07

Kernpunkte:

  • Entscheidung des Bundesverwaltungsgerichts zu Facebook-Fanpages
  • Orientierungshilfe für Telemedienanbieter

 

7    Neue Medien

7.1          Entscheidung des Bundesverwaltungsgerichts zu Facebook-Fanpages

Nachdem der Gerichtshof der Europäischen Union (EuGH) mit Urteil vom 5. Juni 2018 eine gemeinsame datenschutzrechtliche Verantwortlichkeit von Facebook-Fanpage-Betreibern und Facebook angenommen hatte (37. TB, Tz. 7.1), wurde diese Beurteilung durch das Bundesverwaltungsgericht (BVerwG) in Leipzig mit Urteil vom 11. September 2019 bestätigt. Das BVerwG machte deutlich, dass sich das ULD zur Durchsetzung des vom europäischen Gesetzgeber intendierten hohen Datenschutzniveaus vom Gedanken der Effektivität leiten lassen durfte und dabei ermessensfehlerfrei entscheiden konnte, dass die Wirtschaftsakademie Schleswig-Holstein ihre Facebook-Fanpage deaktivieren muss.

Das ULD durfte nach den Ausführungen des Gerichts gerade auch die Wirtschaftsakademie Schleswig-Holstein zur Verantwortung ziehen. Ein Vorgehen gegen Facebook selbst oder gegen Untergliederungen von Facebook war demnach nicht geboten. Das Gericht sah in der Anordnung der Deaktivierung der Facebook-Fanpage ein verhältnismäßiges Mittel.

Das Oberverwaltungsgericht Schleswig hatte zunächst eine datenschutzrechtliche Verantwortung der Wirtschaftsakademie Schleswig-Holstein abgelehnt. Das BVerwG hat das entsprechende Berufungsurteil aufgehoben und den Rechtsstreit zur näheren Beurteilung der Rechtswidrigkeit der Datenverarbeitung und Aufklärung der tatsächlichen Umstände an das Oberverwaltungsgericht Schleswig zurückverwiesen. Die Beurteilung der Rechtswidrigkeit der Datenverarbeitung im Zusammenhang mit dem Betrieb der Facebook-Fanpage muss dabei nach den gesetzlichen Regelungen (insbesondere nach dem Telemediengesetz) erfolgen, die zum Zeitpunkt der letzten Behördenentscheidung im Jahr 2011 galten.

Die Pressemitteilungen des ULD und des BVerwG sind unter folgendem Link abrufbar:

www.datenschutzzentrum.de/artikel/1299-Rueckenwind-fuer-den-Datenschutz-Bundesverwaltungsgerichtsurteil-in-Sachen-Facebook-Fanpages.html
Kurzlink: https://uldsh.de/tb38-71

Weiterhin beschäftigen wir uns auch mit den Anforderungen, die im Bereich der sozialen Medien an die gemeinsam Verantwortlichen zu richten sind. Aus diesem Grund leiten wir auch die Taskforce Facebook Fanpages der Datenschutzkonferenz.

Als Zwischenergebnis ist festzuhalten, dass der aktuelle Zustand weiterhin problematisch ist: Bisher ist nicht ersichtlich, dass Facebook-Fanpage-Betreiber und Facebook die Anforderungen an die gemeinsame Verantwortlichkeit nach Artikel 26 DSGVO erfüllen. Es fehlen bisher transparente Vereinbarungen, wer welche Verpflichtungen nach der DSGVO wahrnimmt, insbesondere im Hinblick auf die Rechte der betroffenen Seitenbesucher.

 

Was ist zu tun?
Über die Beurteilung des BVerwG hinausgehend, erfüllen bisher weder die Betreiber von Facebook-Fanpages noch Facebook die Anforderungen der Datenschutz-Grundverordnung zur gemeinsamen Verantwortlichkeit. Die Pflicht zum Abschluss transparenter Vereinbarungen nach Maßgabe von Artikel 26 DSGVO trifft nicht allein Facebook. Auch die Seitenbetreiber sind aufgefordert zu handeln.

