Heute hat der EuGH ein Grundsatzurteil gesprochen: Betreiber von Facebook-Fanpages sind mitverantwortlich für die dortigen Inhalte. Die bedeutet übersetzt … ab heute haften Unternehmen für Inhalte von Portalen, auf denen sie sich präsentieren (obwohl sie häufig nur beschränkten Zugriff haben).
Was ist passiert?
Die Datenschutzbehörde in Schleswig-Holstein hatte der dort ansässigen Wirtschaftsakademie untersagt, ihre Facebook-Fanpage weiter zu betreiben. Beanstandet wurde, dass die Fanpage Besucherstatistiken der Nutzer erhob und dem Betreiber zur Verfügung stellte, ohne dass der Nutzer hierüber ausreichend informiert wurde. Die Wirtschaftsakademie verteidigte sich, dass sie keinen Einfluss auf diese Statistik habe und daher Facebook allein verantwortlich sei. Dies sahen auch die Vorinstanzen so, nicht jedoch der EuGH (C-210/6), welcher vom Bundesverwaltungsgericht angerufen wurde. Der EuGH hat die Mitverantwortlichkeit der Wirtschaftsakademie vielmehr bestätigt, denn sie könne die Fanpage ja schließlich abstellen. Das Verfahren wird nun zum Bundesverwaltungsgericht zurückgegeben und dort entschieden, ob die Fanpage tatsächlich datenschutzwidrig betrieben wurde (da ja nun feststeht, dass Facebook UND die Wirtschaftsakademie verantwortlich sind).
Warum ist das wichtig für Sie?
Das Urteil ist gerade im Zuge der neuen DSGVO wichtig für alle Unternehmen, die im Internet auf fremden Portalen ein eigenes Unternehmensprofil betreiben (z.B. Facebook, LinkedIn, Google Plus, Amazon etc.). Ab heute steht fest, dass nicht allein der Portalbetreiber verantwortlich ist für dortige Datenschutzverstöße, sondern auch die profilbetreibenden Unternehmen. Theoretisch können daher ab heute Unternehmen wegen unzureichender Datenschutzbelehrung nach Art. 13 DSGVO abgemahnt werden, obwohl sie ggf. die dortigen Belehrungen gar nicht selbst einstellen können.
Was ist zu tun?
Natürlich ist nun erst einmal abzuwarten, wie das Bundesverwaltungsgericht entscheidet (in einigen Monaten), ob also tatsächlich die Facebook-Fanpage unzureichende Datenschutzbelehrungen enthält. Allerdings sind zwischenzeitliche Abmahnungen nicht ausgeschlossen, denn die Verantwortung der profilbetreibenden Unternehmen steht ja nun fest. Es ist daher wohl zumindest für diejenigen Unternehmen ratsam, die eigene Fanpage zu deaktivieren, welche sie gar nicht richtig für eigene Zwecke nutzen. Zumindest sollte gegenüber Ihrer Marketingabteilung kommuniziert werden, dass alle Unternehmensprofilseiten auf fremden Internetportalen daraufhin überprüfen werden müssen, ob dort (insbesondere) die datenschutzrechtlichen Informationspflichten nach Art. 13 DSGVO eingehalten werden.
Was ist noch passiert?
Die Continental AG hat heute bekannt gegeben, dass ab sofort allen 36.000 Mitarbeitern verboten ist, WhatsApp auf den Diensthandys zu verwenden. Grund hierfür ist, dass WhatsApp bei der Installation auf das Adressbuch zugreift und auf US-Server übermittelt, ohne dass die betreffenden Personen dem zugestimmt haben. Da der Nutzer zuvor bestätigen muss, die geltenden Gesetze einzuhalten, werde die „Verantwortung unzulässigerweise auf die Mitarbeiter übertragen“. Müssen Sie diesem Trend folgen? Vielleicht nicht. Denn der Hamburgische Datenschutzbeauftragte beschreibt auf Seite 61 ff. seines jüngsten Tätigkeitsberichtes, wie man WhatsApp rechtkonform im Unternehmen verwenden könnte … indem man die Installation nur zulässt, wenn das Adressbuch des Handys leer ist.
Die Aufsichtsbehörden haben nun eine Liste präsentiert, bei welchen Verfahren zwingend eine Datenschutz-Folgenabschätzung vorgenommen werden muss. Diejenige Liste der Aufsichtsbehörde in Schleswig-Holstein finden Sie hier. Erwartungsgemäß fallen etwa Videoüberwachung, Profiling oder Mitarbeiterbewertungen hierunter.
Japan wird wohl bald auf der Liste EU-Kommission zu den Staaten mit angemessenem Datenschutzniveau stehen. Damit wäre ein Datentransfer auch ohne Abschluss von Standard-Datenschutzklauseln (ehemals EU-Standardvertragsklauseln) zulässig.
