Neues von der facebook-Fanpage

Erinnern Sie sich noch an die EuGH-Entscheidung zu facebook-Fanpages und an den Ärger, den Herr Valk von den Stadtwerken Oberaltheim damit hatte?

Um es kurz zu rekapitulieren: Am 5. Juni 2018 hatte der Europäische Gerichtshof (EuGH) in einer viel beachteten Entscheidung sich mit sogenannten facebook-Fanpages befasst. Es geht also um diese Seiten bei facebook, mit denen sich Unternehmen oder öffentliche Organisationen kostenlos präsentieren und in Kontakt mit ihren Kunden treten können. Eine schöne Sache eigentlich, wenn nur nicht das Geschäftsmodell von facebook darin bestehen würde, möglichst viele Daten zu sammeln – und das mit Hilfe von Cookies nicht nur von facebook-Nutzern, sondern auch von Kunden, die mit facebook ansonsten gar nichts am Hut haben. In seinem Urteil hat der EuGH festgestellt, dass nicht nur facebook für das Sammeln und Verarbeiten der Daten verantwortlich ist, sondern auch die Betreiber der Fanpage eine Mitverantwortung haben. Das hat die deutschen Datenschützer natürlich gefreut, denn an facebook, dessen europäischer Sitz in Irland ist, kommen sie schlicht nicht ran.

Herr Valk war dagegen weniger begeistert. Schließlich war es ihm ein Anliegen, dass die Stadtwerke Oberaltheim mithalten können und bei einem jungen Kundenstamm wahrgenommen werden, der sich auf den sozialen Netzwerken bewegt. Facebook zu verlassen kam daher nicht in Frage. Andererseits profitierte er zwar von der statistischen Auswertung seiner Kundendaten durch facebook, den sogenannten insights, hatte ansonsten nichts mit der Datenverarbeitung durch facebook zu tun. Er konnte insofern auch keinerlei Einfluss darauf nehmen, dass dabei alles mit rechten Dingen zugeht. Herrn Valk blieb insofern nichts übrig, als auf eine weitere Klärung der Rechtslage zu warten; ein unbefriedigender Zustand für einen Vertriebsleiter, der die Dinge ansonsten gern etwas offensiver angeht. Inzwischen hat sich zwar einiges getan, ob es aber reicht, um den Stadtwerken Oberaltheim und anderen Unternehmen Sicherheit zu bieten?

Zunächst hatte die Datenschutzkonferenz, in der sich die Datenschutzbehörden des Bundes und der Ländern abstimmen, unmittelbar nach seinem Erscheinen auf die Konsequenzen des Urteils aufmerksam gemacht: Die Datenschutzgrundverordnung (DSGVO) fordert bei gemeinsamer Verantwortlichkeit eine Vereinbarung nach Artikel 26 DSGVO zwischen den Beteiligten über die Verteilung der Pflichten. Als die Datenschutzkonferenz drei Monate später erneut zusammentrat, war facebook, von kosmetischen Details abgesehen, allerdings noch untätig geblieben. Daher wurden die Fanpages für illegal erklärt und die Vereinbarung erneut angemahnt.

Auf die Mahnung hin legte Facebook ein paar Tage später eine Vereinbarung vor, das sogenannte “Page Controller Addendum”. Mit dieser Zusatzvereinbarung erkennt facebook zum einen die geltende Rechtslage an und übernimmt die Hauptverantwortung für den Datenschutz, dazu zählt insbesondere die Erfüllung von Informationspflichten, Betroffenenrechten, Meldepflichten und Datensicherheit. Die Fanpage-Betreiber müssen klären, dass eine Rechtsgrundlage für die Verarbeitung der Insights-Daten besteht. In dem Zusammenhang stellt sich die Frage, ob und auf welche Weise Kunden oder Besucher der Fanpage über die Datenverarbeitung im Zusammenhang mit ihrem Besuch informiert werden müssen. Weiterhin müssen die Betreiber den Verantwortlichen für die Datenverarbeitung der Seite benennen und sonstige geltende rechtliche Pflichten erfüllen. Schließlich müssen die Betreiber alle Nutzeranfragen oder Anfragen der Aufsichtsbehörden per Formular an Facebook weiterleiten und bei der Klärung der Anfragen kooperieren.

