Seite auswählen
Aktuelle Positionierung der Datenschutzkonferenz (DSK) zu Fanpages auf Facebook!

Aktuelle Positionierung der Datenschutzkonferenz (DSK) zu Fanpages auf Facebook!

Datenschutzkonferenz (DSK)

Die Datenschutzkonferenz hat sich erneut zur Zulässigkeit von sogenannten Fanpages auf Facebook geäußert. Die Datenschutzkonferenz ist ein Zusammenschluss von Aufsichtsbehörden. Deswegen ist es für jeden Verantwortlichen einer Datenverarbeitung wichtig zu wissen, was die „Bußgeldbehörde“ als rechtmäßig oder rechtswidrig ansieht. Das bedeutet natürlich nicht, dass diese Positionierung als Gesetz verstanden werden muss. Es zeigt nur, wie die Behörde das Gesetz interpretiert. Aus wirtschaftlichen Gesichtspunkten ist es aber ratsam zu wissen, welcher Weg von der Behörde als rechtmäßig oder nicht angesehen wird. Man kann natürlich dann entsprechend sein Verhalten danach ausrichten oder zumindest anpassen.

Fanpages auf Facebook

Der EuGH (EuGH, C-210/16) hat am 5. Juni 2018 entschieden, dass Betreiber von sogenannten Fanpages für die Verarbeitung von Daten mit Facebook gemeinsam verantwortlich sind. Das bedeutet in praktischer Hinsicht, dass wenn Datenverstöße durch Facebook vorliegen auch der Fanpagebetreiber mithaftet. Die Praxis wird zeigen, wen (Facebook oder Fanpagebetreiber) die Behörden letztlich in Anspruch nehmen werden. Es sollte aber jedem Unternehmer klar sein, dass er für einen Dritten (Facebook) haftet und auf diesen Dritten aber keinerlei Einfluss hat. Letztlich ist es eine ökonomische Entscheidung, ob man dieses Haftungsrisiko eingehen will oder nicht. Schließlich erntet man die Früchte einer erfolgreichen Fanpage als Marketinginstrument.

Positionierung der DSK

Facebook hat reagiert und „Seiten-Insights Ergänzung bezüglich des Verantwortlichen“ sowie „Informationen zu SeitenInsights“ für Fanpagebetreiber zur Verfügung gestellt. Dadurch hat man versucht, den Anforderungen an die DS-GVO gerecht zu werden. Die DSK hat sich dann am 01.04.2019 dergestalt positioniert (https://www.datenschutz.rlp.de/fileadmin/lfdi/Dokumente/Orientierungshilfen/Positionierung_Facebook_Fanpages.pdf), dass diese Ergänzungen keine Auswirkungen auf die eigene Verantwortlichkeit des Fanpagebetreiber hat. Prüfungsmaßstab ist in diesem Zusammnehang der Art. 26 DS GVO. Dort werden eine Vielzahl von Anforderung aufgestellt, die erfüllt sein müssen, damit eine datenkonforme Verarbeitung möglich ist. Diesen Anforderungen, insbesondere im Hinblick auf die Trnsparnez, wird die Vereinbarung von Facebook nicht gerecht. So zumindest die Datenschutzkonferenz (DSK). Das Ergebnis der Positionierung lautet dann wie folgt:

„Sowohl Facebook als auch die Fanpage-Betreiber müssen ihrer Rechenschaftspflicht nachkommen. Die Datenschutzkonferenz erwartet, dass Facebook entsprechend nachbessert und die Fanpage-Betreiber ihrer Verantwortlichkeit entsprechend gerecht werden. Solange diesen Pflichten nicht nachgekommen wird, ist ein datenschutzkonformer Betrieb einer Fanpage nicht möglich.“

Ausblick:

Das Fazit lautet also, dass derzeit das Betreiben von Fanpages auf Facebook datenschutzkonform laut DSK nicht möglich ist.

