Die DSGVO und die Abmahnungen – Was wir wissen und was nicht

Seit 25. Mai gilt die Datenschutz-Grundverordnung (DSGVO). Das hat nun jeder mitbekommen, nicht nur weil sie jeden betrifft, sondern auch weil von interessierter Seite auch ordentlich die Werbetrommel gerührt wurde und wird: Ab 25. Mai hagelt es horrende Bußgelder und Abmahnungen! Wer jetzt nicht handelt, ist verloren! Und ja: Das Klappern gehört zum Handwerk. Auch bei Juristen. Auf diese Aussage kann man sich wohl einigen. Alles was darüber hinausgeht, sind Stilfragen, über die man streiten kann. Das möchte ich hier und heute aber gar nicht. Es geht mir um die Frage an sich:

Droht nun die DSGVO-Abmahnwelle? Oder ist das alles Quatsch?

Mehr erfahren

Jurafunk Nr. 152: Dashcams und Neues zur DSGVO

Bereits Ende Mai, wenige Tage vor dem magischen Datum “25.5.2018”, dem Beginn der Anwendung der Datenschutzgrundverordnung (DSGVO) gab es noch eine aktuelle Jurafunk-Folge zu genau diesem Thema. Es gab Gesprächsbedarf zwischen den beiden Rechtspodcastveteranen Krasemann & Dirks:

In den Tagen davor waren verschiedene Detailfragen zum neuen Datenschutzrecht durch die Medien gegeistert, wie zum Beispiel eine Veröffentlichung der “DSK” zum Thema “Cookies”, die besprochen werden mussten.

Da fast gleichzeitig Der BGH zur Frage der Verwertung von Dashcam-Aufnahmen im Zivilprozess entschied (BGH, Urt. v. 15.5.2018, VI ZR 233/17), entstand spontan und kurzfristig diese “Spezial”-Folge, zu der es aus Zeitgründen leider weder Inhaltsverzeichnis noch Shownotes gibt.

DSGVO: Was haben die Brüsseler jemals für uns getan?

Am 25. Mai beginnt ein neues Zeitalter: Die Datenschutzgrundverordnung (DSGVO) gilt – für viele irgendwie unvorhergesehen – in ihrer ganzen Pracht. Meine April-Kolumne in der Mac-Life befasst sich daher noch einmal mit den Änderungen im Datenschutz. Dankenswerter Weise hat der Verlag sie gerade kostenlos zugänglich gemacht, weswegen ich die Gelegenheit nutze und noch schnell auf sie hinweisen möchte.

Jurafunk Nr. 151: Frivoles Plaudern über die Datenschutzgrundverordnung (DSGVO)

Es ist Jurafunk-Woche! In Folge 151 des Krasemann-Dirksschen Podcastexperiments wird über die Datenschutzgrundverordnung (DSGVO) geplaudert. Das an sich kann bereits als Provokation gelten, denn die öffentliche und veröffentlichte Meinung zum großen Datenschutz-Armageddon, das am 25. Mai über Europa hereinbricht, lässt sich mit folgendem Trailer zu Roland Emmerichs Weltuntergangs-Epos “2012” gut veranschaulichen. Man ersetze jeweils gedanklich “2012” durch “2018”:

“Naja, wird eben alles nicht so heiß gegessen wie es gekocht wird”, hilft da vielleicht nicht viel weiter. Aber vielleicht hilft Ihnen die in geradezu frivoler Weise zur Schau gestellte Gelassenheit von Krasemann & Dirks zumindest über diesen Tag. Inhaltlich gibt es dazu noch den ein oder anderen Hinweis, was sich ändert und wo vielleicht auch Sie noch mal “ran” müssen.

Wir wünschen viel Vergnügen (und sei es auch ein gruseliges) mit Jurafunk Nr. 151:

 

Jurafunk Nr. 151 – Inhalt

0’00” – Intro: 150. Mal Jurafunk, schon wieder! / Mikro in der Tasse
1’05” – wovon man sich bald trennen muss
2’00” – Am 25. Mai 2018 kommt die neue DSGVO. Konnte man damit rechnen?
2’00”  – Waren die alten Datenschutzvorschriften denn nicht mehr gut? Was passiert jetzt mit TMG, BDSG & Co?
15’09” – Was ändert sich konkret? Für den kleinen Mann?
16’20” – 20 Millionen Euro oder 4% des Umsatzes Bußgeld
17’00” – Prinzipien der Datenverarbeitung – Art.  5 DSGVO
23’50 – Transparenz, Art. 13 DSGVO
27’55” – Besondere Datenkategorien (Art. 9) und Datenschutzfolgenabschätzung (Art. 35 DSGVO).
32’55” – Auftragsverarbeitung Art. 28, 29 DSGVO
37’07” – Noch ein bisschen was zur Einwilligung, Art.6 Abs. 1 lita, 7 DSGVO
42’00” – Ourtro: Autokorsi an der Kieler Holstenstraße

Hinweise und Notizen zu Folge 151:
Die Füchse unter den Hörern haben es gemerkt: Es handelte sich nicht um die 150. sondern bereits um die 151. Jurafunk-Folge | Was Verordnungen (in Deutschland) sind, steht in Art. 80 GG | Die Glückszahl 13 bezieht sich auf § 13 des Telemediengesetzes einerseits und Art. 13 DSGVO andererseits | in der Kieler Holstenstraße sitzt das Unabhängige Landeszentrum für den Datenschutz (ULD).