Herrn Valk hat die insights-Vereinbarung mit Facebook zwar schon mal abgeschlossen, richtig befriedigt hat ihn die Lösung jedoch noch nicht. Sorge bereitet ihm unter anderem die Ankündigung seiner zuständigen Datenschutzbehörde, die Datenschutzkonformität von Fanpages in der Verwaltung und bei ausgewählten Unternehmen zu prüfen. Erste Städte sollen die Konsequenz gezogen und sich aus Facebook verabschiedet haben. Soweit will Herr Valk nicht gehen. Er wartet lieber noch auf die Entscheidung des Bundesverwaltungsgerichts (BVerwG). Der EuGH hatte nämlich noch nicht das letzte Wort gesprochen, sondern nur im Vorlageverfahren Fragen beantwortet, die für ein Urteil des BVerwG streitentscheidend sind.

2019-01-21T15:27:02+01:0021. Januar 2019|Datenschutz, Digitales|

Hier twittert der Betriebsrat… Arbeitnehmermitbestimmung und Social Media

Twitter gehört inzwischen zum Standard der Unternehmenskommunikation. Gerade für Dienstleister ergeben sich interessante Werbemöglichkeiten durch einen direkten Draht zur Presse, politischen Akteuren und nicht zuletzt zu den Kundinnen und Kunden. Aber dürfen Sie Twitter als Arbeitgeber überhaupt nutzen – oder müssen Sie vorher Ihren Betriebsrat fragen? Das Landesarbeitsgericht Hamburg hat kürzlich entschieden: Sie müssen. Das ist erstmal erklärungsbedürftig. Denn inwiefern sind die Arbeitnehmer davon betroffen, wenn sie sich für die Werbung und Unternehmenskommunikation neue Wege erschließen?

Tatsächlich geht es in § 87 Betriebsverfassungsgesetz (BetrVG) um technische Einrichtungen, die zum Überwachen des Verhaltens oder der Leistung von Arbeitnehmern bestimmt sind. Da fallen einem Stechuhren oder Videoüberwachung ein. Dass es sich bei Twitter aber ebenfalls um so eine Einrichtung handelt, scheint zunächst eher fern zu liegen. Denn es geht ja offensichtlich bei Twitter nicht primär darum, Arbeitnehmer zu überwachen.

Allerdings hatte das Bundesarbeitsgericht schon 2016 entschieden, dass ein Account im sozialen Netzwerk Facebook dem Arbeitgeber zur Überwachung seiner Arbeitnehmer dienen kann. Kunden könnten nämlich die interaktiven Möglichkeiten für Rückmeldungen auf dem Account des Unternehmens für Kritik an seinen Arbeitnehmern nutzen. Diese wiederum könne der Arbeitgeber einsehen. Deshalb sei die Mitbestimmung des Betriebsrates geboten.

Solche interaktiven Möglichkeiten, die sich nicht abstellen lassen, bietet nicht nur Facebook mit der Kommentarfunktion, sondern auch Twitter mit dem Antworten. Insofern ist es nach der Rechtsprechung des BAG in gewisser Weise konsequent, auch bezüglich Twitter ein Mitbestimmungsrecht anzunehmen. Vollkommen zwingend ist es aus unserer Sicht jedoch nicht: Schließlich haben Facebook und Twitter andere Funktionen. Während Facebook sich tatsächlich oft an einzelne Kunden richtet und zur direkten Kommunikation führt, ist der Benutzerkreis von Twitter viel kleiner und richtet sich eher an institutionelle Akteure und Multiplikatoren. Insofern ist es auch weniger wahrscheinlich, dass einzelne Kunden bei Twitter einzelne Arbeitnehmer anschwärzen. Der Arbeitgeber, im konkreten Fall handelt es sich um ein Multiplex-Kino, hat insofern auch Revision eingelegt und das Verfahren zu Twitter ist zur Zeit beim BAG anhängig (Aktenzeichen 1 ABR 40/18).

Wie dem auch sei: Was passiert, wenn der laut Rechtsprechung der Arbeitsgerichte nun mitbestimmungsberechtigte Betriebsrat der Nutzung von Twitter widerspricht und keine Einigung möglich ist? Dann entscheidet nach § 87 Abs. 2 BetrVG die Einigungsstelle. Es ist zu hoffen, dass sie eine Lösung findet, die dem Unternehmen dient und zugleich den Belangen der Arbeitnehmer Rechnung trägt.