Nochmals: Ein Gericht hat dies noch nicht überprüft. Die Positionierung in der DSK sind keine Gesetzesnormen. Es ist aber klar, wie die DSK zu diesem Thema steht. Insofern muss man als Betreiber einer solchen Fanpage wissen, dass ein Bußgeld für die Behörde, bis zu einer etwaigen Nachbesserung durch Facebook, in Betracht kommt. Ob nun die Behörde auf eine Nachbesserung wartet oder schon vorher mit einem Bußgeld zuschlägt, vermag ich nicht zu beantworten. Ein hohes Risiko besteht und wird mit dieser Positionierung mehr als deutlich. Solche Positionierungen haben natürlich die Wirkung, dass niemand mehr sich darauf berufen kann, nicht zu wissen, wie die Behörde diesen speziellen Fall auslegt.

Das Thema bleibt spannend und dynamisch. Eine gesicherte, rechtlich abschließende Bewertung ist aus diesem Grund nicht möglich. Aus meiner Sicht stellt der Betrieb einer Fanpage ein Risiko dar. Jeder Verantwortliche muss nun ökonomisch für sich abwägen, ob er dieses Risiko eingehen will oder nicht.

Sofern Sie Fragen rund um den Datenschutz haben, können Sie mich jederzeit telefonisch unter 069 59 77 80 28 oder per E-Mail an info@rechtsanwalt-dsgvo.de erreichen.

Ihr Anwalt für DSGVO und Datenschutzbeauftragter in Frankfurt.

Datenschutzhinweise oder Datenschutzerklärung.

Datenschutzhinweise oder Datenschutzerklärung.

Datenschutzhinweise oder Datenschutzerklärung: Was ist was?

Sehr häufig kommen Mandanten mit der Frage, welche Mindestanforderungen sie zur Einhaltung der DSGVO erfüllen müssen. Auf meine Frage hin, ob sie Datenschutzhinweise haben, bekomme ich stets die Antwort: „Was ist das? Ich habe doch eine Datenschutzerklärung“. Die Begrifflichkeiten werden häufig durcheinandergeworfen und daher möchte ich diese kurz näher erläutern.

Zuerst: „Wieso ist das wichtig“: Wie wir sehen werden, ist die Unterscheidung deswegen wichtig, weil bei fehlenden Datenschutzhinweisen bzw. Informationen über die Datenverarbeitung ein Bußgeld kassieren fällig ist.

Was ist sind Datenschutzhinweise?

In Art. 13 Datenschutzgrundverordnung (DS-GVO) sind die Informationspflichten des Verantwortlichen geregelt. Dort wird festgelegt, dass bei Erhebung der Daten über bestimmte Punkte informiert werden muss. Jetzt stellt sich die Frage, wann ist genau der Zeitpunkt „bei Erhebung der Daten“. Hier muss nun jeder Verantwortlicher selbst prüfen, wann er das erste Mal Daten bzw. personenbezogene Daten verarbeitet bzw. erhebt.

Wenn ich beispielsweise eine E-Mail von einem Kunden erhalte, der nicht auf meiner Homepage gewesen ist, dann habe ich mit Erhalt der E-Mail personenbezogene Daten verarbeitet. Jetzt müsste ich nach Art. 13 DS-GVO über diese Verarbeitung informieren. Es wird jetzt relativ schnell eindeutig, dass die Informationspflichten auf meiner Homepage unter dem Stichwort Datenschutzerklärung wenig Sinn machen, da der Kunde in unserem Beispielsfall nicht auf der Homepage war. Ich müsste diesem Kunden aber irgendwie informieren. Zweckmäßigerweise antworte ich auf die E-Mail und schicke entsprechende Datenschutzhinweise mit. So ist dem Kunden klar, welche personenbezogenen Daten über ihn verarbeitet werden und der Verantwortliche hat informiert.