 

7.2          Veröffentlichung der Orientierungshilfe für Anbieter von Telemedien

Das ULD erhält eine Vielzahl von Beschwerden bezüglich der Gestaltung von Webseiten bzw. der durch den Aufruf von Webseiten ausgelösten Datenverarbeitungsvorgänge. Die Beschwerden richten sich in den meisten Fällen insbesondere gegen sogenannte Cookie-Banner, die bei einem ersten Aufruf der Seite eingeblendet werden. Häufig enthalten diese sinngemäß folgenden Text:

„Mit der Nutzung dieser Website erklären Sie sich damit einverstanden, dass wir Cookies verwenden.“

Diese und ähnliche Cookie-Hinweise können lediglich mit einem Klick auf einem „Verstanden“ oder „OK“ bestätigt werden. Manchmal findet sich in der Nähe des Buttons ein mit „Mehr Informationen“ o. Ä. bezeichneter Link, der dann zu den allgemeinen Datenschutzerklärungen der Verantwortlichen führt.

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder hat sich bereits im Frühjahr 2019 in der „Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien“ mit der Thematik befasst. Die Orientierungshilfe kann abgerufen werden unter:

www.datenschutzkonferenz-online.de/media/oh/20190405_oh_tmg.pdf [Extern]
Kurzlink: https://uldsh.de/tb38-72a

Auszug aus der Orientierungshilfe (Hervorhebungen durch die Redaktion):

„Durch eine vorgeschaltete Abfrage beim ersten Aufruf einer Website oder einer Web-App kann u. a. eine wirksame Einwilligung für einwilligungsbedürftige [1] Datenverarbeitungen eingeholt werden. Dabei sind jedoch folgende Anforderungen zu beachten:

  • Beim erstmaligen Öffnen einer Webseite erscheint das Banner beispielsweise als eigenes HTML-Element. In der Regel besteht dieses HTML-Element aus einer Übersicht aller einwilligungsbedürftigen Verarbeitungsvorgänge, die unter Nennung der beteiligten Akteure und deren Funktion ausreichend erklärt werden und über ein Auswahlmenü aktiviert werden können. Aktivieren bedeutet in diesem Zusammenhang, dass die Auswahlmöglichkeiten nicht „aktiviert“ voreingestellt sein dürfen.
  • Während das Banner angezeigt wird, werden zunächst alle weiter gehenden Skripte einer Webseite oder einer Web-App, die potenziell Nutzerdaten erfassen, blockiert. Der Zugriff auf Impressum und Datenschutzerklärung darf durch Cookie-Banner nicht verhindert werden.
  • Erst wenn der Nutzer seine Einwilligung(en) durch eine aktive Handlung, wie z. B. das Setzen von Häkchen im Banner oder den Klick auf eine Schaltfläche, abgegeben hat, darf die einwilligungsbedürftige Datenverarbeitung tatsächlich (durch technische Maßnahmen sichergestellt) stattfinden.
  • Zur Erfüllung der Nachweispflichten des Art. 7 Abs. 1 DSGVO ist es gemäß Art. 11 Abs. 1 DSGVO nicht erforderlich, dass die Nutzer dazu direkt identifiziert werden. Eine indirekte Identifizierung (vgl. Erwägungsgrund 26) ist ausreichend. Damit die Entscheidung des Nutzers für oder gegen eine Einwilligung bei einem weiteren Aufruf der Website berücksichtigt wird und das Banner nicht erneut erscheint, kann deren Ergebnis auf dem Endgerät des Nutzers ohne Verwendung einer User-ID o. Ä. vom Verantwortlichen gespeichert werden. Durch ein solches Verfahren kann der Nachweis einer vorliegenden Einwilligung erbracht werden.
  • Da eine Einwilligung widerruflich ist, muss eine entsprechende Möglichkeit zum Widerruf implementiert werden. Der Widerruf muss so einfach möglich sein wie die Erteilung der Einwilligung, Art. 7 Abs. 3 Satz 4 DSGVO.

