Die Facebook DSGVO Misere

Im Juni letzten Jahres wurde vom obersten EU Gerichtshof festgestellt das Facebook Fanpages nicht datenschutzkonform betrieben werden können. Dies kommt durch eine Facebook Tracking Funktion namens Insights zustande. Der Gerichtshof vertritt den Standpunkt das beide Parteien also sowohl Facebook als auch der Fanpagebetreiber eine gemeinsame Verantwortung gegenüber den Besucher der Fanpage haben. Aus diesem Grunde greift hier der Art.26 DSGVO.

Als Grundlage kann hier eine vertragliche Vereinbarung in Betracht kommen. Facebook hat mittlerweise seine AGB´s dementsprechend angepasst. Also alles wieder gut? Leider nicht denn der Konzern mit dem Daumen Nach Oben Symbol behält sich vor die AGB´s jederzeit anzupassen. Grundsätzlich ist dies ein Schritt in die richtige Richtung. Doch ohne die Möglichkeit von Fanpage Betreibern gegen Anpassungen intervenieren zu können, bleibt doch ein fader Beigeschmack und wenig Rechtssicherheit übrig. Denn das Tracking Tool Insight lässt sich immer noch nicht deaktivieren.

Was können Fanpage Betreiber nun für Maßnahmen ergreifen ob das Risiko gegen die DSGVO zu verstossen zu minimieren?

Grundsätzlich ist es eine gute Idee eine Opt-In Möglichkeit auf Ihrer eigenen Webseite zu erstellen. Diese sollte klar machen, das bei Zugriff auf Ihre Facebook Page ein Tracker (Insight) mitläuft. Ebenfalls benötigen Sie diesen Hinweis in Ihrer Datenschutzerklärung. Zusätzlich können Sie ebenfalls in Ihrer Datenschutzerklärung darauf hinweisen das Facebook der Verantwortliche für den Tracker Insights ist. Und damit auch für die Speicherung der übermittelten Daten. Sie als Webseitenbetreiber haben keine Möglichkeit Entscheidungen bezüglich der Datenverarbeitung von Facebook zu treffen. Auf Ihrer Facebook DSGVO Page sollten Sie ebenfalls einen Link zu Ihrer Datenschutzerklärung platzieren.

Ist denn dies nun alles rechtssicher? Wahrscheinlich nicht – und wahrscheinlich wird Facebook auch kein großes Interesse daran haben noch weiter auf die Page Betreiber zu zugehen. Denn es besteht nach wie vor keine Rechtsgrundlage für die Verarbeitung. Doch dieses Jahr wird noch die ePrivacy Verordnung der EU veröffentlicht. Diese wird hoffentlich eine klare Regelung treffen und somit die Rechtssicherheit für Facebook Page Betreiber wieder herstellen.

Unsere Datenschutzberatung am Bodensee wird bis in die höchste Unternehmensebene gelebt.

Datenschutz stellt einen kontinuierlichen Prozess dar. Wie bei jeden lebendem Prozess in einem Unternehmen benötigt auch dieser eine regelmässige Überprüfung um potentielle Verbesserungen heben zu können. Auch hierbei kann die machCon Sie unterstützen. Im Bereich Prozessmanagement und Neuausrichtung Ihrer Unternehmensprozesse haben wir erfahrene Berater welche Sie gerne unterstützen.

Um diese Prozesse greifbarer zu machen nutzen wir das bekannte und anerkannte PDCA Modell. (Plan – Do – Check – Act).

Im Kern dieses Modells befinden sich die drei wichtigsten Prozesse wieder, welche im Datenschutz ausgemacht werden können: Datenverarbeitung, Datenschutzverletzungen sowie die Betroffenenrechte. Diese drei Datenschutzprozesse stellen betriebswirtschaftliche gesehen die Ablauforganisation dar.

Doch wo es eine Ablauforganisation gibt ist eine Aufbauorganisation auch nicht verkehrt. Diese könnte datenschutzrechtlich durch die Datenschutzziele, definierte Datenschutz Governance Strukturen sowie die Datenschutzleitlinie definiert werden.

Diese Kernprozesse des Datenschutzes sollten einen hohen Stellenwert im gesamten Unternehmen einnehmen. Daher empfehlen wir den Datenschutz als eines der Unternehmensziele zu definieren. Auf diese Weise wird dieser nicht nur als unliebsames Stiefkind betrachtet sondern erhält die Aufmerksamkeit die ihm zusteht und zwar auf höchster Ebene.