Datenschutzerklärung

Viele Unternehmer bzw. Verantwortliche packen sämtliche Verarbeitungsvorgänge in ihre Datenschutzerklärung auf der Homepage. Das ist natürlich eine Möglichkeit. Ich rate jedoch dazu, um die Transparenz zu wahren, dass in der Datenschutzerklärung auf der Homepage, nur die Datenverarbeitungen aufzuführen, die eben auch auf der Homepage durchgeführt werden. Wenn ich also gar keinerlei personenbezogene Daten, außer der IP-Adresse, er hebe, dann will sollte auch nur darüber, wie in Art. 13 DS-GVO vorgegeben, informieren. In einem gesonderten Blatt bzw. Datei kann ich dann im Rahmen von „Datenschutzhinweisen“ über die weitere Verarbeitung von personbezogenen Daten informieren.  Wenn ich einen Anwaltsvertrag schließe, dann benötige ich eine Vielzahl von Daten, wie Name oder die Adresse. Hierüber informiere ich im Rahmen von Datenschutzhinweise. Aus meiner Sicht ist das eine schlanke Lösung, welche die Datenschutzerklärung auf der Homepage „entlastet“.

Es gibt hier aber viel Gestaltungsraum und Möglichkeiten. Sprechen Sie mich darauf an. Sie können mich jederzeit telefonisch unter 069 59 77 80 28 oder per Email  unter  info@rechtsanwalt-dsgvo.de  erreichen.

 

Ihr Anwalt für DSGVO in Frankfurt

Brexit, Datenschutz und DS-GVO! Was müssen Unternehmer beachten?

Brexit, Datenschutz und DS-GVO! Was müssen Unternehmer beachten?

Der ungeordnete Brexit steht vor der Tür. Was hat das Auswirkungen auf das Datenschutzrecht und Unternehmen, die mit Großbritannien handeln?

DSGVO und Großbritannien

Die Datenschutzgrundverordnung (DS-GVO) galt und gilt noch in Großbritannien. Das bedeutet erstmals, dass dort ein angemessenes Datenschutzniveau, zumindest dem Papier nach, vorgefunden werden sollte. Das bedeutet leider nicht, dass der Datenverkehr mit Deutschland deshalb ohne weiteres zulässig ist. Betroffen sind Unternehmen, die eine Niederlassung in Großbritannien haben oder Kunden in Großbritannien haben. Gleiches gilt für Unternehmer, die in UK Vertragspartner haben.

Großbritannien als unsicheres Drittland

Man mag es kaum glauben, aber im Falle eines unkontrollierten Brexit, wird Großbritannien aus datenschutzrechtlicher Sicht ein sogenanntes „unsicheres Drittland“. Das bedeutet, dass die Regeln der DS-GVO im Hinblick auf solche Länder anzuwenden sind.

Was heißt das konkret für Datenverarbeitung nach UK?

Es wird bei unsicheren Drittländer zweistufig vorgegangen. Zunächst ist zu prüfen, ob eine Rechtsgrundlage für die Datenverarbeitung vorliegt. Danach ist zu prüfen, ob eine Rechtsgrundlage für die Übermittlung vorliegt. Erst dann dürfen Daten international verarbeitet werden.

Was muss ich als EU-Unternehmer machen?

Datentransfer in Drittländern kann über eine Vielzahl von Möglichkeiten bewerkstelligt werden. Einige Möglichkeiten dabei sind mit sehr viel Aufwand verbunden, wohin andere mit weniger Aufwand. Dieser Beitrag wird aufgrund des Umfangs nicht sämtliche Möglichkeiten beleuchten, sondern nur den –aus meiner Sicht- praktischsten Weg.

Standardvertragsklauseln mit UK

Der einfachste Weg wird sein, mit den sogenannten EU- Standardvertragsklauseln zu arbeiten. Diese sind von Europäischen Union vorgegeben. Es wird ein Vertrag zwischen dem Unternehmen in Großbritannien und hiesigem Unternehmer geschlossen. In diesen Verträgen verpflichtet sich der Unternehmer aus Deutschland zu überprüfen, ob der englische Vertragspartner das Datenschutzrecht einhält. Zweckmäßigerweise sollte von dem englischen Partner verlangt werden, dass er seine Datenschutzkonformität vor Vertragsschluss nachweist.

Änderung der Datenschutzerklärung und Datenschutzhinweise

Außerdem sind die Datenschutzerklärung und die Datenschutzhinweise anzupassen. In dem Moment, wo der Brexit kommt, muss der Betroffene informiert werden, dass seine Daten in ein unsicheres Drittland übertragen werden.