Verantwortliche müssen sicherstellen, dass die Einwilligung nicht nur das Setzen von einwilligungsbedürftigen Cookies umfasst, sondern alle einwilligungsbedürftigen Verarbeitungstätigkeiten, wie z. B. Verfahren zur Verfolgung der Nutzer durch Zählpixel oder diverse Fingerprinting-Methoden, wenn diese nicht aufgrund einer anderen Rechtsgrundlage zulässig sind.

Auch genügt es für eine Einwilligung im Sinne der DSGVO nicht, wenn, wie bei vielen einfachen Cookie-Bannern im Web, ein Hinweis auf das Setzen von Cookies zusammen mit einem „OK“-Button erfolgt. In diesen Fällen fehlt es an der nach Artikel 7 DSGVO erforderlichen Freiwilligkeit, wenn die betroffenen Personen zwar „OK“ drücken können, aber keine Möglichkeit erhalten, das Setzen von Cookies abzulehnen.“

Der vollständige Text ist hier verfügbar:

https://www.datenschutzkonferenz-online.de/media/wp/20180410_wp259_rev01.pdf [Extern]
Kurzlink: https://uldsh.de/tb38-72b

Nach Art. 5 Abs. 2 DSGVO sind Verantwortliche verpflichtet, die Einhaltung der datenschutzrechtlichen Vorschriften nachweisen zu können (Rechenschaftspflicht).

Die Vorgaben, denen eine wirksame Einwilligung nach Art. 6 Abs. 1 Buchst. a DSGVO genügen muss, werden in den Leitlinien des Europäischen Datenschutzausschusses zur Einwilligung dargestellt. Außerdem hat der Europäische Gerichtshofs (EuGH) mit seinem Urteil im Verfahren „Planet 49“ klargestellt, welche Anforderungen an eine Einwilligung im Sinne der DSGVO zu stellen sind:

http://curia.europa.eu/juris/document/document.jsf?text=&docid=218462&doclang=DE [Extern]
Kurzlink: https://uldsh.de/tb38-72c

Aufgrund einer Vielzahl von Anfragen, Beschwerden und Kontrollanregungen, insbesondere zur Einbindung von Analysediensten, hat die Landesbeauftragte für Datenschutz Schleswig-Holstein in einer Pressemitteilung vom November zudem darauf hingewiesen, dass Rechtsauffassungen, die unter Berücksichtigung der Rechtslage vor dem 25. Mai 2018 veröffentlicht wurden, wie z. B. die „Hinweise des HmbBfDI zum Einsatz von Google Analytics“, überholt sind und von den Aufsichtsbehörden des Bundes und der Länder nicht mehr vertreten werden.

Besonders kritisch sind Analysedienste („Analytics“, „Insights“ oder Trackingdienste), die – wie oft bereits aus deren Nutzungsbedingungen ersichtlich – eine Verarbeitung personenbezogener Daten in einem Umfang vornehmen, der über das erforderliche Maß hinausgeht oder eigenen Zwecken des Analysediensteanbieters dient. Der Einsatz eines solchen Dienstes würde – vorbehaltlich einer konkreten Prüfung im Einzelfall – auf Grundlage der Kriterien, die in der Orientierungshilfe für Anbieter von Telemedien aufgestellt worden sind, den Spielraum überschreiten, den die Rechtsgrundlage des Art. 6 Abs. 1 Buchst. f DSGVO („berechtigte Interessen“) bietet. In diesen Fällen wäre der Einsatz solcher Dienste – wenn überhaupt – nur auf Grundlage einer der anderen in Betracht kommenden Rechtsgrundlagen aus Art. 6 Abs. 1 DSGVO, wie z. B. einer wirksamen Einwilligung nach Art. 6 Abs. 1 Buchst. a DSGVO, denkbar.

 

Was ist zu tun?
Wir haben alle Webseitenbetreiber – ähnlich wie auch Kolleginnen und Kollegen des Bundes und anderer Bundesländer – per Pressemitteilung aufgefordert, die Einbindung von Analysediensten gemäß den kommunizierten Anforderungen zu überprüfen. Sind die Analysedienste nicht rechtskonform nutzbar, müssen sie deaktiviert werden.

 

Zurück zum vorherigen Kapitel Zum Inhaltsverzeichnis Zum nächsten Kapitel