Folge 24: Facebook-Seiten, gemeinsame Verantwortlichkeit, DSGVO-Bußgelder
Geschrieben von Frank Stiegler am .
.
Pünktlich zu Weihnachten spricht das Studio Legal-Duo über das seit Juni 2018 vermehrt diskutierte Thema "gemeinsame Verantwortlichkeit" nach Art. 26 DSGVO, das wegen des EuGH-Urteils vom 05.06.2018 (Az. C-210/06) zum Thema Facebook-Seiten von den Aufsichtsbehörden vermehrt aufgegriffen worden ist. Abgerundet wird diese Folge von Informationen zu bisher unter der DSGVO von Aufsichtsbehörden verhängten Bußgeldern und dazu, warum/wann Unternehmen von Aufsichtsbehörden geprüft werden und wie man mit solchen Prüfungen umgehen kann.
01:45: Was sind Facebook-Fanpages, und wo ist das Problem?
Wir erläutern hier die (datenschutzrechtlich) Beteiligten, wie sie sich unterscheiden und welche Konsequenzen das aus DSGVO-Sicht hat.
Wie es zu dem Rechtsstreit gekommen ist, der diesem Urteil zu Grunde lag, besprechen wir übrigens ab 26:06 min.
Das besagte EuGH-Urteil hat allerdings bei Weitem nicht nur Auswirkungen auf den Betrieb von Facebook-Seiten, sondern auch auf viele weitere Szenarien, in denen Unternehmen sich der Dienste anderer Anbieter bedienen, z. B. YouTube und Google wie etwa bei der Einbettung von YouTube-Videos in eigene Websites.
20:55: Was müssen Unternehmen mit Facebook-Seiten tun?
Was zu tun ist, legt Art. 26 DSGVO in Abs. 1 S. 2 fest:
"Sie [Anm.: gemeint sind die gemeinsam Verantwortlichen.] legen in einer Vereinbarung in transparenter Form fest, wer von ihnen welche Verpflichtung gemäß dieser Verordnung erfüllt, insbesondere was die Wahrnehmung der Rechte der betroffenen Person angeht, und wer welchen Informationspflichten gemäß den Artikeln 13 und 14 nachkommt, sofern und soweit die jeweiligen Aufgaben der Verantwortlichen nicht durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen die Verantwortlichen unterliegen, festgelegt sind. In der Vereinbarung kann eine Anlaufstelle für die betroffenen Personen angegeben werden."
Facebook hat hierzu im September 2018 eine Seiten-Insights-Ergänzung veröffentlicht, um die Verantwortlichkeiten transparenter zu gestalten.
Nachdem wir besprochen haben, wie es zu dem besagten EuGH-Urteil gekommen ist, thematisieren wir, dass der Berliner Beauftragter für Datenschutz und Informationsfreiheit im Oktober 2018 eine Serie von Briefen an Unternehmen in seinem Zuständigkeitsbereich (also Berlin) geschickt hat, in dem er den angeschriebenen Unternehmen einen Katalog von fünfzehn Fragen zu deren Betrieb der Facebook-Seiten (im November 2018 überarbeitet) gestellt hat.
37:50: Bußgelder unter der DSGVO
Die folgenden Bußgelder sind seit Anwendung der DSGVO verhängt worden
- (ab 40:05 min) 07.06.2018: CNIL verhängt ein Bußgeld in Höhe von 250.000 € gegen Optical Center auf eine Beschwerde hin wegen eines "significant data leak".
- (ab 43:19 min) September 2018: Die österreichische Aufsichtsbehörde verhängt ein Bußgeld gegen ein steirisches Wettlokal in Höhe von 4.800 € wegen unzureichender Kennzeichnung der Videoüberwachung eines "Großteils des Gehsteiges".
- (ab 44:32 min) 21.11.2018: LfDI von Baden-Württemberg verhängt ein Bußgeld gegen das soziale Netzwerk knuddels.de in Höhe von 20.000 €, nachdem der Netzwerkbetreiber einen Hack und ein Datenleck von 330.000 Datensätzen zugeben musste, die danach außerdem noch veröffentlicht wurden.
- (ab 47:45 min): Die niederländische Aufsichtsbehörde verhängt ein Bußgeld gegenüber Uber in Höhe von 600.000 € wegen eines Verstoßes gegen das niederländische Datenschutzgesetz. Wir sprechen hier darüber, warum man dieses Bußgeld als "nicht so richtig"-DSGVO behandeln könnte und warum es merkwürdig wirken könnte, dass Länder noch (bzw. wieder) ein nationales Datenschutzgesetz haben. Das geht wegen oft so genannten "Öffnungsklauseln" in der DSGVO, die nationale Ausgestaltungen bestimmter Materien zulassen, die nicht EU-weit einheitlich sein müssen/können/sollen.
53:05: Wie vermeidet man Bußgelder vernünftigerweise?
Wir besprechen vier Oberpunkte zur Vermeidung von Bußgeldern:
- Kooperation mit der Aufsichtsbehörde
- Prozessorientierte Dokumentation
- Akteneinsicht
- Einhaltung der DSGVO (logisch, aber sehr effektiv)
Der LfDI Baden-Württemberg hat in seiner Pressemeldung vom 22.11.2018 zu knuddels.de zum Thema Kooperation übrigens ausdrücklich geschrieben:
“Als Bußgeldbehörde kommt es dem LfDI nicht darauf an, in einen Wettbewerb um möglichst hohe Bußgelder einzutreten. Am Ende zählt die Verbesserung von Datenschutz und Datensicherheit für die betroffenen Nutzer.”
62:00 Welche Unternehmen werden "DSGVO-geprüft"?
Da Prüfungen nach Behördenermessen ausgesucht werden, weiß niemand im Einzelfall, welche Prüfungen anstehen, aber es gibt ein paar Faktoren, die hier vermutlich eine Rolle spielen
- (insbesondere bei mehreren) Beschwerden von Betroffenen
- Öffentlichkeitswirksamkeit: Lohnt sich eine Prüfung bzw. ein Bußgeld für die zuständige Aufsichtsbehörde, um z. B. mehr Stellen von der Landesregierung bewilligt zu bekommen?
- Aktuelle Vorkommnisse legen "wellenartige" Aktionen nahe, wie in unserem Beispiel das besprochene Urteil des EuGH zum Facebook-Seitenbetrieb.
- "Zufallsgenerator"
Fallen euch weitere Faktoren ein? Her damit!
69:30: Tschüß
Ihr seid die Besten!
Für Feedback twittert bitte an @legal_bits, @neuernick oder @ra_stiegler oder schickt eine E-Mail! Die Kommentare sind wegen harter Spam-Gewalt aus Russland & Co. jetzt moderiert, aber wir freuen uns sehr darüber!
Frohe Weihnachten!