Lohnt es sich abzuwarten?

In Großbritannien hat die Datenschutzgrundverordnung (DS-GVO) bislang Geltung. Das bedeute, dass eine Vielzahl von Unternehmen sich bereits „fit“ für die DS-GVO gemacht haben. Es ist aber nicht abzusehen, ob sie nach dem Brexit weiterhin gelten wird oder ein neues Datenschutzrecht geschaffen wird. Sehr wahrscheinlich ist, dass das Datenschutzniveau in UK, auch wenn es verändert werden sollte, mit dem europäischen vergleichbar sein wird. Sehr wahrscheinlich wird die EU einen Angemessenheitsbeschluss erlassen. Dann dürfte der Datentransfer zwischen EU und UK zulässig sein. Es liegt wieder einmal in der Hand der Politik. Bis also ein solcher Beschluss erlassen ist, sollten Unternehmer auf Nummer sicher gehen und entsprechend ihren Datenschutz anpassen.

Das Risiko besteht letztlich darin ein Bußgeld zu erhalten. Das sollte unter allen Umständen vermieden werden. Lesenswert ist zudem die Bekanntmachung des Bundesdatenschutzbeauftragten zu diesem Thema mit weiterführenden Hinweisen (https://www.bfdi.bund.de/DE/Europa_International/Europa/Ueberblick/EU_NoDealBrexit.html)

Ihr Anwalt für DSGVO in Frankfurt

Bußgelder und Abmahnungen nach Datenschutzgrundverordnung. DS-GVO Anwalt in Frankfurt am Main.

Bußgelder und Abmahnungen nach Datenschutzgrundverordnung. DS-GVO Anwalt in Frankfurt am Main.

DS-GVO Anwalt in Frankfurt

Als Anwalt für Datenschutzrecht und zertifizierter Datenschutzbeauftragter bei TÜV-Süd berate ich in Frankfurt am Main Unternehmer zu den Auswirkungen der Datenschutzgrundverordnung (DS-GVO). Die zwei wichtigsten Gefahren für Unternehmer sind Bußgelder und Abmahnungen. Am 25. Mai 2018 ist das neue Regelwerk in Kraft getreten und damit für alle Unternehmer, die personenbezogene Daten verarbeiten, verbindlich.

Bußgelder nach DS-GVO

Im Datenschutzrecht gilt der Grundsatz, dass personenbezogene Daten nicht erhoben werden dürfen, sofern das nicht gestattet ist. Diese einfache Regel ist dann in einer Vielzahl von Paragrafen näher ausgestaltet. Damit der Gesetzgeber die Einhaltung des Datenschutzrechts gewährleisten kann, hat er Verstöße dagegen mit Bußgeld sanktioniert. Die DS-GVO unterscheidet nach der Art der Schwere des Verstoßes. Sind die Verstöße gering, dann kann das Bußgeld bis zu 10 Millionen betragen oder bis zu 2 % des weltweiten Bruttoumsatzes. Wiegen die Verstöße schwer, dann kann das Bußgeld bis zu 20 Millionen oder bis zu 4 % des weltweiten Bruttoumsatzes betragen. Adressat des Bußgeldes ist der Verantwortliche. In einer GmbH ist Verantwortlicher das vertretungsberechtigte Organ, also der Geschäftsführer. Bei der Aktiengesellschaft oder Verein ist Verantwortlicher der Vorstand. Diese haften dann aber auch persönlich. Im Zweifel können sich Geschäftsführer und Aktienvorstände relativ schnell ausmalen, dass die juristische Person dahinter (AG oder GmbH) im Zweifel den Schaden nicht übernehmen wird. Andernfalls Das könnte sie gegen gesellschaftsrechtliche Verpflichtungen verstoßen. Auch die sogenannte D&O Versicherung ist nur mit äußerster Vorsicht zu genießen. Verstöße gegen das Datenschutzrecht waren bisher als grobe Pflichtverletzungen angesehen. Versicherungen haften in solchen Fällen nur unter sehr engen Voraussetzungen.

