Читать книгу DS-GVO/BDSG - David Klein - Страница 142
4. Einzelfälle/Praxisbeispiele/Praxishinweise
Оглавление158
Die datenschutzrechtliche Mitverantwortlichkeit der Betreiber von Fanpages bei Facebook ist nunmehr durch den EuGH bejaht worden.[397]
159
Im Nachgang zu der EuGH-Entscheidung veröffentlichte Facebook ein sog. Page Controller Addendum, das Rechte und Pflichten der Verantwortlichen entsprechend Art. 26 beschreibt.[398] Diese Ergänzung der Nutzungsbedingungen erfüllt die Anforderungen an eine Vereinbarung nach Art. 26 nach Meinung der Datenschutzkonferenz (DSK) jedoch nicht. Im DSK-Beschluss zu Facebook-Fanpages v. 5.9.2018 heißt es: „Ohne Vereinbarung nach Art. 26 DS-GVO ist der Betrieb einer Fanpage, wie sie derzeit von Facebook angeboten wird, rechtswidrig.“[399] Die DSK positionierte sich im April 2019 wie folgt: „Am 11. September 2018 veröffentlichte Facebook eine sog. „Seiten-Insights-Ergänzung bezüglich des Verantwortlichen“ sowie „Informationen zu SeitenInsights“. Diese (…) Ergänzung (…) erfüllt nicht die Anforderungen an eine Vereinbarung nach Art. 26 DSGVO. (…) Solange diesen Pflichten nicht nachgekommen wird, ist ein datenschutzkonformer Betrieb einer Fanpage nicht möglich.“[400]
160
Das BVerwG hat die Entscheidung des EuGH zu Facebook-Fanpages[401] für den konkreten Fall befolgt und die Sache zur endgültigen Entscheidung an das OVG Schleswig verwiesen.
161
Hinzu treten die Entscheidungen des EuGH in den Rs. Jehova[402] und Fashion ID[403]. Die Art.-29-Datenschutzgruppe vertritt in ihrem WP 169 die Position, dass derjenige, der weder unter rechtlichen noch tatsächlichen Gesichtspunkten Einfluss auf die Entscheidung der Verarbeitung personenbezogener Daten hat, nicht als Verantwortlicher angesehen werden kann.[404] Dieser Auffassung ist der EuGH in Fashion ID nunmehr gefolgt.[405] In datenschutzrechtlicher Hinsicht ergeben sich aus den Urteilen weitreichende Konsequenzen für die Reichweite der Verantwortlichkeit datenverarbeitender Stellen, insbesondere für die Betreiber von Fanpages‚ und Social-Plug-Ins im Rahmen von Social Media. Durch den weiten Anwendungsbereich, den der EuGH dem Verantwortlichen und einer gemeinsamen Verantwortlichkeit einräumt, ist in praktischer Hinsicht stets eine sorgsame Prüfung erforderlich, ob anhand der vom EuGH aufgestellten Kriterien eine (gemeinsame) Verantwortlichkeit der beteiligten Akteure vorliegt oder eine Auftragsverarbeitung (vgl. dazu Rn. 155 ff. sowie insbes. die Kommentierung zu Art. 26 und Art. 28).
