Umgang mit personenbezogenen Daten

Personenbezogene Daten sind für unsere Gesellschaft heute ein Wirtschaftsfaktor, mit dem viel Profit erzielt werden kann. Hohe Profite verleiten manchen leider zu unzulässigem Datenzugriff. Der Schutz der Rechte des Einzelnen an den eigenen personenbezogenen Daten ist daher besonders wichtig. Die DSGVO beschränkt die Zulässigkeit der Datenverarbeitung wie der Erhebung und Nutzung auf festgelegte, legitime Zwecke und auf das notwendige Maß. Sind die Daten für legitime Zwecke nicht mehr notwendig, dann müssen sie nach dem Prinzip der Datenminimierung auch wieder gelöscht werden.

Welche Daten sind personenbezogen?

Personenbezogene Daten im Sinne der DSGVO sind alle diejenigen Informationen, die es erlauben, Rückschlüsse auf eine reale Person zu ziehen. Oft stellt sich schon die Frage, welche Arten von Daten dies alles umfasst. Die wichtigsten sind: Namen, Adressen, Telefonnummern, E-Mail-Adressen, Kontodaten und Kreditkartennummern sowie die IP-Adresse. Auch Unterschriften und Handschriften gehören dazu, ferner Autokennzeichen und Standortangaben, die etwa bei der Google-Maps-Suche oder bei Facebook beim Einloggen gespeichert werden.

Weitere personenbezogene Daten sind die Staatsangehörigkeit, die Religionszugehörigkeit oder eine Vereinsmitgliedschaft. Biometrische Merkmale wie die Körpergröße, die Gesichtsgeometrie, Fingerabdrücke, die Stimme oder die Regenbogenhaut der Augen, Röntgenbilder und der Zahnabdruck gehören ebenfalls dazu.

Pseudonym oder anonym?

Alle diese Daten dürfen nur verarbeitet werden, wenn ein unberechtigter Zugriff so weit wie möglich ausgeschlossen wird. Eine mögliche Sicherungsmaßnahme ist die Pseudonymisierung, wenn möglich sogar die Anonymisierung der Daten. Bei anonymisierten Daten ist die betroffene Person nicht mehr identifizierbar, was zum Beispiel bei Wahlen oder Marketingumfragen genutzt wird. Diese anonymisierten Daten fallen dann gar nicht mehr unter den Begriff „personenbezogene Daten“. Pseudonymisiert sind Daten dagegen, wenn die betreffende Person nicht mehr eindeutig zugeordnet werden kann, also z. B. Namen durch ein Pseudonym ersetzt sind.

Sie haben noch Fragen zum Umgang mit personenbezogenen Daten? Dann freuen wir uns über den persönlichen Kontakt mit Ihnen.

Technische und organisatorische Maßnahmen für den Datenschutz

Zur Unterstützung der praktischen Umsetzung von Datenschutz im Unternehmen sehen die Datenschutzgesetze die Einführung verschiedener Maßnahmen vor. Mit diesen „technischen und organisatorischen Maßnahmen“ (abgekürzt „TOM“) soll die sichere Verarbeitung von personenbezogenen Daten vereinfacht werden. Diese Maßnahmen gab es auch schon im alten Bundesdatenschutzgesetz, sie sind also keine Neuerung, die aus der DSGVO hervorgeht. Allerdings ist seit Inkrafttreten der DSGVO ihre Relevanz durch verschärfte Strafandrohungen gewachsen.

In Art. 32 DSGVO wird zum Schutz personenbezogener Daten auf die Möglichkeit der Verschlüsselung und der Pseudonymisierung der personenbezogenen Daten verwiesen, deren sichere Verarbeitung, Verfügbarkeit und Wiederherstellung nach einem Vorfall angemahnt und eine Vorgehensweise zur Überprüfung der Wirksamkeit der TOM gefordert.

