Folge 24: Facebook-Seiten, gemeinsame Verantwortlichkeit, DSGVO-Bußgelder

Geschrieben von Frank Stiegler am .

.

Pünktlich zu Weihnachten spricht das Studio Legal-Duo über das seit Juni 2018 vermehrt diskutierte Thema "gemeinsame Verantwortlichkeit" nach Art. 26 DSGVO, das wegen des EuGH-Urteils vom 05.06.2018 (Az. C-210/06) zum Thema Facebook-Seiten von den Aufsichtsbehörden vermehrt aufgegriffen worden ist. Abgerundet wird diese Folge von Informationen zu bisher unter der DSGVO von Aufsichtsbehörden verhängten Bußgeldern und dazu, warum/wann Unternehmen von Aufsichtsbehörden geprüft werden und wie man mit solchen Prüfungen umgehen kann.

01:45: Was sind Facebook-Fanpages, und wo ist das Problem?

Wir erläutern hier die (datenschutzrechtlich) Beteiligten, wie sie sich unterscheiden und welche Konsequenzen das aus DSGVO-Sicht hat.

EuGH-Urteil vom 05.06.2018 (Az. C-210/06)
Wie es zu dem Rechtsstreit gekommen ist, der diesem Urteil zu Grunde lag, besprechen wir übrigens ab 26:06 min.
Art. 26 DSGVO: Gemeinsam Verantwortliche
Art. 28 DSGVO: Auftragsverarbeiter

Das besagte EuGH-Urteil hat allerdings bei Weitem nicht nur Auswirkungen auf den Betrieb von Facebook-Seiten, sondern auch auf viele weitere Szenarien, in denen Unternehmen sich der Dienste anderer Anbieter bedienen, z. B. YouTube und Google wie etwa bei der Einbettung von YouTube-Videos in eigene Websites.

Shariff der c't des Heise-Verlages: Skript zur datenschutzgerechte(re)n Einbettung von social media-Content in selbst betriebene Webseiten

20:55: Was müssen Unternehmen mit Facebook-Seiten tun?

Was zu tun ist, legt Art. 26 DSGVO in Abs. 1 S. 2 fest:

"Sie [Anm.: gemeint sind die gemeinsam Verantwortlichen.] legen in einer Vereinbarung in transparenter Form fest, wer von ihnen welche Verpflichtung gemäß dieser Verordnung erfüllt, insbesondere was die Wahrnehmung der Rechte der betroffenen Person angeht, und wer welchen Informationspflichten gemäß den Artikeln 13 und 14 nachkommt, sofern und soweit die jeweiligen Aufgaben der Verantwortlichen nicht durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen die Verantwortlichen unterliegen, festgelegt sind. In der Vereinbarung kann eine Anlaufstelle für die betroffenen Personen angegeben werden."

Facebook hat hierzu im September 2018 eine Seiten-Insights-Ergänzung veröffentlicht, um die Verantwortlichkeiten transparenter zu gestalten.

Nachdem wir besprochen haben, wie es zu dem besagten EuGH-Urteil gekommen ist, thematisieren wir, dass der Berliner Beauftragter für Datenschutz und Informationsfreiheit im Oktober 2018 eine Serie von Briefen an Unternehmen in seinem Zuständigkeitsbereich (also Berlin) geschickt hat, in dem er den angeschriebenen Unternehmen einen Katalog von fünfzehn Fragen zu deren Betrieb der Facebook-Seiten (im November 2018 überarbeitet) gestellt hat.

37:50: Bußgelder unter der DSGVO

Die folgenden Bußgelder sind seit Anwendung der DSGVO verhängt worden

  1. (ab 40:05 min) 07.06.2018: CNIL verhängt ein Bußgeld in Höhe von 250.000 € gegen Optical Center auf eine Beschwerde hin wegen eines "significant data leak".
  2. (ab 43:19 min) September 2018: Die österreichische Aufsichtsbehörde verhängt ein Bußgeld gegen ein steirisches Wettlokal in Höhe von 4.800 € wegen unzureichender Kennzeichnung der Videoüberwachung eines "Großteils des Gehsteiges".
  3. (ab 44:32 min) 21.11.2018: LfDI von Baden-Württemberg verhängt ein Bußgeld gegen das soziale Netzwerk knuddels.de in Höhe von 20.000 €, nachdem der Netzwerkbetreiber einen Hack und ein Datenleck von 330.000 Datensätzen zugeben musste, die danach außerdem noch veröffentlicht wurden.
  4. (ab 47:45 min): Die niederländische Aufsichtsbehörde verhängt ein Bußgeld gegenüber Uber in Höhe von 600.000 € wegen eines Verstoßes gegen das niederländische Datenschutzgesetz. Wir sprechen hier darüber, warum man dieses Bußgeld als "nicht so richtig"-DSGVO behandeln könnte und warum es merkwürdig wirken könnte, dass Länder noch (bzw. wieder) ein nationales Datenschutzgesetz haben. Das geht wegen oft so genannten "Öffnungsklauseln" in der DSGVO, die nationale Ausgestaltungen bestimmter Materien zulassen, die nicht EU-weit einheitlich sein müssen/können/sollen.
Twitter-Account des LfDI Baden-Württemberg

53:05: Wie vermeidet man Bußgelder vernünftigerweise?

Wir besprechen vier Oberpunkte zur Vermeidung von Bußgeldern:

  1. Kooperation mit der Aufsichtsbehörde
  2. Prozessorientierte Dokumentation
  3. Akteneinsicht
  4. Einhaltung der DSGVO (logisch, aber sehr effektiv)
Hierzu empfohlen: Artikel des geschätzten Kollegen Tim Wybitul vom 25.11.2018 auf linkedin.com: "Strategien zur effektiven Verteidigung in DSGVO-Bußgeldverfahren - mit Checkliste"

Der LfDI Baden-Württemberg hat in seiner Pressemeldung vom 22.11.2018 zu knuddels.de zum Thema Kooperation übrigens ausdrücklich geschrieben:

“Als Bußgeldbehörde kommt es dem LfDI nicht darauf an, in einen Wettbewerb um möglichst hohe Bußgelder einzutreten. Am Ende zählt die Verbesserung von Datenschutz und Datensicherheit für die betroffenen Nutzer.”

62:00 Welche Unternehmen werden "DSGVO-geprüft"?

Da Prüfungen nach Behördenermessen ausgesucht werden, weiß niemand im Einzelfall, welche Prüfungen anstehen, aber es gibt ein paar Faktoren, die hier vermutlich eine Rolle spielen

  1. (insbesondere bei mehreren) Beschwerden von Betroffenen
  2. Öffentlichkeitswirksamkeit: Lohnt sich eine Prüfung bzw. ein Bußgeld für die zuständige Aufsichtsbehörde, um z. B. mehr Stellen von der Landesregierung bewilligt zu bekommen?
  3. Aktuelle Vorkommnisse legen "wellenartige" Aktionen nahe, wie in unserem Beispiel das besprochene Urteil des EuGH zum Facebook-Seitenbetrieb.
  4. "Zufallsgenerator"

Fallen euch weitere Faktoren ein? Her damit!

69:30: Tschüß

Ihr seid die Besten!

Für Feedback twittert bitte an @legal_bits@neuernick oder @ra_stiegler oder schickt eine E-Mail! Die Kommentare sind wegen harter Spam-Gewalt aus Russland & Co. jetzt moderiert, aber wir freuen uns sehr darüber!

Frohe Weihnachten!

Die Einsprecher kommen wie immer von Sarah Nakic aus Köln.
© Stiegler Legal