Schlagwort: DSGVO-Compliance

LfDI RLP zur Nutzung sozialer Medien durch öffentliche Stellen

10. März 2020

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland Pfalz (LfDI RLP) hat am 06. März 2020 seinen aktualisierten Handlungsrahmen für die Nutzung von „Social Media“ durch öffentliche Stellen veröffentlicht.

Wie bereits berichtet stellte der EuGH im Juni 2018 fest, dass der Betreiber einer Fanseite auf Facebook gemeinsam mit Facebook für die Verarbeitung der personenbezogenen Daten verantwortlich ist. Daraufhin stellte das BVerwG im September 2019 klar, dass die Datenschutzaufsichtsbehörden bei Verstößen gegen die Betreiber von Facebook-Fanpages vorgehen können.

Der LfDI RLP beschäftigt sich zunächst mit der Zulässigkeit der Datenverarbeitung durch öffentliche Stellen. Diese könnten zwar Öffentlichkeitsarbeit als Annexkompetenz zu ihren Aufgaben betreiben. Die Stellen könnten sich dabei aber nicht auf Art. 6 Abs. 1 lit. e DSGVO i.V.m. § 3 LDSG RLP berufen. Danach ist eine Verarbeitung rechtmäßig, wenn sie zur Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde. Nach Ansicht des LfDI RLP ist die Weitergabe an Social Media-Dienste für die Öffentlichkeitsarbeit aber nicht erforderlich. Es bedürfe daher einer Einwilligung oder anderen Rechtsgrundlage.

Ob angemeldete Nutzer eine wirksame Einwilligung abgegeben haben lässt der Handlungsrahmen offen. Der LfDI RLP sieht es unter Vorbehalt als akzeptabel an, in einer Einwilligung an den Dienst auch eine solche für die Verarbeitung im Zusammenhang mit bestimmten Angeboten der Plattform zu sehen. Eine Einwilligung fehle aber jedenfalls regelmäßig bei Nutzerinnen und Nutzern, die nicht Mitglied der jeweiligen Social Media-Plattform sind. Jedenfalls sehe Facebook dafür keine technische Lösung vor.

Der Handlungsrahmen führt weiter aus, dass öffentliche Stellen für einen datenschutzkonformen Betrieb von Social Media-Plattformen eine Vereinbarung zur gemeinsamen Verantwortlichkeit schließen müssen. Solche Vereinbarungen müssten Antworten auf die im Fragenkatalog des Beschlusses der Datenschutzkonferenz zu Facebook Fanpages vom 5. September 2018 gestellten Fragen enthalten. Facebook beantworte in seiner Seiten-Insights-Ergänzung aktuell nicht alle diese Fragen. Zudem müssen der Verantwortliche auch weiteren Pflichten nachkommen, wie den Informationspflichten oder der Bereitstellung alternativer Informations- und Kommunikationsmöglichkeiten.

Der LfDI RLP weist darauf hin, dass er bei Verstößen die Außerbetriebnahme des Angebots anordnen könnte und eine Beanstandung oder Verwarnung erfolgen könnte. Daneben könnten betroffene Personen gegenüber Betreibern von Fanpages Schadensersatzansprüche haben.

Nachdem insbsondere der Landesbeauftragter für den Datenschutz des Landes Baden-Württemberg mit seinen Äußerungen zur Nutzung des Kurznachrichtendienstes Twitters für Aufsehen gesorgt hatte, beschäftigt sich jetzt eine weitere Aufsichtsbehörde mit der Nutzung von Social Media durch öffentlich Stellen.

