• 0163 - 70 53 684
  • Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.

Die Gerichtsentscheidungen sowie das Positionspapier der Datenschutzkonferenz vom 01.04.2019 zu den Facebook-Fanpages haben bei den betroffenen Wirtschaftsunternehmen zu einer erheblichen Verunsicherung geführt. Mehrfach wurde an die GDD (Gesellschaft für Datenschutz und Datensicherheit e.V.) die Frage herangetragen, ob unternehmenseigene Facebook-Fanpages noch weiterbetrieben werden können oder diese sofort abzuschalten sind.

 

Den Ausgangspunkt der aktuellen Verunsicherung bildet eine EuGH-Entscheidung aus dem Jahr 2018 zu den Facebook-Fanpages (Urteil vom 05.06.2018 – C-210/16). In dieser Entscheidung hat der EuGH den Betreiber einer Facebook-Fanpage als mitverantwortlich für die Datenverarbeitung im Zusammenhang mit der Fanpage angesehen, obgleich dieser selbst keinerlei Zugriff auf die Datenverarbeitung hatte und die Ergebnisse der Verarbeitung nur in anonymisierter Form in Form von Besucherstatistiken erhielt. Der Fanpage-Betreiber konnte im Rahmen der Einrichtung der Fanpage lediglich beeinflussen, nach welchen Parametern die Statistiken erstellt werden, z.B. Alter, Geschlecht und geografische Daten (Facebook Insight). Facebook hat auf diese EuGH-Entscheidung reagiert, indem es seine Nutzungsbedingungen um eine Vereinbarung im Sinne von Art. 26 DS-GVO („Seiten-Insights-Ergänzung bezüglich des Verantwortlichen“) ergänzt hat. Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz – DSK) vertritt allerdings die nicht im Detail begründete Auffassung, dass die von Facebook vorgelegte Vereinbarung den Vorgaben der DS-GVO nicht genügt. Die Aufsichtsbehörden weisen darüber hinaus auf die Rechenschaftspflicht (Art. 5 Abs. 2 DS-GVO) der Fanpage-Betreiber hin. Ohne hinreichende Kenntnis über die Verarbeitungstätigkeiten, die der eigenen Verantwortung unterliegen, seien Verantwortliche nicht in der Lage, zu bewerten, ob diese Verarbeitungstätigkeiten rechtskonform durchgeführt werden. Bestünden Zweifel, gehe dies zulasten der Verantwortlichen, die es in der Hand hätten, solche Verarbeitungen zu unterlassen, so die Datenschutzkonferenz. Nach dieser Ansicht können Facebook-Fanpages derzeit nicht rechtskonform betrieben werden.

 

Die jüngste Entscheidung in Sachen Facebook-Fanpages erging am 11.09.2019 durch das Bundesverwaltungsgericht (BVerwG 6 C 15.18). Danach muss die Datenschutzaufsicht, wenn sie die bei Aufruf der Fanpage ablaufende personenbezogene Datenverarbeitung als rechtswidrig erachtet, nicht vorrangig gegen Facebook selbst vorgehen, sondern darf aus Effektivitätserwägungen das die Fanpage betreibende Unternehmen zur Deaktivierung der Fanpage verpflichten.

 

Ob die im Zusammenhang mit der Fanpage stattfindenden Datenverarbeitungsvorgänge rechtmäßig sind oder nicht, wurde weder vom EuGH noch vom BVerwG entschieden. Diese Frage ist also noch nicht verbindlich geklärt. Die Frage der Rechtmäßigkeit der Datenverarbeitung für das der EuGH- und BVerwG-Entscheidung zugrundeliegende Ausgangsverfahren zu klären, nämlich die Fanpage der Wirtschaftsakademie Schleswig-Holstein, wird nun Aufgabe des OVG Schleswig-Holstein sein. Maßstab des OVG Schleswig-Holstein ist hierbei allerdings nicht das aktuell geltende Datenschutzrecht sein, sondern die Vorgaben des im Zeitpunkt der letzten Behördenentscheidung gültigen Datenschutzrechts. Dies sind insbesondere die Regelungen des Telemediengesetzes.

 

Ob Facebook-Fanpages weiter betrieben werden, ist damit im Ergebnis auf Grundlage einer unternehmerischen Risikoabwägung zu entscheiden. Festgestellt werden kann jedenfalls, dass viele deutsche Unternehmen ihre Facebook-Fanpages nach wie vor betreiben. Dies gilt insbesondere für die großen Unternehmen. Es ist auch nicht bekannt, dass aktuell von Aufsichtsbehörden mittels Deaktivierungsverfügung gegen Fanpage Betreiber vorgegangen wird. Sofern Verantwortliche sich zum Fortbetreiben ihrer Facebook-Fanpage bzw. ihrer sonstigen Social Media Auftritte entscheiden, sollten sie die weitere Entwicklung der Thematik und insbesondere die Vollzugspraxis der Aufsichtsbehörden im Auge behalten.

Die Pressemitteilung des BVerwG finden Sie unter folgendem Link: https://www.bverwg.de/pm/2019/62

Autor: GDD (Gesellschaft für Datenschutz und Datensicherheit e.V.) 07.10.2019


Office 365 ist derzeit stark in der Diskussion. Welche Variante lässt sich datenschutzkonform einsetzen, welche nicht? Und was muss ein Verantwortlicher dafür tun? Lesen Sie, welche Vor- und Nachteile die verschiedenen Office-Pakete haben.