2018-12-04T12:15:37+01:004. Dezember 2018|Allgemein, Datenschutz, Digitales, Vertrieb|

Der erste DSGVO-Bußgeldbescheid

Wir wetten, die deutschen Unternehmen fürchten sich vor der Datenschutzgrundverordnung (DSGVO) mehr als der Prophet Mohammed persönlich vor einem Prager Schinken. Hakt man nach, hört man die unglaublichsten Anekdoten, was nun alles nicht mehr gehen soll, denn – so sagt der kaufmännische Volksmund – es drohen die unglaublichsten Strafen in Millionenhöhe, wenn nicht gar der sofortige Ruin.

Diesem Schreckensszenario wird das erste auf Grundlage der DSGVO nun verhängte Bußgeld nicht gerecht. 20.000 EUR muss das Netzwerk “Knuddels” zahlen, das besonders von Kindern und Jugendlichen genutzt wird. Diesem Netzwerk waren durch einen Hackerangriff Daten von 330.000 Nutzern, u. a. E-Mailadressen und Passwörter, abhanden gekommen. Das Unternehmen meldete das, der Landesbeauftragte für Datenschutz und Informationsfreiheit (LfDI) Baden-Württemberg wurde aktiv, und dann stellte sich heraus, dass es zu dem Leck wohl gekommen war, weil das Netzwerk auf die Passwörter nicht richtig aufgepasst hatte, es hatte sie entgegen Art. 32 Abs. 1 lit a DS-GVO unverschlüsselt gespeichert.

Das Unternehmen warf sich vor dem LfDI quasi in den Staub. Innerhalb weniger Wochen brachte es seine Datenverarbeitung auf neuesten Stand, es kooperierte so vorbildlich, dass das sogar in der Pressemitteilung des LfDI lobend erwähnt wird, und es gab für die Aufarbeitung und die Erneuerung der Datenverarbeitungsstruktur einen sechsstelligen Betrag aus. All das fiel bei der Bemessung des Bußgeldes ins Gewicht. Zudem handelt es sich um ein kleineres, deutsches Netzwerk, dessen Jahresumsätze weit, weit entfernt sind von denen der kalifornischen Giganten.

Es geht aus Art. 83 Abs. 2 DSGVO hervor, dass alle diese Punkte sich auf die Höhe des Bußgeldes auswirken sollen. Im Übrigen muss ein Bußgeld stets wirksam, verhältnismäßig und abschreckend sein, so steht es in Art. 83 Abs. 1 DSGVO. Gerade die Verhältnismäßigkeit, also die Angemessenheit von Zweck und Mittel, begrenzt die Höhe der Bußgelder. Mit anderen Worten: Auch eine Datenschutzbehörde darf niemanden köpfen, nur weil er sich eine leichte Schusseligkeit zuschulden hat kommen lassen. Das bedeutet: Die in Art. 83 Abs. 4 DSGVO genannten Obergrenzen für Bußgelder von 10 Mio. EUR bzw. 2% der weltweiten Umsätze im vorangegangenen Geschäftsjahr sind für schwere Fehler und maximal unkooperative Verantwortliche gedacht.

All das ist in die Bemessung der 20.000 EUR Bußgeld eingeflossen. Zusammen mit den von der Behörde erwähnten sechsstelligen Kosten dürfte der Schaden für das Unternehmen zuzüglich des Rufschadens trotzdem erheblich sein, auch wenn zumindest ein Teil des Geldes schon vor dem 25.05.2018 für mehr Datenschutz hätte ausgegeben werden müssen. Es gibt also keinen Grund, sich beruhigt wieder hinzulegen und den Datenschutz gedanklich in den Keller zu schicken. Die verbreitete Panik, man dürfe jetzt gar nichts mehr tun, weil ansonsten der Ruin droht, wird aber, wie dieser Bußgeldbescheid zeigt, ebenfalls der Sache nicht gerecht.

2018-11-23T00:23:44+01:0023. November 2018|Datenschutz, Wettbewerbsrecht|