162
Die genannten Entscheidungen haben weitreichende Konsequenzen für die Praxis bei der Nutzung sozialer Mediendienste. Jeder datenschutzrechtlich Verantwortliche, der im weiten Sinne der Rechtsprechung über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet und dem Anwendungsbereich der DS-GVO unterfällt, darf nur dann eine Facebook-Fanpage betreiben, wenn sie mit Facebook eine Vereinbarung über die Verteilung der datenschutzrechtlichen Verpflichtungen nach Art. 26 getroffen haben. Von dieser Pflicht ausgenommen sind, soweit vorliegend von Bedeutung, lediglich natürliche Personen, die ausschließlich persönliche oder familiäre Tätigkeiten verfolgen. Die Pflicht eine solche Vereinbarung mit Facebook zu schließen, trifft damit alle öffentlichen Stellen und private Stellen, soweit sie über den persönlichen oder privaten Gebrauch hinaus soziale Netzwerke nutzen. Private und öffentliche verantwortliche Stellen sind nun in der Pflicht, datenschutzrechtlich geeignete und angemessene Strategien zur rechtskonformen Teilhabe an den Angeboten der digitalen Kommunikation vorzulegen. Das kann nur unter Mitwirkung der Anbieter der Dienste erfolgen. Diese sind hierbei nach der Rechtsprechung des BVerfG („Recht auf Vergessen I“) uneingeschränkt an die Grundrechte gebunden (mittelbare Grundrechtsbindung).[406]
163
So hat etwa Facebook im Nachgang zu der EuGH-Entscheidung ein sog. Page Controller Addendum veröffentlicht, das Rechte und Pflichten der Verantwortlichen entsprechend Art. 26 beschreibt. Dieses wurde seither auf Drängen der in Deutschland zuständigen Datenschutzbehörden zwar mehrfach überarbeitet,[407] die Ergänzung der Nutzungsbedingungen erfüllt die Anforderungen an eine Vereinbarung nach Art. 26 nach Meinung der Datenschutzkonferenz (DSK) dennoch nicht. Ein datenschutzkonformer Betrieb einer Facebook-Fanpage ist insofern der DSK zufolge aktuell nicht möglich.[408] Ebenso hat sich die LDI NRW in ihrem Tätigkeitsbericht für das Jahr 2019 positioniert.[409] Der LDI RLP hat hingegen auf seiner Website eine Muster-Datenschutzerklärung für Facebook-Fanpages zur Verfügung gestellt (Stand: 9.6.2020).[410] Die unterschiedliche Praxis der Datenschutzaufsichten, einerseits wird ein Muster für den Betrieb einer Fanpage zur Verfügung gestellt, ein anderes Mal wird impliziert von einem Verbot ausgegangen, ist für die Praxis problematisch.
164
Bis zur Vorlage einer allseits anerkannten Vereinbarung nach Art. 26, drohen Verantwortlichen datenschutzrechtliche Sanktionen durch die Datenschutzaufsichtsbehörden. Das BVerwG hat ausdrücklich darauf hingewiesen, dass Datenschutzbehörden zur möglichst zügigen und wirkungsvollen Durchsetzung eines hohen Datenschutzniveaus ermessenfehlerfrei einen Fanpagebetreiber unmittelbar für die Herstellung datenschutzkonformer Zustände bei Nutzung seiner Fanpage in die Pflicht nehmen können.[411] Die Aufsichtsbehörden müssen nicht „gegen eine der Untergliederungen oder Niederlassungen von Facebook vorgehen, weil das wegen der fehlenden Kooperationsbereitschaft von Facebook mit erheblichen tatsächlichen und rechtlichen Unsicherheiten verbunden (…) wäre.“[412] Bis zur Rechtskraft der abschließenden Entscheidung des OVG Schleswig kann eine Behörde versuchen, aus formalen Gründen unter Berufung auf die fehlende Rechtskraft im konkreten Verfahren vor dem OVG Schleswig, die Rechtswidrigkeit des Betriebs einer Facebook-Fanpage auch ohne wirksame Vereinbarung nach Art. 26 in Abrede zu stellen.
165
Weil alle sozialen Netzwerke einem gemeinsamen Zweck zu einem gegenseitigen Nutzen im Sinne der Rechtsprechung dienen, dürfte sich die Rechtsprechung über Facebook hinaus, etwa auch auf Twitter, Xing, LinkedIn, Instagram, TikTok usw. erstrecken. Inwieweit sie auch auf Messengerdienste wie WhatsApp[413], Signal oder Threema erstrecken, hängt von der konkreten Ausgestaltung der Angebote ab.