Zur Verarbeitung und Speicherung von personenbezogenen Daten werden IT-Systeme verwendet, die unterschiedlichen Gefährdungen ausgesetzt sind. Nicht nur gezielte Angriffe können Schaden verursachen, auch versehentliche Datenlöschungen oder Offenlegungen gehören dazu. Um diese Risiken zu minimieren, sollen die TOM eingeführt und dokumentiert werden.

Technische Maßnahmen

Als technische Maßnahmen werden hier alle Vorkehrungen zum Schutz gegen physische Angriffe oder Datenverlust verstanden. Dazu gehört etwa die Sicherung von Gebäuden, also beispielsweise Schließsysteme und Sicherheitsschlösser in Türen und Schränken oder Alarmanlagen. Diese Systeme verhindern den Zutritt unbefugter Personen zu Räumen, in denen Daten aufbewahrt oder gespeichert werden. Ein Notstromaggregat kann im Fall eines Stromausfalls verhindern, dass Daten unwiederbringlich verloren gehen. Weitere technische Maßnahmen wie eine Firewall, eine Passwortvergabe oder ein VPN unterbinden den Zugang zu EDV-Systemen für Unbefugte, unabhängig vom Zutritt zu den Räumen, in denen sie sich befinden.

Organisatorische Maßnahmen

Organisatorische Maßnahmen geben mit festgelegten Abläufen und Prozessen einen Handlungsrahmen für den sicheren Umgang mit personenbezogenen Daten. Hierzu gehören Regeln wie die Personenkontrolle beim Pförtner, Testkonzepte nach einer Datenwiederherstellung und die Bestimmung der zugriffsberechtigten Personen für Ordnersysteme und Dateien, beispielsweise als Zugriffsmatrix. Auch Notfallpläne, eine dokumentierte Schlüsselausgabe, ein Konzept für Datenschutzschulungen und die Vertraulichkeitsverpflichtungen der Mitarbeiter sind organisatorische Maßnahmen.

Sie wünschen mehr Informationen oder professionelle Unterstützung beim Datenschutz? Dann freuen wir uns über den persönlichen Kontakt mit Ihnen.

Wann soll ich mein Passwort wechseln?

Jahrelang haben IT-Sicherheitsexperten die Ansicht vertreten, dass Passwörter regelmäßig geändert werden müssen. Mindestens einmal im Jahr oder nach einem unternehmensintern festgelegten Turnus sollte man sich ein neues Passwort ausdenken. Das konnte man sich dann natürlich nur schlecht merken. Und weil das so war, wurden die neuen Passwörter oft auf Post-it-Zettel gekritzelt und wenn auch nicht an den Monitor geklebt, so doch zumindest unter die Schreibtischauflage gelegt.

Der Zwang zum regelmäßigen Wechseln des Passworts ist also nicht sinnvoll. Wer sein Passwort ständig wechseln muss, der wählt nämlich eher schwache Passwörter. Schwache Passwörter sind typische Buchstaben oder Zahlenkombinationen, die sich leichter erraten, also „knacken“, lassen. Hacker benutzen Programme mit denen sie vollautomatisch zum Beispiel Wörterbücher und häufig auftretende Kombinationen aus Wörtern und Zahlen durchtesten. Das heißt, dass bekannte Wörter mit angehängten Zahlen recht einfach zu knacken sind. Auch Passwörter, die sehr oft verwendet werden, wie „123456“, „qwertz“, „Passwort“ oder Haustiernamen sind nicht sicher.

Benutzen Sie deswegen alle verfügbaren Zeichen, also neben Groß- und Kleinbuchstaben und Ziffern auch Sonderzeichen. Die Länge des Passworts sollte nicht kürzer als acht Zeichen sein. Aber Sie sollten sich Ihre Passwörter trotzdem gut merken können und nicht wieder auf Post-it-Zetteln notieren müssen. Es bietet sich deswegen beispielsweise an, ein Passwort aus mehreren Wörtern zusammenzusetzen und durch Sonderzeichen zu verbinden oder ganze Sätze verkürzt darzustellen. Ein starkes Passwort wäre beispielsweise: %IbdsPaZ2020& (%Ich bin das stärkste Passwort aller Zeiten2020&).

