Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

Schon seit 2011 läuft der Rechtsstreit zu Facebook-Fanpages: Damals hatte das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) der Wirtschaftsakademie Schleswig-Holstein per Anordnung aufgegeben, ihre Facebook-Fanpage aufgrund datenschutzrechtlicher Verstöße zu deaktivieren. Mittlerweile haben sich das Verwaltungsgericht Schleswig, das Oberverwaltungsgericht Schleswig, das Bundesverwaltungsgericht in Leipzig, der Europäische Gerichtshof und wieder das Bundesverwaltungsgericht mit dem Fall beschäftigt.

Nachdem der Europäische Gerichtshof im Juni 2018 die gemeinsame Verantwortlichkeit von Facebook und Fanpage-Betreibern festgestellt hatte, entschied das Bundesverwaltungsgericht am 11.09.2019 nach der mündlichen Verhandlung, dass eine Datenschutzbehörde den Betrieb einer Facebook-Fanpage untersagen kann.

In Kurzform bedeutet das Urteil:

1. Das Bundesverwaltungsgericht bestätigt die Verantwortlichkeit der Betreiber von Facebook-Fanpages.
2. Das ULD durfte damals gegen Fanpage-Betreiber eine Anordnung erlassen, zumal ein Vorgehen gegen Facebook zuständigkeitshalber nicht geboten war.
3. Zur Herstellung datenschutzkonformer Zustände kann eine Anordnung zur Deaktivierung der Fanpage ein verhältnismäßiges Mittel sein.

Rückblende: Als die Datenschutz-Grundverordnung (DSGVO) im Jahr 2018 eingeführt wurde, reagierten viele Unternehmer mit Angst und Panik vor Datenschutz-Bußgeldern und Abmahnwellen. Dieses Schreckensszenario ist nicht eingetreten: Bußgelder für Datenschutzverstöße werden in Deutschland und in Europa mit Augenmaß verhängt, die prophezeite Abmahnwelle ist bisher ausgeblieben. Dennoch: Vorsorge ist besser als Nachsorge. Wer sich gut in Sachen Datenschutz aufstellt, hat nichts zu befürchten.

Dieses Kurzpapier der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz – DSK) dient als erste Orientierung insbesondere für den nicht-öffentlichen Bereich, wie nach Auffassung der DSK die Datenschutz-Grundverordnung (DS-GVO) im praktischen Vollzug angewendet werden sollte. Diese Auffassung steht unter dem Vorbehalt einer zukünftigen - möglicherweise abweichenden - Auslegung des Europäischen Datenschutzausschusses.

Pressemitteilung im PDF-Format

Seit 20 Jahren werden im Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD) Forschungsprojekte für einen besseren Datenschutz durchgeführt. Dieser Bereich finanziert sich über Fördermittel, die beispielsweise von Bundesministerien oder der EU für solche Zwecke bereitgestellt werden.

Ich erhalte E-Mails von Personen, die ich nicht kenne. Was kann ich dagegen tun?

Gegen den Erhalt von unerwünschten Mails kann man sich im Allgemeinen nicht wehren. Wer eine E-Mail-Adresse kennt, kann an diese (technisch gesehen) eine Nachricht schicken. Dies kann man mit der Papierwelt vergleichen: Wer eine Post-Adresse kennt, kann dorthin einen Brief senden. Ob der Versand rechlich zulässig ist, ist eine andere Frage - insbesondere bei Werbung. Ist der Absender ein echtes Unternehmen, gibt es oft Möglichkeiten, dem weiteren Erhalt von Werbenachrichten zu widersprechen, meist am Fuß der E-Mail in Form eines sog. Opt-Out-Links. Doch diese Links können trügerisch sein: Auch unlautere Absender fügen solche vermeintlichen Abbestell-Links in ihre E-Mails ein. Das Klicken darauf führt dann allerdings nicht zu einer funktionierenden Widerspruchsseite, sondern vielmehr zu einer Seite, die den Widerspruch nur vortäuscht. In Wahrheit wird die Tatsache gespeichert, dass die Ursprungsnachricht überhaupt gelesen wurde. Eine E-Mailadresse, deren Besitzer nachweislich die E-Mails liest, ist für Werbetreibende deutlich attraktiver.

Klicken Sie also nur auf Abmelde-Links, wenn Sie sich sicher sind, dass der Absender Vertrauenswürdig ist. In allen anderen Fällen hilft nur ein beherztes Löschen der E-Mail.