Es erfordert immer etwas Anstrengung die Wichtigkeit dieses Vorgehens zu verdeutlichen und die Vorteile herauszuarbeiten. Bisher konnten wir diesen Bereich unseres Datenschutz Vorgehens bei vielen Firmen am Bodensee etablieren. So stehen die Datenschutzziele nun auf der gleichen Ebene wie beispielsweise die Finanziellen Ziele oder die Marketing Ziele.

Gerne stehen wir für weitere Informationen zu unserer Datenschutzberatung am Bodensee und darüber hinaus zur Verfügung. Für unsere deutschen Kunden sind wir stets gut erreichbar an unserem Standort in Engen. Für Kunden in der Schweiz sind wir in unseren Niederlassungen in Zug und in Basel verfügbar.

Unsere Vorgehensweise passt für kleine und mittelständische Unternehmen sowie Handwerksunternehmen. Dieser ist jedoch skalierbar ausgelegt und kann somit einfach auch für Gruppen und Konzerne eingesetzt werden.

Gilt die DSGVO auch für kleine Unternehmen und kleine Selbständige?

Die Antwort muss „leider Ja“ lauten. Denn die DSGVO gilt für jede Person oder Organisation, welche personenbezogene Daten elektronisch oder nicht automatisiert in einer strukturierten Ablage verarbeitet.  Die einzige Ausnahme: wenn diese Daten in einem persönlichen oder familiären Umfeld verarbeitet werden (teilweise auch einige staatliche Aktivitäten).

Betroffen von der DSGVO sind also unter anderen:

• Vereine
• Verbände
• Unternehmen
• Parteien
• Stiftungen
• Einrichtungen des Bundes, Länder, Kommunen
• Körperschaften des öffentlichen Rechts
• Ein Personen Unternehmen

Die Vorschriften der DSGVO sind also vom weltweiten Konzern bis zum kleinsten Unternehmer gleichermaßen einzuhalten.

 

Deutschland hat doch bereits ein hohes Datenschutz Niveau: Der Gesetzgeber sorgt schon für Außnahmen

Das stimmt – und auch wieder nicht. Deutschland hat seit vielen Jahren eines der striktesten Datenschutzgesetze. Allerdings wird der Gesetzgeber kaum Ausnahmen gegenüber der DSGVO zulassen. Warum? Weil die DSGVO keine Richtlinie der EU ist welche durch den nationalen Gesetzgeber in ein Gesetz übersetzt werden muss. Die DSGVO ist eine Verordnung. Diese gilt unmittelbar und zwar vor nationalem Recht. Deutschland kann also eine EU Verordnung weder abschwächen noch aufheben. Es gibt allerdings sogenannte Öffungsklauseln welche von der EU dafür vorgesehen wurden mit nationalen Gesetzen zu erweitern (z.B. Arbeitnehmerdatenschutz).

 

Ändert die DSGVO überhaupt etwas?

Die bereits bekannten Prinzipien des Datenschutzes aus dem alten BDSG (Bundesdatenschutzgesetz) sind tatsächlich in großen Bereich unverändert geblieben. Die Neuerungen fanden eher versteckt unter der Oberfläche statt. Die dabei wichtigsten Neuerungen umfassen:

• Die extensive Dokumentationspflicht: also die Möglichkeit jederzeit das Einhalten der DSGVO nachweise zu können
• Datenschutzorganisation: es muss sichergestellt werden das durch eine geeignete Organisation die Einhaltung des Datenschutzrechts systematisch im Unternehmen kontrolliert werden kann

 

Wir (Ich) verarbeite doch überhaupt keine personenbezogenen Daten…

Hierzu muss man in die DSGVO selber reinschauen und zwar in den Artikel 4 Nr.1. Hier werden personenbezogene Daten als „alle Informationen die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen“. Diese Personen können also Mitarbeiter, Kunden oder Lieferanten sein. Es kommt also nur auf den Status als natürliche Person an – nicht auf die Beziehung zu Unternehmen.

Identifizierbar wird eine Person wenn zum Beispiel durch die Kombination von mehreren Merkmalen Rückschlüsse auf die Person getätigt werden können:

• Email Adresse
• IP-Adresse
• Kundennummer
• Mitarbeiternummer
• Telefonnummer
• Video und Sprachaufzeichnungen etc..

In der täglichen Praxis wären also (fast) alle Daten personenbezogen von der Rechnung hin zum Besucher der Webseite.