Datenschützer zu Twitter: „Die Gnadenfrist läuft schon“

11. Februar 2020

Der Landesbeauftragter für den Datenschutz des Landes Baden-Württemberg, Stefan Brink, löschte am 31. Januar 2020 seinen Twitter-Account mit rund 5400 Followern. Diesen Schritt begründete er damit, dass die Benutzung des datenschutzrechtlich problematischen Dienstes nicht mit seiner Tätigkeit vereinbar sei. Er wolle nun prüfen, „ob die anderen drinbleiben dürfen.“ Die Landesregierung Baden-Württembergs und die Landespolizei meldeten kurz danach an, nicht auf den Kurznachrichtenndienst verzichten zu wollen. Der „Twexit“ des Landesbeauftragten könnte nun aber Folgen für Behörden und Unternehmen haben. Kürzlich veröffentlichte die Aufsichtsbehörde Anforderungen an die behördliche Nutzung „Sozialer Netzwerke„. Im Wesentlichen werden 5 Anforderungen aufgestellt: Behörden müssten eine datenschutzrechtliche Rechtsgrundlage für die Benutzung vorweisen und Transparenzgebote einhalten. Sie sollen mit dem Sozialen Netzwerk einen Vertrag zur gemeinsamen Verantwortung schließen. Zudem müssten Behörden alternative Informations- und Kommunikationswege anbieten und technisch und organisatorische Sicherungsmaßnahme einhalten. Besonders die Forderung nach einem Vertrag über die gemeinsame Verantwortung hat es in sich: Denn Twitter weigert sich aktuell solche Verträge mit seinen Nutzern zu schließen. Stefan Brink sieht aber Verträge für die gemeinsame Verantwortlichkeit als zwingende Voraussetzung für eine rechtskonforme Benutzung des Dienstes an. Diese Anforderung schließt die Aufsichtsbehörde aus den neuerlichen Urteilen des EuGH und des BVerwG zu Facebook-Fanpages, die auf Twitter übertragbar seien.

In einem Interview mit JUVE Rechtsmarkt erläuterte Stefan Brink nun seine Strategie: Zunächst will er mit Behörden den Dialog suchen. Wenn das nicht funktioniere könnten Anordnungen erlassen werden, um „die Behörden [zu] zwingen, mit dem Twittern aufzuhören.“ Er erkennt zwar die große Rolle die Social-Media-Kanäle spielen, möchte sich aber trotzdem „in der zweiten Jahreshälfte […] Unternehmen ansehen.“ Er ist sich sicher durch „Druck auf die Unternehmen“ zu erreichen, dass „die Unternehmen ihrerseits Druck auf die Plattformbetreiber ausüben“ und so an „den formal nötigen Vertrag“ kommen werden.

Apples Datenschutzrichtlinie ist teilweise rechtswidrig

25. Februar 2019

Das Kammergericht Berling (KG) hat mit einem Urteil vom 27.12.2018 (23 U 196/13), entschieden, dass die von Apple im Jahr 2011 verwendete „Datenschutzrichtlinie“ teilweise rechtswidrig war. Diese – noch nicht rechtskräftige – Entscheidung veröffentlichte der klagende Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V. (vzbv) auf seiner Homepage.

Der vzbv betonte überdies, dass das KG festgestellt habe, dass auch ältere Klauseln zur Nutzung personenbezogener Daten die Anforderungen der seit Mai 2018 geltenden Datenschutzgrundverordnung (DSGVO) erfüllen müssten. (Heiko Dünkel, Rechtsreferent beim vzbv in einer Mitteilung vom 22.02.2019).

Die praktische Relevanz dieser Entscheidung bleibt allerdings abzuwarten. So ist aufgrund der aktuellen medialen Präsenz datenschutzrechtlicher Themen davon auszugehen, dass viele Unternehmen ihre Datenschutzrichtlinien im Hinblick auf die Anfordernungen der DSGVO modifiziert haben.

OLG Hamburg- DSGVO Verstöße sind abmahnfähig

8. November 2018

Das OLG Hamburg urteilte (Urt.  v. 25. Oktober 2018, 3 U 66/17), dass Verstöße gegen die DSGVO Wettbewerbsverletzungen darstellen können. Dabei geht es um die Frage, ob Mitbewerber in solchen Fällen überhaupt befugt sind, Klage zu erheben (wir berichteten über Urteile der Landgerichte Würzburg und Bochum). Die DSGVO zählt auf, wer genau welche Ansprüche geltend machen kann. Mitbewerber sind dort nicht genannt, allerdings ermöglicht die Grundverordnung den Mitgliedsstaaten der EU, selbst Vorschriften über Sanktionen festzulegen. Solch eine Vorschrift könnte auch das Gesetz gegen den unlauteren Wettbewerb darstellen, dies ist jedoch umstritten.

Die Richter vom Hanseatischen Oberlandesgericht jedenfalls sind davon überzeugt, dass die DSGVO „die Verfolgung datenschutzrechtlicher Verletzungshandlungen auf lauterkeitsrechtlicher Grundlage durch Mitbewerber” nicht ausschließen würde.

Für Online-Händler bedeutet dieses Urteil weiterhin keine absolute Gewissheit, da es sich um eine Einzelfallentscheidung handelt. Es bleibt daher zunächst nichts anderes übrig, als den Ausgang der weiteren kommenden Prozesse abzuwarten, bis die Rechtsprechung eine Linie gefunden hat.