Abmahnungen nach DS-GVO

Dem Unternehmer können auch Abmahnungen eines Konkurrenten drohen. Bislang ist in der Rechtsprechung nicht geklärt, ob die Datenschutzgrundverordnung (DS-GVO) eine Marktverhaltensregeln darstellt. Manche Gerichte bejahen das und wiederum andere verneinen das. Das Problem besteht darin, dass im Internet der fliegende Gerichtsstand gilt. Das bedeutet, dass der Konkurrent und Abmahner sich das Gericht aussuchen kann, wenn es sich um einen Verstoß gegen Datenschutzrecht im Internet (fehlerhafte Datenschutzerklärung auf der Homepage) handelt. Der logische Schluss liegt nahe, dass er sich das Gericht aussucht, das in dem Verstoß gegen die DS-GVO ein Verstoß gegen eine Marktverhaltensregel ansieht und damit eine Abmahnung als zulässig erachtet.

Fazit

Aus diesen Gründen aber auch aus eigenem Interesse kann nur empfohlen werden, sich mit Datenschutzrecht auseinander zu setzen und Datenschutzkonformität herzustellen. Als Anwalt und zertifizierter Datenschutzbeauftragter bei TÜV-Süd auf dem Gebiet der Datenschutzrechts (DS-GVO) in Frankfurt am Main berate ich Sie gerne.

Sie können mich unter der Tel. 069 59 77 80 28 oder per E-Mail unter info@rechtsanwalt-dsgvo.de erreichen

Über Anruf oder Ihre Nachricht freue ich mich.

Ihr Anwalt für DSGVO in Frankfurt

Datenschutz in Vereinen. Welche Mindestvoraussetzungen nach DS-GVO muss ein Verein erfüllen?

Datenschutz in Vereinen. Welche Mindestvoraussetzungen nach DS-GVO muss ein Verein erfüllen?

Datenschutzbeauftragter im Verein

Die meisten Vereine haben davor Angst, einen Datenschutzbeauftragten zu bestellen. Verständlicherweise ist das mit Kosten verbunden, wenn nicht gerade ein Mitglied sich bereit erklärt, diese Position auszufüllen. Diese Position kann aber nur bei fachlicher Eignung ordnungsgemäß besetzt werden. Es ist daher sehr wichtig zu wissen, wann eine Pflicht besteht, einen Datenschutzbeauftragten zu bestellen. Das ist dann der Fall, wenn in der Mitgliederverwaltung mindestens zehn Personen mit automatisierten Daten ständig befasst sind. Was bedeutet ständig? Das bayerische LDA (die bayerische Datenschutzbehörde) ist beispielsweise der Auffassung, dass der Übungsleiter nicht zu diesem Personenkreis zählt. Hier kommt es auf den Einzelfall an und es kann vieles, bei ausreichender Argumentation, vertreten werden.

Informationspflichten im Verein

Immer wieder besteht Unklarheit bei Vereinen über die Informationspflichten. Allgemein wird von der Datenschutzerklärung gesprochen. Hier gilt es klarzustellen, dass jedes Mitglied dessen personenbezogene Daten erhoben werden, bei Erhebung dieser Daten über diese Verarbeitung informiert werden muss. Gleiches gilt natürlich auch, wenn der Verein Mitgliedsanfragen erhält und hierfür personenbezogene Daten verarbeitet. Es ist jetzt wichtig zu untersuchen, wie die Kontaktaufnahme mit dem Verein zu Stande kommt. Hat der Verein eine Webseite und werden über ein Kontaktformular oder über eine E-Mail personenbezogene Daten (Mitgliedsanfrage) ausgetauscht, dann ist spätestens in diesem Moment zu informieren. So kann beispielsweise ein Interessent sich auf der Homepage erst mal kundig machen, welche Tätigkeiten der Verein ausübt. Dann sucht er sich die E-Mail heraus und schickt eine Anfrage. Zweckmäßigerweise wird man die Information mittels einer Datenschutzerklärung erfüllen. Alternativ machen es auch Vereine dergestalt, dass sie in der E-Mail-Signatur einen Link setzen mit dem Hinweis auf den Datenschutz. Entscheidend ist in jedem Fall für den Verein, dass er später Rechenschaft darüber ablegen kann, dass er informiert hat. Schickt jetzt ein Interessent einen Brief per Post mit einer Anfrage für eine Mitgliedschaft, so werden auch in diesem Fall personenbezogene Daten verarbeitet. Dann müsste man, dem Interessenten mit einem Antwortbrief ein Blatt mit den Informationspflichten übermitteln. Eine Kopie des Antwortbriefs samt Informationspflichten sollte wegen der Rechenschaftspflicht aufbewahrt werden.

