07

Kernpunkte:

  • Facebook-Fanpages
  • Verbraucherschutzvorschriften über digitale Produkte

 

7    Neue Medien

7.1          Gutachten zur datenschutzrechtlichen Konformität des Betriebs von Facebook-Fanpages

Im vergangenen Berichtszeitraum informierte das ULD über die Beendigung des Rechtsstreits zum Betrieb von Facebook-Fanpages (40. TB, Tz. 7.3). Das OVG Schleswig hatte mit Urteil vom 25.11.2021 entschieden, dass die Deaktivierungsanordnung aus dem Jahr 2011 rechtmäßig war. Die Adressatin der Anordnung reagierte konsequent und schaltete die von ihr betriebene Facebook-Fanpage ab.

Ein von der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) eingesetztes Arbeitsgremium (Taskforce Facebook-Fanpages) befasste sich in der Folge mit den im Rechtsstreit ergangenen Entscheidungen der durchlaufenen gerichtlichen Instanzen und prüfte die aktuellen Datenverarbeitungen und Prozesse im Zusammenhang mit den Facebook-Fanpages unter Berücksichtigung der Facebook-Datenrichtlinien und der bestehenden Gesetzeslage. Das ULD unterstützt die Arbeit der Taskforce Facebook-Fanpages und war an der Erstellung des Kurzgutachtens maßgeblich beteiligt. Ein besonderes Augenmerk legte das Autorenteam auf die Anwendung des Telekommunikation-Telemedien-Datenschutz-
Gesetzes (TTDSG) in Bezug auf den Einsatz von Cookies. Das Kurzgutachten liegt inzwischen in einer aktualisierten Fassung vor.

Prozesse und Verarbeitungen von personenbezogenen Daten, die im Rahmen des Kurzgutachtens vordergründig berücksichtigt werden, sind folgende:

  • Speichern und Auslesen eines Cookies und nachfolgendes Verarbeiten personenbezogener Daten in Form der Verknüpfung der Nutzungsdaten mit den zuvor von den registrierten Nutzerinnen und Nutzern im Rahmen des Registrierungsprozesses hinterlegten Informationen zu Statistiken (sogenannten Insights) mittels des c_user-Cookies,
  • Setzen und Auslesen eines Cookies und nachfolgende Verarbeitungen personenbezogener Daten u. a. in Form der Verknüpfung der Nutzungsdaten zu Statistiken (sogenannten Insights) mittels des datr-Cookies,
  • Setzen und Auslesen eines Cookies und nachfolgende Verarbeitungen personenbezogener Daten in Form der Verknüpfung der Nutzungsdaten zu Zwecken der Profilerstellung und – aufbauend darauf – zielgerichteten Ansprache und Werbung (Targeting) mittels des frCookies u. a.

Die Taskforce Facebook-Fanpages gelangt bei ihren Prüfungen zu folgenden Ergebnissen:

  • Durch die Bereitstellung einer Fanpage übernimmt die die Fanpage betreibende Stelle die Rolle eines Anbieters von Telemedien im Sinne des § 2 Abs. 2 Nr. 1 TTDSG. Dadurch ergibt sich nach § 25 Abs. 1 TTDSG die Pflicht, eine wirksame Einwilligung für das Speichern von Informationen in den Endeinrichtungen der Nutzerinnen und Nutzer sowie den Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, für nicht im Sinne des § 25 Abs. 2 Nr. 2 TTDSG unbedingt erforderliche Cookies einzuholen. Eine solche Einwilligung wird beim Betreiben einer Facebook-Fanpage nicht eingeholt.
  • Darüber hinaus besteht aufgrund sich ergänzender Interessen der Betreiberinnen und Betreiber von Fanpages und Meta eine gemeinsame Verantwortlichkeit mindestens für die Verarbeitung der auf Basis der gesetzten Cookies erhobenen personenbezogenen Daten. Diesbezüglich sind keine wirksamen Rechtsgrundlagen gegeben.
  • Die sich aus Artikel 13 DSGVO ergebenden Informationspflichten werden nicht hinreichend erfüllt.

Das Kurzgutachten ist unter folgendem Link abrufbar:

https://www.datenschutzkonferenz-online.de/media/weitere_dokumente/Kurzgutachten_Facebook-Fanpages_V1_1_clean.pdf
Kurzlink: https://uldsh.de/tb41-7-1

Das ULD stellte folglich einen datenschutzrechtlichen Verstoß fest und erteilte dem Unternehmen Maßgaben, in welchem Rahmen personenbezogene Daten der Kundinnen und Kunden verarbeitet werden dürfen und dass der Grundsatz der Zweckbindung der Datenverarbeitung einzuhalten ist.