Allerdings sollte auch ein wirklich starkes Passwort nicht für unterschiedliche Accounts verwendet werden. Wenn Sie sich die verschiedenen starken Passwörter für die verschiedenen Anwendungsbereiche nicht merken können, dann können Sie einen Passwortmanager verwenden. In diesem speichern Sie die jeweiligen anderen Passwörter ab. Der Passwortmanager sollte dann aber durch ein besonders starkes Passwort abgesichert werden, denn wenn der Passwortmanager geknackt wird, sind alle ihre Zugangsdaten offengelegt.

Wenn Sie diese Regeln beachten, können Sie beruhigt auf häufige Passwortwechsel verzichten und ein gutes Passwort einige Jahre lang verwenden.

Sie möchten noch mehr zum Themen wissen? Dann freuen wir uns über den Kontakt mit Ihnen.

SEC.PRO LOG – die neue Ausgabe ist online!

BEREDI Datenschutz gibt es ab sofort auch als Newsletter. Unter dem Namen SEC.PRO LOG stellen wir in Kooperation mit der Kanzlei Roser für Sie regelmäßig ausgewählte Informationen rund um die Themen Datenschutz und IT-Sicherheit zusammen und lassen Ihnen diese als elektronische Post zukommen.

Hier finden Sie zum Download Ausgabe 2

Weihnachtsgrüße und Datenschutz

Weihnachten ist die Zeit der Besinnlichkeit. Man blickt auf das vergangene Jahr zurück und möchte sich vielleicht bei der ein oder anderen Person für die gute Zusammenarbeit bedanken und alles Gute für das kommende Jahr wünschen.

Doch geht das eigentlich noch zu Zeiten der Datenschutzgrundverordnung (DSGVO) – Weihnachtskarten versenden?

Vorüberlegung

Die DSGVO regelt den Umgang oder genauer gesagt die Verarbeitung von personenbezogenen Daten (Name, postalische Anschrift, Geburtsdatum etc.) einer natürlichen Person.

Es gelten hierbei sechs Grundsätze für die Datenverarbeitung:

1. Sie muss auf rechtmäßige Weise, nach Treu und Glauben sowie transparent erfolgen.
2. Sie darf nur für festgelegte, eindeutige und legitime Zwecke genutzt werden.
3. Sie muss dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein (Datensparsamkeit).
4. Sie muss dem Prinzip der Richtigkeit folgen.
5. Daten dürfen nur über einen begrenzten Zeitraum gespeichert werden.
6. Das Prinzip der Integrität und Vertraulichkeit muss eingehalten werden.

Bei jeder Verarbeitung von personenbezogenen Daten muss sich der Verantwortliche an die datenschutzrechtlichen Bestimmungen der DSGVO und an diese sechs Grundsätze halten. Folglich auch beim Versand von Weihnachtsgrüßen.

Rechtsgrundlage: Weihnachtskarte per Post

Der Versand von Weihnachtskarten ist eine Verarbeitungstätigkeit und benötigt folglich eine Rechtsgrundlage nach Art. 6 DSGVO. 
Zunächst kommt die Einwilligung des Empfängers nach Art. 6 Abs. 1 lit. a DSGVO in Betracht. Diese im Vorwege beim Empfänger einer Weihnachtskarte einzuholen ist eine eher unrealistische Aufgabe, die allerdings auch nicht notwendig ist. Denn die Kontaktpflege zu Bestandskunden, Kooperationspartnern usw. fällt unter Art. 6 Abs. 1 lit. f DSGVO, dem berechtigten Interesse.

