Datenschutzerklärung und Verantwortlichkeit bei Unternehmensseiten auf Facebook & Co. – Datenschutzbehörde löscht Twitter-Konto

Die Datenschutzskandale rund um Facebook, Cambridge Analytica, Google und Amazon, aber auch die Einführung der Datenschutz-Grundverordnung (DSGVO) am 25. Mai 2018 begründen erhebliche Zweifel an der Sicherheit unserer persönlichen Daten. Aber auch die Unsicherheit der Unternehmen wächst. In der Branche wächst die Angst, kostenpflichtig abgemahnt zu werden.

Zu Recht, denn auch Unwissenheit schützt vor Strafe nicht.

Das Einhalten datenschutzrechtlicher Vorgaben eine der wichtigsten Pflichten von Unternehmen im Rechtsverkehr, insbesondere online. Verstöße können zur Abmahnungen durch Wettbewerber oder durch die Datenschutzbehörden führen. Die Datenschutzbehörden können dabei mitunter hohe Bußgelder verhängen.

Behörden ziehen sich aus sozialen Medien zurück

Nicht nur für Unternehmen, auch für private Nutzer und selbst für Behörden ist das Thema Datenschutz nach wie vor gleichermaßen aktuell wie gefährlich:

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit in Baden-Württemberg, Stefan Brink, hat kürzlich angekündigt, den Twitter-Auftritt seiner Behörde zum 31.01.2020 zu löschen.

Hintergrund sind zwei Grundsatzurteile des Europäischen Gerichtshofs (Urteil vom 05.06.2018, Aktenzeichen C-210/16) sowie des Bundesverwaltungsgerichts (Urteil vom 11.09.2019, Aktenzeichen 6 C 15.18). Dabei hat das Bundesverwaltungsgericht sich der Rechtsprechung des EuGH angeschlossen, wonach laut geltender Rechtslage Nutzer mitverantwortlich für die Datenverarbeitung in sozialen Netzwerken sein sollen. Es sind nunmehr neben Maßnahmen gegen die Betreiber sozialer Netzwerke auch Maßnahmen gegen Nutzer dieser Netzwerke zulässig, soweit den zuständigen Behörden „keine anderweitige Möglichkeit zur Herstellung datenschutzkonformer Zustände“ zur Verfügung steht.

Zukünftig haften auch private Nutzer in sozialen Netzwerken verantwortlich als datenverarbeitende Stellen

In dem Fall vor dem EuGH ging es um die Frage, ob das Landeszentrum für Datenschutz in Schleswig-Holstein der Wirtschaftsakademie Schleswig-Holstein deren Facebook-Präsenz verbieten dürfe. Facebook wertete die Nutzungsdaten der Besucher der Facebook-Page aus, ohne jedoch über Art, Ausmaß und Mittel der Datenverarbeitung oder über das Widerspruchsrecht der Besucher aufzuklären.

Die Wirtschaftsakademie Schleswig-Holstein als Betreiberin Facebook-Page hatte keinen Einfluss auf die Erstellung und Verwertung der Benutzerdaten durch und bei Facebook. Dennoch entschied der EuGH, dass Betreiber von Social-Media-Pages gemeinsam mit dem Diensteanbieter (hier: Facebook) für die Einhaltung datenschutzrechtlicher Vorschriften verantwortlich und damit haftbar sind.

In dem durch das Bundesverwaltungsgericht zu entscheidenden Fall hatte die Datenschutzbehörde den Betreiber einer Facebook-Fanpage wegen einer ihm unbekannten gebliebenen Auswertung von Besucher-Nutzungsdaten durch Facebook in Anspruch genommen und die Deaktivierung der Fanpage angeordnet. Zu Recht, wie das Bundesverwaltungsgericht entschied. Denn „vor dem Hintergrund der fehlenden Kooperationsbereitschaft [und] den unklaren Binnenstrukturen“ der Facebook-Unternehmensgruppe sollten Datenschutzbehörden sich aus Effektivitätsgründen zunächst auch an die Nutzer wenden können.

Im Klartext: Verstoßen Netzwerke wie Instagram, Facebook oder Twitter gegen Datenschutzrecht, können die Aufsichtsbehörden Maßnahmen und Bußgelder nicht nur gegenüber den Netzwerkbetreibern, sondern auch gegenüber den Betreibern von Fanpages auf diesen Netzwerken erlassen, selbst wenn diese keine Kenntnis von der vorgenommenen Datenverarbeitung hatten.

Mitgegangen, mitgehangen

Damit scheint die Entwicklung des Datenschutzes vorgezeichnet: Unternehmen wie Behörden und selbst einfache Nutzer können ihre Datenverantwortung nicht länger auf Plattformbetreiber abwälzen. Künftig ist auch die kostenpflichtige Abmahnung von Betreibern von Fanpages und Unternehmensprofilen auf Facebook oder anderen sozialen Netzwerken für Datenschutzrechtsverstöße der Plattformbetreiber nicht mehr ausgeschlossen.