Microsoft bietet derzeit drei Varianten von Office an: Office 365 (z.B. ProPlus/Business) besteht zunächst aus den Webversionen der Office-Programme. Im Weiteren bezeichnen wir diese Version als Office 365 Cloud. Dann gibt es die Desktop-Versionen der Office-Programme, im Weiteren Office 365 Desktop genannt. Schließlich haben wir noch die ebenfalls lokal installierten mobilen Versionen der Office-Programme für Android, iOS und Windows, hier Office 365 Mobile.


Wer eine Facebook-Fanpage betreibt, ist gemeinsam mit der Plattform für den Schutz der Besucherdaten verantwortlich. Der IT-Verband Bitkom erklärt, welche Folgen die Gerichtsentscheidung hat.

Unternehmen, die eine Facebook-Präsenz unterhalten, also eine Fanpage, sind gemeinsam mit der Plattform für die Einhaltung des Datenschutzes auf dieser Seite verantwortlich. Das hat das Bundesverwaltungsgerichts in Leipzig entschieden. Für Firmen mit Fanseiten hat die Entscheidung Folgen, die sie nicht ignorieren können, ohne eine Abschaltung ihrer Präsenzen zu riskieren.


Das Internet ist ein zunehmend gefährlicher Raum. Eine Studie kommt zu dem Ergebnis, dass die Gefahren für die deutsche Wirtschaft, Gesellschaft und Politik durch Angriffe aus dem Cyber-Space weiter gestiegen sind. Viele Unternehmen berichten inzwischen von täglichen Attacken.

Die große Mehrheit der deutschen Unternehmen hat bereits schmerzhafte Erfahrungen mit Internetgefahren gesammelt. 85 Prozent aller mittleren und großen Unternehmen in Deutschland sehen sich Cyber-Angriffen ausgesetzt. Das ist das Ergebnis einer Studie des Instituts für Demoskopie Allensbach im Auftrag der Wirtschaftsprüfungsgesellschaft Deloitte. 28 Prozent der Firmen berichten demnach von täglichen Angriffen, bei weiteren 19 Prozent kommt das mindestens einmal wöchentlich vor.


USB-Sticks sind als Massenspeicher auf der einen Seite überaus praktisch. Auf der anderen Seite sind sie eine nicht zu unterschätzende Gefahrenquelle für Datenschutz und IT-Sicherheit. Welche Möglichkeiten gibt es, Risiken zu minimieren?

Mit USB-Massenspeichern lassen sich sehr leicht Daten aus dem Unternehmen hinausschleusen. Die kleinen „Sesam-öffne-dichs“ können aber auch als Einfallstor für Schadcode dienen. Im Ergebnis ist es dann auch unerheblich, ob das unbeabsichtigt oder unrechtmäßig geschah.


Stellen Sie sich vor, ihre persönlichen Daten sind von einem Datenleak betroffen und neben Angaben wie E-Mail-Adresse, Telefonnummer, Personalausweisnummer und Familienstand stehen auch Informationen über Ihre Fortpflanzungstauglichkeit im Internet. Unangenehm?

Der Sicherheitsforscher Victor Gevers von der niederländischen GDI.Foundation hat eine online zugängliche Datenbank aus China mit solchen Informationen zu 1,8 Millionen Frauen entdeckt: Die jüngste Betroffene ist 15, die älteste 95 Jahre alt. Alle sind Singles, verwitwet oder geschieden - und bei jeder Frau ist vermerkt, ob sie "gebärfähig" ist oder nicht.


Die EU-Datenschutz-Grundverordnung (DSGVO) gilt ab dem 25. Mai 2018. Nach der zweijährigen Umsetzungsfrist gilt in allen Mitgliedsstaaten der EU ein einheitliches Datenschutzrecht.

Der vorliegende Hogan Lovells Blog ist der erste aus einer Serie von Checklisten zur Umsetzung der DSGVO in der Unternehmenspraxis. Die folgende Checkliste fasst die für die Praxis wichtigstenÄnderungen als Checkliste in knapper übersichtlicher Form zusammen.  Anschließend werden die in der Checkliste zusammengefassten praxisrelevanten Änderungen in einem Überblick beschrieben.

Checkliste der wichtigsten Änderungen durch die DSGVO

  • Drastisch erhöhte Bußgelder: bis zu vier Prozent des globalen Umsatzes
  • Deutlich erweiterte zivilrechtliche Haftung: Ersatz auch immaterieller Schäden, Verbandsklagen, Beweislastumkehr
  • Stark erweiterte Dokumentations- und Nachweispflichten
  • Datenschutz-Folgenabschätzung statt Vorabkontrolle: Weitergehende Prüf- und Abstimmungspflichten
  • Risikobasierter Datenschutz
  • Globale bzw. extraterritoriale Anwendung der DSGVO möglich
  • Anwendungsvorrang der DSGVO: Vorrang statt Auffangregelung
  • Massiv erweiterte Transparenzanforderungen
  • Datensicherheit
  • Datenschutz durch Technik und durch datenschutzfreundliche Voreinstellungen
  • Erweiterte Melde und Benachrichtigungspflichten bei Datenschutzverstößen
  • Striktere Löschpflichten und Recht auf Vergessenwerden
  • Neue Vorgaben für Zweckänderungen
  • Erleichterter Datenaustausch im Konzern
  • Koppelungsverbot bei Einwilligungen

 

Überblick über die in der Checkliste zusammengefassten Änderungen


Kontakt

Wir freuen uns über Ihre Kontaktaufnahme. Sie erreichen uns über das Kontaktformular oder unter der Telefonnummer 0163 - 70 53 684 sowie 040 - 69 70 26 50.

Mitgliedschaft

GDD Mitglied

Zertifizierung

Tüv Zertifikat