Dieser Erlaubnistatbestand legitimiert eine Verarbeitungstätigkeit, wenn diese zur Wahrung berechtigter Interessen erforderlich ist und unter anderem die Interessen der betroffenen Person nicht überwiegen. Die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung, folglich auch für einen Weihnachtsgruß, kann insoweit als eine einem berechtigten Interesse dienende Verarbeitung betrachtet werden. Zudem kann ein berechtigtes Interesse auch dann vorliegen, wenn eine maßgebliche und angemessene Beziehung zwischen der betroffenen Person und dem Verantwortlichen besteht (zum Beispiel wenn die betroffene Person ein Kunde des Verantwortlichen ist).
Sofern sich der Verantwortliche also mit seiner Weihnachtskarte für die Zusammenarbeit im vergangenen Jahr bedanken möchte, so kann er sich auf das berechtigte Interesse nach Art. 6 Abs. 1 lit. f DSGVO stützen.

Rechtsgrundlage: Weihnachtsgrüße per E-Mail

Beim Versand einer weihnachtlichen Grußbotschaft per Mail gestaltet sich es allerdings anders: Der Empfänger muss vorab seine Einwilligung zum Erhalt von Werbenachrichten gegeben haben. Denn ein Weihnachtsgruß per Mail gilt ja als Werbemaßnahme.
Eine Ausnahme gibt es allerdings: Sofern ein Unternehmen im Zusammenhang mit dem Verkauf einer Ware oder der Erbringung einer Dienstleistung die E-Mail-Adresse des Kunden erhalten hat, darf er diese zur Direktwerbung – und folglich auch für den Versand eines weihnachtlichen Grußes – verwenden.

Informationspflichten

Auch beim Versand von Weihnachtskarten sind die Informationspflichten nach Art. 12 ff. DSGVO zu erfüllen. Hat der Verantwortliche den Empfänger bislang noch nicht über den (allgemeinen) Umgang mit personenbezogenen Daten informiert, so ist es an der Zeit, dies nachzuholen. Denn nur wer weiß, dass über ihn Daten verarbeitet werden und welche Rechte er hierbei hat, kann diese Rechte auch in Anspruch nehmen. 

Nachfolgende Angaben sind dabei regelmäßig zu machen:

• Name und Kontaktdaten des Verantwortlichen
• Kontaktdaten des Datenschutzbeauftragten (sofern benannt)
• Zwecke, für die die personenbezogenen Daten erhoben und verarbeitet werden
• Rechtsgrundlage
• Dauer der Speicherung
• Empfänger oder Kategorien von Empfängern
• Verarbeitungsort/Speicherort
• das Bestehen der Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruch und Datenübertragbarkeit
• das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde für Datenschutz
• ggf. das Bestehen eines Rechts, die Einwilligung jederzeit für die Zukunft zu widerrufen

Aber wie kann man dem Empfänger der Weihnachtsbotschaft diesen Informationstext ohne Aufwand zur Kenntnis geben? Auch hier empfiehlt sich die sogenannte Link-Lösung: Der Text wird auf der unternehmenseigenen Internetseite unter einer eingängigen Adresse (www.musterfirma.de/daten-schutzhinweise) veröffentlicht und dieser Link auf der Weihnachtskarte abgedruckt bzw. in der E-Mail aufgenommen.

Verarbeitungsverzeichnis

Der Verantwortliche ist nach Art. 30 Abs. 1 DSGVO dazu verpflichtet, über seine Verarbeitungstätigkeiten von personenbezogenen Daten ein Verzeichnis zu führen. Auch der Versand von Weihnachtspost sollte hier aufgenommen werden.

Praxistipp

Bevor die Weihnachtsgrüße auf Reisen gehen, ist eine Bestandsaufnahme sinnvoll.
Erstellen Sie eine Liste aller geplanten Empfänger und prüfen Sie diese nach oben genannten Kriterien: Möchten Sie sich beim Empfänger für die gute Zusammenarbeit im letzten Jahr bedanken? Ist der Empfänger im letzten Jahr noch Kunde/Dienstleister etc. gewesen? Hat der Empfänger dem Erhalt einer Direktwerbung bereits widersprochen?
Sofern Sie diese bereinigte Empfängerliste verwenden, sollte einem datenschutzkonformen Weihnachtsgruß nichts mehr im Wege stehen.