166
Zu berücksichtigen ist dabei, dass es in Zeiten digitaler Kommunikation gerade auch für öffentliche Stellen eine Pflicht zur Teilhabe an digitaler Kommunikation sowie zur Nutzung digitaler Angebote zur Öffentlichkeitsarbeit und zur Krisenkommunikation geben kann. Diese Teilhabepflicht besteht schon aus Gründen der Aufgabenerfüllung im Netz („digitalisierte Daseinsvorsorge“). Schließlich korrespondiert der Anspruch des Bürgers auf digitale Angebote mit der Pflicht der öffentlichen Hand zur Bereitstellung und Nutzung dieser Angebote. Essentiell erforderlich ist hierbei die Differenzierung nach Ausrichtung und Funktion des Angebots.
167
Konkrete Rechtsfragen digitaler behördlicher Kommunikation stellen sich nicht nur mit Blick auf die Kommunikation im Rahmen der Aufgabenerfüllung. Von Bedeutung ist auch die Ermittlung der konkreten Nutzungsbefugnisse je nach DS-GVO-Erlaubnistatbestand und die Frage des Vorgehens bei der Nutzung nicht rechtskonformer Dienste zur Aufgabenerfüllung (Art. 1 Abs. 3 GG). Fragen werfen auch die rechtliche Bindungswirkung von behördlichen Positionierungen im Rahmen digitaler Kommunikation (Regelung, Bindungswirkung), die Abgrenzung von formellen und informelle Positionierungen in Posts und Tweets, die Abgrenzung der Kommunikation zu dienstlichen oder privaten Zwecken, die Nutzung privater Endgeräte zu dienstlichen Zwecken, die Wahrnehmung von Rechenschafts- und Dokumentationspflichten bei digitalen Äußerungen, die Differenzierung der Zulässigkeit von Äußerungen, abhängig der Funktionen im Rahmen der Staatsgewalten, auf. Jeweils genauer Prüfung bedarf auch die Eröffnung der Anwendungsbereiche (DS-GVO/BDSG/LDG) etwa bezogen auf die datenschutzrechtliche Stellung von Abgeordneten (parlamentarisch/fiskalisch) und den Einsatz sozialer Mediendienste zu Wahlwerbezwecken.
168
Die Frage der Verantwortlichkeit für eine Datenverarbeitung stellt sich zudem bei der Nutzung von Videokonferenzdiensten im Rahmen von Telearbeit.[414] Insbesondere im Zuge der Corona-Pandemie sind aufgrund der anhaltenden Infektionsgefahr viele Arbeitnehmer ins Home Office ausgewichen und Vorlesungen für Studierende an Hochschulen konnten nicht stattfinden, so dass sowohl Unternehmen als auch Hochschulen vermehrt die Dienstleistungen verschiedener Anbieter für die Einrichtung von Videokonferenzen, Online-Vorlesungen, Webinaren etc. in Anspruch nehmen. Es stellt sich in diesem Zusammenhang unter anderem[415] die Frage, wer als datenschutzrechtlich Verantwortlicher i.S.v. Art. 4 Nr. 7 anzusehen ist. Grundsätzlich ist davon auszugehen, dass der Veranstalter der Videokonferenz als Verantwortlicher anzusehen ist.[416] Arbeitnehmer fallen dabei unter die datenschutzrechtliche Verantwortlichkeit des Arbeitgebers und sind für die Einrichtung einer Videokonferenz selbst nicht datenschutzrechtlich verantwortlich, sofern sie keine Daten zu eigenen Zwecken verarbeiten.