Twitter- und Facebook-Verbot für Behörden

Diese vielbeachteten Urteile zeigen, dass selbst ausgewiesene Experten nicht vor den potenziellen Gefahren datenschutzrechtlicher Verstöße gefeit sind.

Ähnlich wie der Schleswig-Holsteinische Datenschutzbeauftragte haben sich zuvor auch der Bayerische Landesbeauftragte für den Datenschutz, Tomas Petri sowie die Landesdatenschutzbeauftragte Nordrhein-Westfalen, Helga Block, geäußert und die Empfehlung ausgesprochen, die Bayerischen und Nordrhein-Westfälischen Behörden sollten ihre Öffentlichkeitsarbeit in sozialen Medien kritisch überprüfen und ihre Auftritte gegebenenfalls löschen.

Auch WhatsApp ist betroffen

Ähnliches dürfte für WhatsApp und Mitbewerber wie Telegram gelten: Datenschützer warnen seit Langem vor der dienstlichen Nutzung dieser populären Messenger, denn sie greifen automatisch auf die Adressbücher des Nutzers zu, ohne diesen oder die Kontakte hiervon in Kenntnis zu setzen.

Eine neue Abmahnwelle droht

Die Urteile zeigen erste Wirkung. Eine neue Abmahnwelle rollt auf Unternehmen zu. Professionelle Abmahnkanzleien, deren Geschäftsmodell in dem Ausnutzen kleinerer Verstöße besteht, dürften sich bereits die Hände reiben. Nicht nur der Kreis der Bußgeldpflichtigen, auch der Kreis der Abmahnberechtigten wurde erheblich erweitert.

Selbst für private Blogs und allein der Information oder Meinungsäußerung dienenden Websites gelten umfassende Impressums- und Datenschutzerklärungspflichten, deren – auch unabsichtliche – Nichteinhaltung teuer werden kann.

Aber auch Facebook selbst bleibt eine Gefahrenquelle für Nutzer. Bereits am 05. September 2018 stellte die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) per Beschluss fest, dass das Betreiben einer Facebook-Fanpage ohne Abschluss einer Vereinbarung darüber, welcher der insofern gemeinsamen Verantwortlichen welche Verantwortung hinsichtlich der Nutzerdaten trägt, rechtswidrig sei.

Die abmahnsichere Erfüllung dieser gesetzlichen Vorgaben wurde bisher insbesondere dadurch erschwert, dass Facebook auf seinen Fanpages keine Möglichkeit einer DSGVO-konformen Einbindung einer Datenschutzerklärung oder einer entsprechenden Verantwortlichkeitsvereinbarung vorsah. Erst infolge des EuGH-Urteils bietet das Unternehmen eine entsprechende Vereinbarung an. Damit sind die Gefahren jedoch nicht gebannt.

Wie kann ich mich gegen Bußgelder schützen?

Betreiber von Websites, Blogs, Facebook-Fanpages wie auch die Nutzer sozialer Medien müssen nun eine Risikoabwägung vornehmen. Dazu gehören die folgenden Fragen:

Nutze ich eine Plattform oder eine Leistung eines anderen Unternehmen, auf der Daten meiner Kunden, Gäste oder Besucher gesammelt oder verarbeitet werden?
Bietet der Drittanbieter die Möglichkeit einer Vereinbarung darüber, wer für die Datenverarbeitung verantwortlich ist?
Kann ich auf meine Fanpage oder meinem Unternehmensprofil meine Besucher darüber aufklären, wie ich und der Drittanbieter mit den Daten der Besucher umgehen?
Welche Datenverarbeitung erfolgt durch den Drittanbieter und durch mich und was muss ich dem Besucher davon mitteilen?

Im Ergebnis muss abgeschätzt werden, ob man die strengen Datenschutzvorgaben und Informationspflichten erfüllen kann und wie hoch die Wahrscheinlichkeit ist, dass man haftbar gemacht wird, wenn diese Vorgaben und Pflichten nicht erfüllt werden können.

Warum brauche ich eine Datenschutzerklärung?

Betreiber von Websites und Facebook-Fanpages oder Unternehmerprofilen sind nach Art. 12 ff. DSGVO verpflichtet, eine transparente und vollständige Datenschutzerklärung darüber vorzuhalten, welche Art von Daten in welchem Umfang und zu welchem Zweck gespeichert werden, auf welcher Rechtsgrundlage diese Datenverarbeitung beruht, und wer Empfänger dieser Daten ist. Der Nutzer soll so transparent wie möglich aufgeklärt werden. Dabei führen nicht nur fehlende, sondern auch unvollständige Datenschutzerklärungen zur kostenpflichtigen Abmahnung.