Datenschutz im Bewerbungsverfahren

Datenschutz im Bewerbungsverfahren ist für Unternehmen nichts Neues. Bereits seit 2009 ist der Beschäftigtendatenschutz geregelt. Trotz allem herrscht – spätestens seit Einführung der DSGVO im letzten Jahr – Unsicherheit in den Unternehmen, wie die datenschutzrechtlichen Anforderungen im Bewerbungsverfahren umzusetzen sind.

Im Folgenden werden die wichtigsten Maßnahmen aufgeführt, um das Bewerbungsverfahren datenschutzkonform ablaufen zu lassen:

Informationspflicht

Bereits bei der Stellenausschreibung gibt es datenschutzrechtlich etwas zu beachten: die Einhaltung der Informationspflicht. Nach Art. 12 ff. DSGVO ist der Betroffene über den Umgang mit seinen personenbezogenen Daten zu informieren. Denn nur wer weiß, dass über ihn Daten verarbeitet werden und welche Rechte er hierbei hat, kann diese Rechte auch in Anspruch nehmen.

Nachfolgende Angaben sind dabei regelmäßig zu machen:

  • Name und Kontaktdaten des Verantwortlichen
  • Kontaktdaten des Datenschutzbeauftragten, sofern benannt
  • Zwecke, für die die personenbezogenen Daten erhoben und verarbeitet werden
  • Rechtsgrundlage (vgl. unten)
  • Dauer der Speicherung (vgl. unten)
  • Empfänger oder Kategorien von Empfängern (z.B. Personalabteilung, Fachbereichsleiter oder Betriebsrat)
  • Verarbeitungsort/Speicherort
  • das Bestehen der Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruch und Datenübertragbarkeit
  • das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde für Datenschutz
  • das Bestehen eines Rechts, die Einwilligung jederzeit für die Zukunft zu widerrufen (vgl. unten, Stichwort: Bewerberpool)

Aber wie kann man dem Bewerber diesen Informationstext ohne Aufwand zur Kenntnis geben?

Hierfür gibt es eine einfache Möglichkeit, nämlich die sogenannte Link-Lösung: Der Text wird auf der unternehmenseigenen Internetseite unter einer eingängigen Adresse (www.musterfirma.de/info-bewerber) veröffentlicht. Nun kann auf den Text in der Stellenausschreibung, in der (ggf. automatisierten) Eingangsbestätigung, im Online-Bewerbungsportal etc. verwiesen werden.

Rechtsgrundlage

Auch wenn häufig und gerne gewählt: Die Bewerber müssen nicht in die Verarbeitung ihrer personenbezogenen Daten einwilligen!

Nach § 26 Abs. 1 BDSG dürfen „personenbezogene Daten von Beschäftigten für Zwecke des Beschäftigtenverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigtenverhältnisses … erforderlich ist.“ Bewerber fallen gemäß § 26 Abs. 8 Satz 2 BDSG unter den Beschäftigtenbegriff.

Die üblichen Tätigkeiten im Bewerbungsverfahren wie beispielsweise das Sichten der Unterlagen, Einladungen zum Vorstellungsgespräch etc. sind durch § 26 Abs. 1 BDSG gerechtfertigt.

In Ausnahmefällen kann es jedoch sinnvoll sein, sich vom Bewerber eine Einwilligung einzuholen. Beispiel hierfür ist die Aufnahme eines interessanten Kandidaten in einen Bewerberpool. Hier greift dann § 26 Abs. 2 BDSG.

Verarbeitungsverzeichnis

Der Verantwortliche ist nach Art. 30 Abs. 1 DSGVO dazu verpflichtet, über seine Verarbeitungstätigkeiten von personenbezogenen Daten ein Verzeichnis zu führen. Auch das Bewerbungsverfahren sollte hier aufgenommen werden.