[417] Dies ergibt sich bereits aus der Dienst- und Treuepflicht der Arbeitnehmer gegenüber dem Arbeitgeber. Eine abweichende Beurteilung kann sich allerdings dann ergeben, wenn der Arbeitgeber etwa die Nutzung eines bestimmten Dienstes anbietet, etwa weil er für Arbeitnehmer ein Nutzerkonto bei einem bestimmten Dienst einrichtet, der Arbeitnehmer sich aber für die Nutzung eines anderen Dienstes entscheidet. In diesem Falle ist fraglich, ob dies ausreicht, um eine eigene Verantwortlichkeit des Arbeitnehmers zu begründen. Erforderlich ist eine Prüfung der durch die Rechtsprechung des EuGH[418] konkretisierten tatbestandlichen Voraussetzungen von Art. 4 Nr. 7 im Einzelfall. Eine gemeinsame Verantwortlichkeit verschiedener Veranstalter einer Videokonferenz hängt von den bestehenden Zugriffsrechten auf die Inhalte der Videokonferenz (Aufzeichnung, Transkripte etc.)[419] ab und bedarf ebenfalls einer eingehenden Prüfung im Einzelfall. Im Falle einer gemeinsamen Verantwortlichkeit bedarf es einer Vereinbarung nach Art. 26. Ob eine gemeinsame Verantwortlichkeit des Veranstalters einer Videokonferenz mit dem jeweiligen Diensteanbieter in Betracht kommt, hängt davon ab, ob der Anbieter lediglich eine datenverarbeitende Hilfsfunktion[420] wahrnimmt und somit Auftragsverarbeiter i.S.d. Art. 4 Nr. 8 ist oder ob er darüber hinaus Daten für eigene Zwecke verarbeitet (z.B. Dauer der Videokonferenz, Anzahl der Teilnehmer, Standortdaten), vgl. zur Abgrenzung Rn. 155 ff. Auch hier ist eine eingehende Prüfung im Einzelfall anhand der Voraussetzungen von Art. 4 Nr. 7 und der Rechtsprechung des EuGH sowie der jeweiligen Datenschutzerklärung des Anbieters unabdingbar. Im Außenverhältnis zum Anbieter der Videokonferenz dürfte eindeutig von einer Auftragsverarbeitung nach Art. 28 auszugehen sein, da der Anbieter als Auftragnehmer auf Weisung des Auftraggebers handelt und keinerlei eigene Zwecke mit der Durchführung der Konferenz verfolgt.[421]
169
Ebenfalls noch nicht geklärt ist die Frage, welche Folgen eine „aufgedrängte Verantwortlichkeit“ hat. In diesen Situationen werden einem Dritten personenbezogene Daten z.B. offengelegt, ohne dass er hiervon Kenntnis hat oder dies will. Zu denken ist insbesondere an Fälle von Datenpannen, bei denen ein Verantwortlicher personenbezogene Daten, ob gewollt oder nicht, an die falsche Person übermittelt. Würde man den Dritten in diesen Situationen als Verantwortlichen einstufen, träfen ihn die kompletten Pflichten, die sich aus der DS-GVO für den Verantwortlichen ergeben. Resultierend aus der weiten Definition der Verarbeitung unter der DS-GVO verarbeitet der Dritte bereits bei Kenntnisnahme der personenbezogenen Daten die selbigen. Unabhängig davon, ob auch eine aufgedrängte Verarbeitung unter die Begriffsdefinition des Art. 4 Nr. 7 zu fassen ist, erscheint es unbillig, würde man den Dritten in solchen Fallkonstellationen mit den Verpflichtungen eines Verantwortlichen belasten. Der Dritte hat keine Entscheidungsbefugnis über Zweck und Mittel der Verarbeitung. Er bekommt die Verarbeitung gegen seinen Willen aufgedrängt. Kontextbezogen betrachtet wird man in dieser Situation erkennen, dass der Dritte das Ob, Warum und Wie der Verarbeitung der personenbezogenen Daten nicht festlegt.[422] Untermauert wird dieses Ergebnis auch dadurch, dass im Fall der Datenpanne der Verantwortliche zur Meldung der Panne verpflichtet ist, nicht der Dritte, der die Daten empfängt.[423] Erst dann, wenn der Dritte die personenbezogenen Daten bewusst für eigene Zwecke verarbeitet, wird er zum Verantwortlichen nach der DS-GVO.