Machen Datenschutzerklärungs-Generatoren Sinn?

Grundsätzlich bieten Datenschutzerklärungs-Generatoren im Internet eine gute erste Orientierung, welche Angaben Datenschutzerklärungen enthalten müssen.

Dennoch kann es im Einzelfall strittig sein, welche Informationen in die Datenschutzerklärung aufgenommen werden müssen. Auch berücksichtigen Generatoren nicht, wo und wie die Datenschutzerklärung eingebunden werden muss. Letztlich hängt das Ergebnis von Generatoren auch immer von den eingegebenen Daten ab. Es ist also erforderlich, dass die eingebende Person richtig einschätzt, welche Informationen wo eingegeben werden. Diese Einschätzung trauen sich Laien oftmals nicht zu, sodass es sinnvoll sein kann, professionelle Unterstützung bei der Erstellung von Datenschutzerklärungen zu erhalten.

Zudem ist für eine rechtskonforme Einbindung einer Datenschutzerklärung bei Telefonaten oder bei Printmedien ggf. ein Medienbruch erforderlich, etwa weil eine komplette Datenschutzerklärung nicht in jeder Kontaktaufnahme übermittelt werden kann. Über die optimale Vorgehensweise in solchen Fällen kann ein Generator schwer aufklären.

Datenschutz als Fluch und Segen

Datenschutz darf jedoch nicht nur als Fluch, sondern auch als Segen zu begreifen sein: Der Erfolg eines datenverarbeitenden Unternehmens hängt maßgeblich von dem durch die Kunden entgegengebrachten Vertrauen ab. Dabei kann die frühzeitige und umfassende Information über Art und Umfang der Datenverarbeitung und die Rechte der Kunden eine vertrauensbildende Maßnahme darstellen. Dazu ist aus Kundensicht erforderlich, dass frühzeitig, transparent und rechtskonform darüber aufgeklärt wird, welche Daten zu welchen Zwecken erhoben und übermittelt werden.

Sicherheit bieten nur individuell erstellte Datenschutzerklärungen

Die Realität zeigt: Das Datenschutzrecht und die Verwebungen mit anderen gesetzlichen Vorgaben sind komplex, selbst für Unternehmer. Generatoren dienen eher der Information und können eine fundierte anwaltliche Beratung nicht ersetzen. Um sich nicht dem Risiko einer teuren Abmahnung auszusetzen, ist es empfehlenswert, die Erstellung einer rechtskonformen Datenschutzerklärung durch einen Anwalt vornehmen zu lassen. Nur so kann auf interdisziplinäre und rechtsübergreifende Problemstellungen eingegangen und mögliche Gefahrenquellen frühzeitig eliminiert werden.

Gern beraten wir Sie hierzu. Sprechen Sie uns an!

27.01.2020 | Allgemeines

Corona – Finanzhilfen für Unternehmen, Selbstständige und Freiberufler
Ein Überblick über Unterstützungsmaßnahmen, die Sie in Anspruch nehmen können, um die Finanzierung Ihres Unternehmens in der Corona-Krise sicherstellen zu können. (letztes Update: 25.03.2020) Inhaltsverzeichnis Pandemien als Herausforderungen für die […]
weiterlesen
Corona – was Reisende nun beachten müssen
Arbeitgeber und Arbeitnehmer in Zeiten von Corona
weiterlesen
Coronavirus – Rechte und Pflichten für Arbeitgeber und Arbeitnehmer
Das Coronavirus SARS-CoV-2 breitet sich weiter aus. Zum heutigen Stand (10. März 2020) sind im gesamten Bundesgebiet über 1100 Fälle nachgewiesen und erfasst. Nachdem zuvor im Landkreis Heinsberg in Nordrhein-Westfalen […]
weiterlesen
Datenschutzerklärung und Verantwortlichkeit bei Unternehmensseiten auf Facebook & Co. – Datenschutzbehörde löscht Twitter-Konto
Die Datenschutzskandale rund um Facebook, Cambridge Analytica, Google und Amazon, aber auch die Einführung der Datenschutz-Grundverordnung (DSGVO) am 25. Mai 2018 begründen erhebliche Zweifel an der Sicherheit unserer persönlichen Daten. […]
weiterlesen
Meldepflichten beim Transparenzregister – Warnung vor Aufforderungen der Organisation Transparenzregister e.V.
Ganz aktuell versucht die Organisation Transparenzregister e.V. Neuerungen zu den Meldepflichten beim Transparenzregister für ihren monetären Vorteil auszunutzen. Dieser Versuch der Organisation Transparenzregister e.V. ähnelt anderen Fällen, in denen Gesetzesänderungen […]
weiterlesen