Löschen von Bewerberdaten

Nach Abschluss des Bewerbungsverfahren sind die personenbezogenen Daten eines abgelehnten Bewerbers zu löschen, es sei denn, er hat in eine längere Speicherung (Stichwort: Bewerberpool) eingewilligt. Unternehmen müssen die Daten jedoch nicht unmittelbar löschen, da die Möglichkeit einer Klage des Bewerbers aufgrund des Allgemeinen Gleichbehandlungsgesetzes (AGG) gegen den potenziellen Arbeitgeber besteht. Als gängige Speicherdauer werden 6 Monate angesehen.

Limitierter Zugriff auf Bewerberdaten

Bewerbungsunterlagen sind im Unternehmen vertraulich zu behandeln und nur Personen zugänglich zu machen, die in die Besetzung der Stelle involviert sind. Dies sind in der Regel Mitarbeiter der Personalabteilung, der unmittelbare Vorgesetzte und die Geschäftsführung des Unternehmens.

Praxistipps

Richten Sie im Unternehmen eine eigene E-Mail-Adresse für Bewerbungen ein (bewerbung@musterfirma.de). Dieses Postfach sollte, sofern vorhanden, von den regelmäßigen Archivierungen ausgenommen werden.

Leiten Sie die Bewerbungen nicht per Mail oder Hardcopy an die Ansprechpartner im Haus weiter. Richten Sie einen Ordner auf dem Server ein, auf den nur die Mitarbeiter Zugriff haben, die in die Besetzung der Stelle involviert sind. Auch dieser Ordner ist aus den Archivierungen auszunehmen. Legen Sie die Bewerbungsunterlagen dort ab und vergeben Sie an die Zugriffsberechtigten lediglich den Lesezugriff. Ein kurzer Hinweis an die zuständigen Mitarbeiter per Mail genügt („Neuer Bewerbungseingang“).

Auf diese Weise stellen Sie sicher, dass der Zugriff auf die Bewerbungsunterlagen beschränkt ist und diese nach 6 Monaten gelöscht werden können.

Sie wünschen weitere Informationen rund ums Thema „Datenschutz beim Bewerbungsverfahren“? Dann freuen wir uns über Ihre persönliche Kontaktaufnahme.

Jessica Stehn-Bäcker, CIPP/E
Telefon +49 40 22861374
js@beredi-datenschutz.de

Jessica Stehn-Bäcker als Certified Information Privacy Professional/Europe (CIPP/E) akkreditiert

Jessica Stehn-Bäcker, Senior Consultant Datenschutz bei der BEREDI Marketing GmbH, erhielt am 5. August 2019 von der International Association of Privacy Professionals (IAPP) die führende Datenschutzzertifizierung CIPP/E. Mit dem Erwerb der Zertifizierung zeigt die Hamburger Juristin auf, dass sie über umfassende Kenntnisse zur DSGVO verfügt.

Die Zertifizierung CIPP/E umfasst: die nationalen und internationalen Datenschutzgesetze, Datenschutzterminologie, das europäische Modell zur Durchsetzung des Datenschutzes und Konzepte betreffend des Schutzes grenzüberschreitender Datenströme und personenbezogener Daten.

Die gemeinnützige Organisation IAPP ist die weltweit größte Community zum Thema Datenschutz. Im Fokus der Verbandstätigkeit stehen internationale Konferenzen, ausführliche Studien, Zertifizierungen, Schulungen und Networking-Events für Datenschutzprofis.