Ich erhalte betrügerische Mails, die angeblich von mir bekannten Personen stammen.

Ähnlich wie bei einem Brief, bei dem der Urheber jeden beliebigen Absender auf den Umschlag schreiben kann, ermöglichen auch E-Mails die Benutzung beliebiger Absenderadressen.

Wenn in E-Mail-Konten oder Server eingebrochen wird, erbeuten die Angreifer oft Adressen mit Kontext: Sie wissen dann, wer mit wem in Kontakt stand und können diese Information später nutzen. Dazu werden Betrugsmails mit Absendern versehen, von denen der Angreifer weiß, dass sie einmal in Kontakt mit dem Betrugsopfer standen. Dadurch soll die Wahrscheinlichkeit erhöht werden, dass die Empfänger auf Links in der Nachricht klicken oder Anhänge öffnen.

Helfen kann hier nur gesunde Skepsis. Die Tatsache, dass Absender bekannt sind, bedeutet nicht viel. Wenn Inhalt oder Ausdrucksweise der Mail auffällig von der bisherigen Konversation abweichen, sollte man hellhörig werden. Bei Zweifeln hilft dann nur eine Rückfrage beim vermeintlichen Absender, ob die Nachricht echt ist.

In eingen Fällen können Sie schon an Kopfzeilen oder in der Übersicht neu eingegangener Nachrichten sehen, dass etwas nicht stimmt:
Steht dort beispielsweise als Absender "Landeshauptstadt Kiel <info @ advertising-ABCD . efg>", so wird diese Nachricht nicht von der Stadt Kiel stammen, denn diese nutzt kaum die (fiktive) Firma advertising-ABCD zum Versand ihrer E-Mails. Das gleiche gilt, wenn anstelle von Landeshauptstadt Kiel der Name eines Bekannten, dahinter aber eine völlig unbekannte oder untypische E-Mail-Adresse steht. Wieder gilt: gesunde Skepsis.

Kann schon das Lesen einer Mail auf meinem Computer Schaden anrichten?

Im Allgemeinen ist das bloße Anzeigen einer E-Mail ungefährlich. Voraussetzung ist, dass aktive Inhalte wie JavaScript nicht automatisch ausgeführt und externe Inhalte nicht nachgeladen werden. Sind diese Bedingungen erfüllt, kann eine Mail keinen Schaden anrichten, wenn sie angezeigt wird. Links in der Nachricht oder Angänge sollten aber unter keinen Umständen angeklickt werden, wenn Zweifel am wahren Urheber der Nachricht bestehen.

 

Für weitere Informationen zum Thema empfehlen wir die Seiten des Bundesamtes für Sicherheit in der Informationstechnologie (BSI):

Drei Sekunden für mehr E-Mail-Sicherheit _[Extern]

Der Kompetenzverbund Software Systems Engineering (KoSSE) und das Unabhängige Landeszentrum für Datenschutz (ULD) haben am 14. November 2018 einen gemeinsamen Workshop zur neuen Datenschutz-Anforderung „Data Protection by Design“ durchgeführt.

Das Urteil des Gerichtshofs der Europäischen Union (EuGH) vom 05.06.2018 hat klargestellt: Facebook-Fanpage-Betreiber sind gemeinsam mit Facebook für den Datenschutz verantwortlich. Nun stellt sich die Frage: Was ist zu tun?

Der Bayerische Landesbeauftragte
für den Datenschutz

EU Court of Justice confirms the position of Schleswig-Holstein data protection authority: Administrators of Facebook Pages are jointly responsible for data processing operations of Facebook

Urteil des Gerichtshofes (Große Kammer) vom 5. Juni 2018

Rückblick: Am 25. Februar 2016 hat das Bundesverwaltungsgericht in dem Verwaltungsrechtsstreit zwischen der Wirtschaftsakademie Schleswig-Holstein GmbH (WAK) und dem Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD) sechs Vorlagefragen an den Gerichtshof der Europäischen Union (EuGH) gerichtet.

Dieses Kurzpapier der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz – DSK) dient als erste Orientierung insbesondere für den nicht-öffentlichen Bereich, wie nach Auffassung der DSK die Datenschutz-Grundverordnung (DS-GVO) im praktischen Vollzug angewendet werden sollte. Diese Auffassung steht unter dem Vorbehalt einer zukünftigen - möglicherweise abweichenden - Auslegung des Europäischen Datenschutzausschusses.