nur im Vorlageverfahren Fragen beantwortet, die für ein Urteil des BVerwG streitentscheidend sind.

2019-01-21T15:27:02+01:0021. Januar 2019|Datenschutz, Digitales|