Verzeichnis der Verarbeitungstätigkeiten im Verein

Wichtig ist und das ist eine Neuerung mit der Datenschutzgrundverordnung (DS-GVO) das Verzeichnis der Verarbeitungstätigkeiten. Das ist ein Verzeichnis in dem sämtliche Datenverarbeitungsvorgänge beschrieben werden sollen. Es ist nicht öffentlich und dient zur Vorlage bei der Behörde. Das Verarbeitungsverzeichnis dient auch der Übersicht und ist eine Art Selbstkontrolle für den Vereinsvorstand darüber, welche Daten verarbeitet werden. Dieses sollte mit der größten Vorsicht erstellt werden, da es zusammen mit den Informationspflichten für die Behörde den Ausschlag geben wird, ob sie weiter ermittelt.

Datenschutzverletzungen, Beschäftigtendatenschutz und Löschpflicht im Verein

Verfügt der Verein über Angestellte, so ist der Beschäftigten-Datenschutz zu beachten. Dieser ist ein eigenes Thema und kann aufgrund des Umfangs hier nicht kurz dargestellt werden. Es empfiehlt sich aber in jedem Fall hier professionellen Rat einzuholen, da auch hier viele Stolpersteine bestehen. Bei Datenschutzverletzungen ist die Behörde innerhalb einer sehr kurzen Frist zu informieren. Nicht jede Datenschutzverletzung ist aber zu melden. Hier kommt es auf den Einzelfall an. Es besteht eine Löschpflicht für Vereine. Das bedeutet, dass man nicht Mitgliederkarteien von Mitgliedern, die bereits ausgeschieden sind über mehrere Jahrzehnte archivieren kann. Auch hier kommt es darauf an, welche Aufbewahrungsfristen im Einzelnen Anwendung finden.

Datensicherheit und Auftragsverarbeitung im Verein 

Die Datensicherheit muss gewährleistet sein. Was das bedeutet, muss im Einzelfall überprüft werden. Es sollte aber nicht dergestalt sein, dass die Mitgliederkarteien für jedes Mitglied und für Jedermann öffentlich zugänglich sind. Hier müssen Maßnahmen getroffen werden, dass die personenbezogenen Daten geschützt sind. Die Daten werden häufig mittels EDV automatisiert gespeichert. Es müssen dann entsprechende Programme und Antivirusprogramme installiert werden, die den Schutz vor Datenschutzverletzungen und Datenpannen bieten können. Auftragsverarbeitungsverträge sind zu schließen werden, wenn beispielsweise Daten an eine Buchhaltung ausgelagert werden. Aber auch hier muss der Einzelfall geprüft werden und eine generelle Aussage verbietet sich.

Fazit:

Die Mindestvoraussetzungen für ein datenschutzkonformes Verhalten bei Vereinen ist das Verzeichnis der Verarbeitungstätigkeiten, so wie die Erfüllung der Informationspflicht mittels Datenschutzerklärung bzw. Datenschutzhinweise nachkommen muss. Sind mehr als zehn Mitglieder bei der automatisierten Verarbeitung von personenbezogenen Daten beteiligt, so muss auch ein Datenschutzbeauftragter bestellt werden.

Bei Fragen rund um den Datenschutz können Sie mich jederzeit telefonisch unter der Tel.-Nr. 069 59 77 80 28 erreichen oder eine Nachricht an info@rechtsanwalt-dsgvo.de schreiben.

Über Ihren Anruf oder Ihre Nachricht freue ich mich.

Ihr Anwalt und TÜV-zertifizierter Datenschutzbeauftragter in Frankfurt am Main