Das Ende von Facebook-Fanpages? – Schlussanträge des Generalanwalts

Der Generalanwalt Yves Bot ist am Ende Oktober in seinen Schlussanträgen am Europäischen Gerichtshof (EuGH) zu dem Ergebnis gekommen, dass „die Wirtschaftsakademie für die in der Erhebung von personenbezogenen Daten durch Facebook bestehende Phase der Verarbeitung gemeinsam mit Facebook verantwortlich ist“ (Rn. 42; ECLI:EU:C:2017:796; Rechtssache C- 210/16).

Zu Grunde liegt ein Sachverhalt aus dem Jahr 2011. Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) hatte der Wirtschaftsakademie Schleswig-Holstein gegenüber angeordnet ihre Facebook-Fanpage zu deaktivieren. Die Besucher der Facebook-Fanpage sind nicht darüber unterrichtet worden, dass ihre personenbezogenen Daten von Facebook mittels Cookies erhoben werden. Dies stelle einen datenschutzrechtlichen Verstoß dar. Weder das Verwaltungsgericht Schleswig (09.10.2013) noch das Oberverwaltungsgericht Schleswig (04.09.2014) folgten der Ansicht des ULD, dass datenschutzrechtliche Verstöße in der Verantwortung der Wirtschaftsakademie liegen. Das Bundesverwaltungsgericht hat die Revision des ULD ausgesetzt und dem EuGH Rechtsfragen zur Auslegung der maßgeblichen Datenschutzrichtlinie (Richtlinie 95/46/EG) zur Entscheidung vorgelegt (BVerwG, Beschluss vom 25.02.2016 – 1 C 28.14 [ECLI:DE:BverwG:2016:250216B1C28.14.0]). Nun liegen nach der mündlichen Verhandlung die Schlussanträge des Generalanwalts vor. Diese darin enthaltenen Entscheidungsvorschlägen folgt der EuGH häufig – ohne daran gebunden zu sein.

Der Generalanwalt kommt insbesondere zu dem Schluss, dass die Wirtschaftsakademie bzw. Betreiber entsprechender Facebook-Fanpages datenschutzrechtlich (mit-)verantwortlich sind. Die Verantwortlichkeit der Wirtschaftsakademie werde auch nicht dadurch ausgeschlossen, dass sie selbst Nutzerin von Facebook-Tools ist. Eine Mitverantwortlichkeit bei der Erhebung der Nutzerdaten durch Facebook bliebe begründet. Die Wirtschaftsakademie entscheide über die Zwecke und Mittel der Datenverarbeitung, da sie tatsächlichen und rechtlichen Einfluss hierauf ausübe. Der Betreiber einer Facebook-Fanpage ermögliche die Verarbeitung der Daten durch das Eröffnen einer Fanpage und könne ebenso durch das Schließen dieser, das Ende der Datenverarbeitung bestimmen. Durch die Nutzung von Facebook-Insights (Bsp. Besucherstatistiken) nimmt ein Fanpage-Betreiber an dem Entscheidungsprozess über die Verarbeitung von personenbezogenen Daten teil. Als Betreiber einer Facebook-Fanpage steuere die Wirtschaftsakademie durch Festlegen von Kriterien, welche Daten eines Zielpublikums erhoben werden. Der Betreiber einer Facebook-Fanpage kann also nicht einfach die Hände heben und die Verantwortlichkeit auf Facebook abwälzen.

Ein Ausschluss der Verantwortlichkeit kommt auch nicht etwa dadurch zu Stande, dass die Bedingungen zur Datenverarbeitung einseitig durch Facebook gestellt und nicht verhandelt wurden. Der Abschluss des Vertrages wird dadurch nicht weniger freiwillig und eine datenschutzrechtliche Verantwortung für die Datenverarbeitung nicht ausgeschlossen. Der Generalanwalt möchte ein Hin- und Herschieben von Verantwortlichkeit verhindern, denn sonst genüge es im Zweifel, dass „ein Unternehmen die Dienstleistungen eines Dritten nutzt, um sich seinen Verpflichtungen im Bereich des Schutzes personenbezogener Daten zu entziehen“.

Die weiteren Ausführungen des Generalanwalts zum anwendbaren Recht, der Frage des Herkunftslandprinzip oder one-stop-shops werden ab dem 25. Mai 2018 durch die Datenschutz-Grundverordnung (DSGVO) geregelt (Vgl. Rn. 103; ECLI:EU:C:2017:796; Rechtssache C- 210/16). Die Anwendung des deutschen Rechts, die Zuständigkeit des ULDs und die Inanspruchnahme der Wirtschaftsakademie seien in diesem Fall aber nicht zu beanstanden.

Da der Sachverhalt nun bereits einige Jahre alt ist, bleibt abzuwarten welche Folgen eine dem Generalanwalt entsprechende Entscheidung des EuGH für aktuelle Facebook-Fanpages hat. Durch eine solche Entscheidung würden keine datenschutzrechtlichen Verstöße durch Facebook und Fanpage-Betreiber festgestellt, sondern zunächst „lediglich“ eine gemeinsame Verantwortung für die Verarbeitung von personenbezogenen Daten. Ein Fanpage-Betreiber könnte sich dann nicht mehr ohne Weiteres seiner datenschutzrechtlichen Verantwortung entziehen. Inwiefern Facebook und Fanpage-Betreiber inzwischen Informations- und Aufklärungspflichten nachkommen, muss im Einzelfall entschieden werden.