GfI-Datenschutz Information 06/2018
Die DS-GVO ist noch keine zwei Wochen, um genau zu sein erst 12 Tage, rechtsverbindlich und schon wird über erste Abmahnungen berichtet. Heute hat der Europäische Gerichtshof (EUGH) außerdem über die Frage entschieden, ob Facebook Fanpages aus datenschutzrechtlichen Gründen geschlossen werden müssen.
Über diese Punkte berichten wir in unserer aktuellen Datenschutz Information.
Abmahnungen
Die bisher vorliegenden Abmahnungen treffen vor allem Website-Betreiber. Aktuell werden abgemahnt:
- fehlende Datenschutz-Erklärungen auf der Website
- Verwendung von Cookies ohne Einwilligung
- Verwendung/Einbindung von Google Webfonts ohne Einwilligung
In diesem Zusammenhang empfehlen wir die Überprüfung Ihrer Websites hinsichtlich dieser Kriterien.
Umsetzungsvorschläge
Weisen Sie mittels „Cookie Hinweis“ auf die Verwendung von Cookies auf Ihrer Website hin. Informieren Sie außerdem aktiv ihren Website-Besucher, dass sie Webfonts von Google einbinden, Sie können Ihren Cookie-Hinweis entsprechend erweitern.
Falls Sie Tracking-Scripte wie Google Analytics o. ä. verwenden, werden sie die Datenschutz-Einstellung zur Anonymisierung der IP-Adresse.
Facebook Fanpages / Social-Media-Accounts
Der EUGH hat heute über die Frage entschieden, ob Facebook Fanpages unter datenschutzrechtlichen Bedingungen überhaupt angeboten werden können.
Im Ergebnis stellt der EUGH fest, dass für den Betrieb einer Facebook Fanpage Betreiber der Fanpage und Facebook gemeinsam haften. Dies deckt sich mit Artikel 82 DS-GVO bei der Verantwortlicher und Auftragsverarbeiter gemeinsam haften.
Bisher hatte deutsche Gerichte Facebook als Anbieter der Plattform in der Alleinverantwortung gesehen, diese Auffassung teilt der EUGH nicht. Die Datenerfassung sei zwar ein nicht deaktivierbarer Service von Facebook, allerdings entscheidet der Betreiber aus eigenen Stücken und freiwillig über deren Einrichtung und den Betrieb der Fanpage.
Was bedeutet das im Ergebnis?
Facebook ist für den Betreiber der Fanpage ein Auftragsverarbeiter. Für die Verarbeitung muss daher ein Auftragsverarbeitungsvertrag (ADV) geschlossen werden.
Nationale Datenschutzbehörden können nun also nicht nur gegen Facebook sondern auch gegen den Betreiber der Fanpage vorgehen.
In der Konsequenz müssen Fanpage-Betreiber Besucher darüber informieren, welche Daten Facebook erfasst und wie diese verarbeitet werden. In der Praxis dürfte dieses Anliegen, derzeit nicht umsetzbar sein. Besucher können datenschutzrechtliche Ansprüche, die in den Art. 12 -23 DS-GVO geregelt sind, also auch direkt gegenüber dem Fanpage-Betreiber geltend machen.
Dieses Urteil wird mit Sicherheit auch auf andere Social-Media-Account, wie Instagram, YouTube etc. übertragbar sein.
Sie benötigen Unterstützung bei der Umsetzung der DS-GVO?
Sie haben eine Abmahnung erhalten?
Nehmen Sie mit uns Kontakt auf, wir beraten und betreuen Sie gern.