Kontakt:
BEREDI Marketing GmbH
Frau Jessica Stehn-Bäcker
Telefon +49 40 22861374
js@beredi-datenschutz.de

DSGVO: Landesdatenschutzbeauftragte prüft Wirtschaft

Seit Ende Juni 2018 prüft die Landesbeauftragte für den Datenschutz Niedersachsen wie gut die seit 25. Mai 2018 geltende europäische Datenschutzgrundverordnung (DSGVO) in den niedersächsischen Unternehmen angewandt wird. Im ersten Schritt sind 50 Unternehmen unterschiedlicher Größen aus verschiedenen Branchen betroffen. Diese sollen Fragen zu zehn Bereichen des Datenschutzes beantworten. Hierfür wurde ein entsprechender Fragenkatalog versandt.

Mit dieser Maßnahme möchte die Landesdatenschutzbeauftragte das Bewusstsein für Datenschutz im Allgemeinen und die Vorschriften der DSGVO stärken. Zwar ginge es zum jetzigen Zeitpunkt nicht vorrangig darum, viele Fehler zu finden, jedoch könne es natürlich zu einem entsprechenden Verfahren kommen, wenn während der Prüfung Verstöße gegen die DSGVO festgestellt würden.

Die Mitarbeiterinnen und Mitarbeiter der Datenschutzbehörde sollen die Antworten bis zum November auswerten und anschließend Vor-Ort-Termine wahrnehmen.

Sie haben noch Fragen oder benötigen Unterstützung beim Aufbau eines Datenschutzmanagementsystems für Ihr Unternehmen? Dann kontaktieren Sie uns!

DSGVO: Fanpage-Betreiber tragen Verantwortung

Weltweit nutzen zahlreiche Unternehmen und Behörden Facebook-Fanpages als Plattform, um ihre Botschaften im Internet zielgruppengerecht zu kommunizieren. Über Jahre blieb offen, ob Fanpage-Betreiber für den Datenschutz in dem Social Network mitverantwortlich sind. Das Urteil des Europäische Gerichtshofs (EuGH) vom 5. Juni 2018 bringt hier Klarheit. „Der Betreiber einer Facebook-Fanpage ist gemeinsam mit Facebook für die Verarbeitung der personenbezogenen Daten der Besucher seiner Seite verantwortlich“, heißt es in der Pressemitteilung des Gerichts.

Kläger war das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD). Die Datenschützer bemängelten, dass sowohl die Beklagte, die Wirtschaftsakademie Schleswig Holstein, als auch das soziale Netzwerk nicht ausreichend über die Nutzung und Erhebung beim Besuch der Fanpage erhobenen Daten informierten.

Was bedeutet das Urteil jetzt für mein Unternehmen?

Firmen und Behörden, die Fanpages betreiben, sind den Nutzern ihrer Fanpage gegenüber datenschutzrechtlich in ähnlicher Weise verpflichtet, wie den Nutzern auf ihrer Homepage. So müssen sie ab sofort von Facebook sowohl die volle Transparenz über die Verarbeitung der Nutzerdaten in diesem Zusammenhang gegenüber den Fanpage-Besuchern einfordern und, insoweit diese mit geltendem Datenschutzrecht nicht vereinbar ist, Änderungen durch Facebook erwirken oder das Angebot beenden. Dies ist aufgrund der internationalen Ausrichtung des sozialen Netzwerks derzeit jedoch nicht möglich.

Also, was tun, wenn ich aktuell eine Facebook-Fanpage betreibe? Sollte ich diese lieber löschen?

Unserer Auffassung nach müssen Sie Ihre Fanpage nicht sofort löschen, sondern zunächst auf „nicht sichtbar“ schalten, bis Ihnen von Seiten Facebooks die Möglichkeit geboten wird, die Daten von der Speicherung explizit auszuschließen.
Wer das Urteil einfach ignoriert, für den könnte dies ein teures Unterfangen werden. Denn Datenschutzvergehen können durch die zuständigen Aufsichtsbehörden mit hohen Bußgeldern geahndet werden.
Zwar bezieht sich das Urteil auf Facebook, doch es dürfte auch auf andere soziale Netzwerke, wie zum Beispiel Instagram oder Twitter, übertragbar sein.

Sie haben noch Fragen? Dann kontaktieren Sie uns!