170
Wesentliche Pflichten des Verantwortlichen nach der DS-GVO*
| Wesentliche Pflichten für den Verantwortlichen | Zuordnung DS-GVO |
|---|---|
| (Verarbeitungs-)Verbot mit Erlaubnisvorbehalt | Art. 6 |
| Verarbeitung auf rechtmäßige und transparente Art und Weise sowie nach Treu und Glauben | Art. 5 Abs. 1 lit. a |
| Grundsatz der Zweckbindung | Art. 5 Abs. 1 lit. b |
| Grundsatz der Datenminimierung | Art. 5 Abs. 1 lit. c |
| Richtigkeitsgrundsatz | Art. 5 Abs. 1 lit. d |
| Grundsatz der Speicherbegrenzung | Art. 5 Abs. 1 lit. e |
| Grundsätze der Integrität und Vertraulichkeit | Art. 5 Abs. 1 lit. f |
| Rechenschaftspflicht | Art. 5 Abs. 2 |
| Einholung der Einwilligung und Einwilligungsvoraussetzungen | Art. 6 Abs. 1 lit. a, Art. 7 |
| Bedingungen für die Einwilligung | Art. 7 |
| Schutzvorschriften zu Gunsten von Kindern hinsichtlich Einwilligung | Art. 8 |
| Besondere Voraussetzungen für die Verarbeitung von sensiblen Daten | Art. 9 |
| Vorgaben für transparente Information und Kommunikation | Art. 12 |
| Informationspflichten | Art. 13, 14 |
| Auskunftspflichten | Art. 15 Abs. 1 und 2 |
| Zurverfügungstellung einer Kopie der Daten | Art. 15 Abs. 3 und 4 |
| Berichtigung | Art. 16 S. 1 |
| Vervollständigung | Art. 16 S. 2 |
| Löschung | Art. 17 |
| Verarbeitungsbeschränkung | Art. 18 |
| Benachrichtigungen | Art. 19 |
| Datenportabilität | Art. 20 |
| Widerspruchsrecht | Art. 21 |
| Vorgaben für automatisierte Einzelentscheidungen | Art. 22 |
| Vornahme technischer und organisatorischer Maßnahmen | Art. 24 Abs. 1 und 2 |
| Nachweispflicht | Art. 24 Abs. 3 |
| Datenschutz durch Technik und zu datenschutzfreundlichen Voreinstellungen | Art. 25 |
| Vorgaben für gemeinsam für die Verarbeitung Verantwortliche | Art. 26 i.V.m. Art. 4 Nr. 7 |
| Benennung eines Vertreters | Art. 27 |
| Vorgaben für die Auftragsdatenverarbeitung | Art. 28, 29 |
| Erstellung eines Verzeichnisses der Verarbeitungstätigkeiten | Art. 30 |
| Zusammenarbeit mit der Aufsichtsbehörde | Art. 31 |
| Vorgaben für die Datensicherheit | Art. 32 |
| Benachrichtigung der Datenschutzaufsichts-behörde bei „Datenpannen“ | Art. 33 |
| Benachrichtigung des Betroffenen bei „Datenpannen“ | Art. 34 |
| Datenschutz-Folgenabschätzung | Art. 35 |
| Vorherige Konsultation der Datenschutzaufsichtsbehörden | Art. 36 |
| Benennung, Stellung und Aufgaben des Datenschutzbeauftragten | Art. 37, 38, 39 |
| Regeln für die Drittstaatenübermittlung | Art. 44, 45 |
| Interessenabwägung im Zusammenhang mit den Kommunikationsfreiheiten | Art. 85 |
| Sonderregeln für den Zugang zu amtlichen Dokumenten | Art. 86 |
| Sonderregeln für nationale Kennziffern | Art. 87 |
| Sonderregeln im Beschäftigungskontext | Art. 88 |
| Sonderregeln für Datenverarbeitung zu archivarischen Zwecken | Art. 89 Abs. 3 |
| Sonderregeln für Datenverarbeitung zu wissenschaftlichen und historischen Forschungszwecken | Art. 89 Abs. 2 |
| Sonderregeln für Datenverarbeitung zu statistischen Zwecken | Art. 89 Abs. 2 |
| Geheimhaltungsvorschriften | Art. 90 |
| * | Die Autoren danken Herrn stud. iur. David Merten bei der Unterstützung hinsichtlich der Erstellung der Übersichtstabelle. |