Was ist zu tun?
Die Erläuterungen und Ergebnisse der Analyse in dem Kurzgutachten zeigen, dass der Betrieb von Facebook-Fanpages auch unter Berücksichtigung der aktuellen tatsächlichen Begebenheiten und rechtlichen Anforderungen derzeit nicht rechtskonform möglich ist: Es fehlen vor allem wirksame Einwilligungserklärungen der Nutzerinnen und Nutzer hinsichtlich deren Daten, die beim Besuch von Facebook-Fanpages erhoben und weiterverarbeitet werden. Ferner fehlt bis zum heutigen Tag eine transparente und ausreichende Vereinbarung zur gemeinsamen Verantwortung von Fanpage betreibenden Stellen und Meta. Zudem mangelt es an Pflichtinformationen zur Datenverarbeitung im Zusammenhang mit den Fanpages. Betreiberinnen und Betreiber von Facebook-Fanpages sind aufgerufen, sich ernsthaft die Frage eines Weiterbetriebs zu stellen. Die bestehenden Rechtsverstöße sind evident.

 

7.2          Auswirkungen der neuen Verbraucherschutzvorschriften über digitale Produkte

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat zu den neuen Vorschriften zu Verbraucherverträgen über digitale Produkte einen Beschluss gefasst. Die zugrunde liegenden rechtlichen Bestimmungen des Bürgerlichen Gesetzbuchs (BGB) sind am 1. Februar 2022 in Kraft getreten. Der Begriff der „digitalen Produkte“ ist weit gefächert. Erfasst werden u. a. Softwarelösungen, Cloud-Services oder digitale Unterlagen.

Die neuen Vorschriften werfen die Frage auf, ob mit deren Anwendung Vorgaben des europäischen Datenschutzrechts eingeschränkt werden. Diese Thematik gewinnt vor allem dann an Bedeutung, wenn ein Verbraucher einem Unternehmer personenbezogene Daten zur Verfügung stellt und zu prüfen ist, ob dies im Rahmen einer Leistungspflicht erfolgt. Im Ergebnis bleiben sowohl die Datenschutzvorschriften der DSGVO als auch jene des Telekommunikation-Telemedien-Datenschutz-Gesetzes (TTDSG) unberührt.

§ 312 Abs. 1a BGB
 Die Vorschriften [] sind auch auf Verbraucherverträge anzuwenden, bei denen der Verbraucher dem Unternehmer personenbezogene Daten bereitstellt oder sich hierzu verpflichtet. Dies gilt nicht, wenn der Unternehmer die vom Verbraucher bereitgestellten personenbezogenen Daten ausschließlich verarbeitet, um seine Leistungspflicht oder an ihn gestellte rechtliche Anforderungen zu erfüllen, und sie zu keinem anderen Zweck verarbeitet.

Der Gesetzgeber hat zur Bereitstellung personenbezogener Daten in § 312 Abs. 1a BGB eine Aussage getroffen.

Die DSK hat hierzu ausgeführt, dass die Verarbeitung personenbezogener Daten im Rahmen von Geschäftsmodellen (z. B. „Bezahlen mit Daten“) nach den gesetzlichen Erlaubnistatbeständen gemäß Art. 6 Abs. 1 Buchst. a, b oder f DSGVO zulässig sein muss und auch die sonstigen Anforderungen der DSGVO erfüllt sein müssen. Die neuen Verbraucherschutzvorschriften des BGB stellen keine eigene Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten dar.

Weiterhin wird verdeutlicht, dass die Ausübung von Rechten betroffener Personen, wie etwa die Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruchsrecht, keinen Einfluss auf die Wirksamkeit eines Vertrags über digitale Produkte haben. Dies ergibt sich aus § 327q Abs. 1 BGB.

§ 327q Abs. 1 BGB
 Die Ausübung von datenschutzrechtlichen Betroffenenrechten und die Abgabe datenschutzrechtlicher Erklärungen des Verbrauchers nach Vertragsschluss lassen die Wirksamkeit des Vertrags unberührt.

Die DSK hat die maßgeblichen Punkte wie folgt zusammengefasst:

  • Die §§ 327 ff. BGB sind nur anwendbar, wenn ein Vertrag über digitale Produkte geschlossen wurde.
  • Wurde zwischen dem Unternehmen und dem Verbraucher ein Vertrag über digitale Produkte geschlossen, ist jede Verarbeitung von personenbezogenen Daten im Zusammenhang mit dem geschlossenen Vertrag nur rechtmäßig, wenn sie auf eine Rechtsgrundlage der Datenschutz-Grundverordnung gestützt werden kann.
  • § 327q BGB trifft keine Aussage zu den Auswirkungen der zivilrechtlichen Verbraucherschutzvorschriften auf das Datenschutzrecht. Es werden nur umgekehrt die zivilrechtlichen Auswirkungen auf den Verbrauchervertrag festgelegt, wenn Verbraucher von ihren datenschutzrechtlichen Rechten Gebrauch gemacht haben, eine Einwilligung zu widerrufen oder einer Datenverarbeitung, die auf Art. 6 Abs. 1 Buchst. f DSGVO gestützt wird, gemäß Artikel 21 DSGVO zu widersprechen.
  • Die neuen Verbraucherschutzvorschriften im BGB haben keine Auswirkungen auf die Anwendung von § 25 TTDSG.

https://www.datenschutzkonferenz-online.de/media/dskb/20221129_dskb_08_Beschluss_Verbrauchervorschriften.pdf
Kurzlink: https://uldsh.de/tb41-7-2

 

Zurück zum vorherigen Kapitel Zum Inhaltsverzeichnis Zum nächsten Kapitel